Hoe IT de zaak draaiend houdt na een ramp
De Wet van Murphy geldt ook in de zakenwereld. U heeft er dus alle belang bij om uw bedrijf in geval van nood draaiende te houden. “Een ramp gebeurt altijd op het meest onmogelijke moment. Niet op maandagochtend 11 uur als iedereen op kantoor is.”
PWC, AG Insurance, Atos Worldline en KPN deelden hun ervaringen op het BusinessMeetsIT-seminarie rond business continuity dat Smart Business Strategies, samen met onze uitgeverij organiseerde.
Van het hoge aantal bezoekers kunnen we afleiden dat het onderwerp leeft in het bedrijfsleven. Ook al bestaan daar soms nogal wat misverstanden over.
6 P’s
Chris De Blende van PWC maakt een onderscheid tussen Business Continuity Management (BCM) en Disaster Recovery Management (DRM). Daarbij is disaster recovery, de heropstart na een eventuele ramp, maar een (klein) onderdeel van business continuity.
“In de meeste bedrijven wordt er iemand aangesteld om een plan op te stellen. Maar het gaat niet zozeer om het schrijven van een plan, maar wel om een proces”, aldus De Blende. Vooraleer je aan zo’n businesscontinuityplan begint, lijkt deze taak volgens De Blende op een “abstracte olifant”. Daarom deelt hij BCM op in een aantal focusdomeinen, de 6 P’s.
1. People: Leg een ‘skill register’ aan. “Weet welke competenties je nodig hebt binnen je bedrijf. Daarna ga je kijken naar welke je minimaal nodig hebt in geval van een crisis.” Zorg dat je personeel getraind is om eventueel andere taken in te vullen en schets de rollen en verantwoordelijkheden.
2. Processen & IT: “Het is door je processen goed te beschrijven, dat het herstel na een eventuele ramp sneller zal verlopen. Als je een beroep kan doen op een naslagwerk, dan is dat voor een derde partij zeer handig om snel in je bedrijf aan de slag te kunnen.” U controleert hier ook of u voor de juiste dingen verzekerd bent.
3. Prioriteiten: Als een ramp zich voordoet, moet u zich concentreren op sleutelproducten en diensten. “Men kan niet alles doen. Spreek af met de salesafdeling welke klanten bediend zullen worden.” Daarnaast is het volgens De Blende ook belangrijk dat de toeleveranciers beseffen dat ze BCM moeten implementeren.
4. Publicity: Breng de belanghebbenden, zowel primair als secundair in kaart. Betrek daarbij lokale autoriteiten, de directe omgeving en de gemeenschap.
5 & 6. Public infrastructure en Premises: de gebouwen en de openbare ruimte.
De aanpak van business continuity hangt uiteraard af van de grootte van een bedrijf. Zo hangt een verzekeraar als AG Insurance vast aan een stevige regulering. Die eist dat er een plan is voor wanneer plots het gebouw in brand staat, de IT er volledig uitligt of de helft van uw personeel morgen niet meer op het werk geraakt.
Dat betekent, volgens Daniël Meeüs van AG Insurance dat er duidelijke afspraken moeten zijn over de RTO, de recovery time objective of de tijd die nodig is om een proces weer op gang te krijgen. Hetzelfde geldt voor de RPO, de recovery point objective of de maximale tijdsspanne tussen de laatste back-up en het incident.
“Maak en onderhoud een inventaris van alle belangrijke business services en afhankelijkheden via een businessimpactanalyse en blijf dit doen,” zegt Meeüs.
De kritieke processen zitten doorgaans op de productieafdeling. BCM moet volgens hem ook kunnen filteren wat bij een ramp moet blijven functioneren en wat niet. Zo zijn bijvoorbeeld bij mailservers het aantal gebruikers belangrijk voor de belasting, terwijl u bij een ramp net moet accepteren dat er tijdelijk een beperkte dienstverlening is.
Naast de IT is het dan weer belangrijk om meerdere locaties te hebben, bijvoorbeeld als de elektriciteit in het gebouw uitvalt. “We hebben contracten voor extra facilities waar onze mensen terechtkunnen, maar we hebben ook andere kantoren van ons bedrijf beschikbaar.”
Thuiswerk
Het belang van business continuity voor een bedrijf dat onder alle omstandigheden moet kunnen blijven doordraaien, wordt mooi aangetoond door Maarten Smulders, business continuity manager bij Atos Worldline.
