De 5 fases van een BCP De hieronder beschreven fases maken deel uit van een cyclus en zijn telkens opnieuw te herhalen. Fase 1: Risicobepaling Deze eerste stap bestaat erin alle potentiële risico’s en bedreigingen die de activiteiten zouden kunnen onderbreken, op te lijsten. Fase 2: Risicoanalyse Eens de risico’s bekend zijn, kunnen ze worden onderzocht door middel van een “Business Impact Analysis”. Dit gebeurt in stappen: • Classificatie van alle rollen en procedures van de onderneming, in volgorde van belangrijkheid • Identificatie van de potentiële impact van een activiteitenstop op deze rollen en procedures • Schatting van de maximale verdraagbare stilstand (in tijd) en het aanvaardbare verlies • Schatting van de tijd die nodig is om de activiteiten te hervatten Fase 3: Opstellen van de strategie Een strategie is nodig om het aantal onderbrekingen van de activiteiten te beperken. Ze kan worden ontwikkeld door de continuïteitscapaciteit en de vereisten van de onderneming te vergelijken. Fase 4: Ontwikkelen en uitvoeren van het plan Deze fase is bedoeld om een reeks documenten te voorzien die nauwgezet beschrijven welke procedures er bij een bepaald risico te volgen zijn. Het personeel kan oefenlessen krijgen over de toepassing van het noodplan. Fase 5: Testen en verbeteren Het BCP is te testen door middel van checklists, simulaties of oefeningen. De resultaten van elke test moeten leiden tot verbeteringen in het BCP. Bronnen: MIR3.com, Federal Financial Institutions Examination Council. Voor Michel De Wolf is een efficiënte communicatie essentieel ingeval van crisis. “Intern moet eerst het personeel gerustgesteld worden over de situatie. Extern is dit veel moeilijker. Een onderneming mag niet echt veel emoties tonen, het gevaar van de verwarring loert. Dit vraagt daarom om gespecialiseerde crisiscommunicatoren. Bedrijven die niet over de middelen beschikken om dergelijke profielen in te huren, kunnen een beroep doen op deskundige agentschappen.” Michel De Wolf wijst er ook op dat managementtools in bepaalde erg ingewikkelde situaties helaas geen oplossing bieden. “Na 11 september hebben talrijke luchtvaartmaatschappijen rechterlijke bescherming gekregen voor een collectieve schuldenregeling. Amerikaanse bedrijven haalden vervolgens hun kastanjes uit het vuur, terwijl Swissair en Sabena zijn ingestort. Er bestond voor hen geen reddingsplan, maar er was ook en vooral sprake van meer fundamentele problemen die ruim vóór 11 september slecht beheerd werden.” … tot inzicht Het aantal cyberaanvallen blijft toenemen en vormen een reele bedreiging voor bedrijven. Georges Ataya is vicevoorzitter van de Belgische coalitie voor cyberveiligheid en professor aan de Solvay Brussels School. “De laatste jaren worden bedrijven geconfronteerd met ransomware,” legt hij uit. “Deze virussen kunnen alle computersystemen van een bedrijf plots blokke20 BECI - Brussel metropool - december 2016 ren of vertrouwelijke informatie stelen, met als enige oplossing de betaling van losgeld. Elke dag worden hier vele Belgische bedrijven mee geconfronteerd. Het is voor een onderneming vandaag onverantwoord hier niet op voorbereid te zijn. De eerste De dag van de aanslagen in Brussel, op 22 maart, waren we voorbereid en in staat om het scenario ‘Brussel attack’ uit te voeren. Ludo Jappens, verantwoordelijk voor het Business Continuity Plan en het Crisismanagement bij Belfius. bescherming is natuurlijk regelmatig een back-up te maken van de gegevens. Maar ook de systemen moeten maximaal beveiligd zijn. De meeste banken en grote ondernemingen zijn goed beschermd. Zij beschikken over IT-personeel dat gespecialiseerd is in beveiliging. De computerbeveiliging binnen een onderneming is echter erg breed: wifinetwerk, server, blokkeren van virussen en malware, oplossen van problemen na een aanval, privacy ... Dit alles vereist niet minder dan 25 verschillende vaardigheden en daarom ook vaak meerdere personen. Kleine ondernemingen beschikken uiteraard niet over de middelen om zich deze diensten intern te kunnen veroorloven en moeten ze uitbesteden.” Eerst het personeel De terroristische dreiging is voor de continuïteit binnen een bedrijf eveneens een risico. Ludo Jappens is bij Belfius verantwoordelijk voor het Business Continuity Plan en het Crisismanagement. “De dag na de aanslagen van 13 november in Parijs steeg het dreigingsniveau van het OCAD naar 3 in Brussel. We besloten daarom voor elk domein tactische plannen op te stellen. Op zaterdag 21 november werd het niveau tot 4 verhoogd. We stuurden daarom onze medewerkers een gepersonaliseerde sms. Degenen wier aanwezigheid in het kantoor in Brussel niet essentieel was, werden gevraagd om thuis te werken. Sommigen waren toch nodig op kantoor. Dit liet ons toe om het overgrote deel van onze activiteiten verder te zetten. De meeste Brusselse bedrijven hadden geen BCP voorzien en leden financiële verliezen. De dag van de aanslagen in Brussel, op 22 maart, waren we voorbereid en in staat om het scenario ‘Brussel attack’ uit te voeren. Niemand kon gevoelige gebouwen in of uit. Om afwezigheden te vermijden, hebben we onze medewerkers de mogelijkheid geboden vanuit een kantoor buiten Brussel te werken. De minst cruciale activiteiten werden een paar dagen bevroren.” Een BCP opstellen neemt inderdaad veel tijd in beslag en is vervelend, maar is de prijs die een onderneming moet betalen om haar veerkracht aanzienlijk te verhogen. Geen reden tot paniek, wel tot vooruit denken. En tot geduld ... ● © R.T.
23 Online Touch Home