Zijn organisatie regelt al het elektronisch betaalverkeer in ons land. “Een storing bij Atos kan betekenen dat een groot deel van de betalingen bij handelaren niet meer doorgaan.” Tegelijk is zijn bedrijf van verschillende spelers afhankelijk, zoals telecom- en energiebedrijven, en hardware-, software en onderdelenleveranciers.
Smulders legt onder meer de nadruk op de RTO. ”Bij SLA’s bieden service providers een beschikbaarheid van 99,999 procent, maar bij een zware ramp moeten we afhankelijk van de dienst en de ramp mikken op een RTO van een uur, een paar uur of een dag.”
Een concrete maatregel is het voorzien van dieselgeneratoren. “Een UPS of noodstroom kan de IT-afdeling en de computers van uw werknemers draaiende houden. Laat ook mensen thuiswerken als hun site niet toegankelijk is.”
Voor netwerkproblemen raadt hij dan weer aan om meer dan één provider te gebruiken. Voor data recovery pleit hij voor sites die meer dan 100 km van elkaar liggen. Zo kan Atos Worldline zijn data recupereren uit servers in Frankrijk of Duitsland mocht het in België mislopen.
Kleurcodes
Bovenal komt het er bij business continuity op aan om voorbereid te zijn op het onverwachte. “Men mag prachtige plannen hebben, de praktijk is altijd anders,” zegt Albert Brouwer, business consultant bij KPN. Zo heeft KPN kleurcodes voor incidenten, waarbij de grootte van de ramp gekoppeld wordt aan specifieke beslissingsniveaus.
Toch verloopt het niet altijd volgens het boekje. Na de aanval op de WTC-torens kwam een gigantische golf telefoonverkeer op gang tussen Europa en de VS. Toen heeft iemand met een lagere verantwoordelijkheidsgraad de beslissing moeten nemen om de trans-Atlantische kabel tijdelijk door te knippen, zodat het netwerk niet overbelast werd.
“Het doorknippen van kabel werd op een lager niveau beslist en dat vraagt moed, want rampen gebeuren altijd op de meest onhandige momenten. Niet op maandagmorgen 11 uur als iedereen op kantoor is.”
De Wet van Murphy geldt ook in de zakenwereld. U heeft er dus alle belang bij om uw bedrijf in geval van nood draaiende te houden. “Een ramp gebeurt altijd op het meest onmogelijke moment. Niet op maandagochtend 11 uur als iedereen op kantoor is.”
PWC, AG Insurance, Atos Worldline en KPN deelden hun ervaringen op het BusinessMeetsIT-seminarie rond business continuity dat Smart Business Strategies, samen met onze uitgeverij organiseerde.
Van het hoge aantal bezoekers kunnen we afleiden dat het onderwerp leeft in het bedrijfsleven. Ook al bestaan daar soms nogal wat misverstanden over.
6 P’s
Chris De Blende van PWC maakt een onderscheid tussen Business Continuity Management (BCM) en Disaster Recovery Management (DRM). Daarbij is disaster recovery, de heropstart na een eventuele ramp, maar een (klein) onderdeel van business continuity.
“In de meeste bedrijven wordt er iemand aangesteld om een plan op te stellen. Maar het gaat niet zozeer om het schrijven van een plan, maar wel om een proces”, aldus De Blende. Vooraleer je aan zo’n businesscontinuityplan begint, lijkt deze taak volgens De Blende op een “abstracte olifant”. Daarom deelt hij BCM op in een aantal focusdomeinen, de 6 P’s.
1. People: Leg een ‘skill register’ aan. “Weet welke competenties je nodig hebt binnen je bedrijf. Daarna ga je kijken naar welke je minimaal nodig hebt in geval van een crisis.” Zorg dat je personeel getraind is om eventueel andere taken in te vullen en schets de rollen en verantwoordelijkheden.
2. Processen & IT: “Het is door je processen goed te beschrijven, dat het herstel na een eventuele ramp sneller zal verlopen. Als je een beroep kan doen op een naslagwerk, dan is dat voor een derde partij zeer handig om snel in je bedrijf aan de slag te kunnen.” U controleert hier ook of u voor de juiste dingen verzekerd bent.
3. Prioriteiten: Als een ramp zich voordoet, moet u zich concentreren op sleutelproducten en diensten. “Men kan niet alles doen. Spreek af met de salesafdeling welke klanten bediend zullen worden.” Daarnaast is het volgens De Blende ook belangrijk dat de toeleveranciers beseffen dat ze BCM moeten implementeren.
4. Publicity: Breng de belanghebbenden, zowel primair als secundair in kaart. Betrek daarbij lokale autoriteiten, de directe omgeving en de gemeenschap.
5 & 6. Public infrastructure en Premises: de gebouwen en de openbare ruimte.
De aanpak van business continuity hangt uiteraard af van de grootte van een bedrijf. Zo hangt een verzekeraar als AG Insurance vast aan een stevige regulering. Die eist dat er een plan is voor wanneer plots het gebouw in brand staat, de IT er volledig uitligt of de helft van uw personeel morgen niet meer op het werk geraakt.
Dat betekent, volgens Daniël Meeüs van AG Insurance dat er duidelijke afspraken moeten zijn over de RTO, de recovery time objective of de tijd die nodig is om een proces weer op gang te krijgen. Hetzelfde geldt voor de RPO, de recovery point objective of de maximale tijdsspanne tussen de laatste back-up en het incident.
“Maak en onderhoud een inventaris van alle belangrijke business services en afhankelijkheden via een businessimpactanalyse en blijf dit doen,” zegt Meeüs.
De kritieke processen zitten doorgaans op de productieafdeling. BCM moet volgens hem ook kunnen filteren wat bij een ramp moet blijven functioneren en wat niet. Zo zijn bijvoorbeeld bij mailservers het aantal gebruikers belangrijk voor de belasting, terwijl u bij een ramp net moet accepteren dat er tijdelijk een beperkte dienstverlening is.
Naast de IT is het dan weer belangrijk om meerdere locaties te hebben, bijvoorbeeld als de elektriciteit in het gebouw uitvalt. “We hebben contracten voor extra facilities waar onze mensen terechtkunnen, maar we hebben ook andere kantoren van ons bedrijf beschikbaar.”
Thuiswerk
Het belang van business continuity voor een bedrijf dat onder alle omstandigheden moet kunnen blijven doordraaien, wordt mooi aangetoond door Maarten Smulders, business continuity manager bij Atos Worldline.
Zijn organisatie regelt al het elektronisch betaalverkeer in ons land. “Een storing bij Atos kan betekenen dat een groot deel van de betalingen bij handelaren niet meer doorgaan.” Tegelijk is zijn bedrijf van verschillende spelers afhankelijk, zoals telecom- en energiebedrijven, en hardware-, software en onderdelenleveranciers.
Smulders legt onder meer de nadruk op de RTO. ”Bij SLA’s bieden service providers een beschikbaarheid van 99,999 procent, maar bij een zware ramp moeten we afhankelijk van de dienst en de ramp mikken op een RTO van een uur, een paar uur of een dag.”
Een concrete maatregel is het voorzien van dieselgeneratoren. “Een UPS of noodstroom kan de IT-afdeling en de computers van uw werknemers draaiende houden. Laat ook mensen thuiswerken als hun site niet toegankelijk is.”
Voor netwerkproblemen raadt hij dan weer aan om meer dan één provider te gebruiken. Voor data recovery pleit hij voor sites die meer dan 100 km van elkaar liggen. Zo kan Atos Worldline zijn data recupereren uit servers in Frankrijk of Duitsland mocht het in België mislopen.
Kleurcodes
Bovenal komt het er bij business continuity op aan om voorbereid te zijn op het onverwachte. “Men mag prachtige plannen hebben, de praktijk is altijd anders,” zegt Albert Brouwer, business consultant bij KPN. Zo heeft KPN kleurcodes voor incidenten, waarbij de grootte van de ramp gekoppeld wordt aan specifieke beslissingsniveaus.
Toch verloopt het niet altijd volgens het boekje. Na de aanval op de WTC-torens kwam een gigantische golf telefoonverkeer op gang tussen Europa en de VS. Toen heeft iemand met een lagere verantwoordelijkheidsgraad de beslissing moeten nemen om de trans-Atlantische kabel tijdelijk door te knippen, zodat het netwerk niet overbelast werd.
“Het doorknippen van kabel werd op een lager niveau beslist en dat vraagt moed, want rampen gebeuren altijd op de meest onhandige momenten. Niet op maandagmorgen 11 uur als iedereen op kantoor is.”