1. Hoe test je de effectiviteit van een Business Continuïteitsplan (BCP) zonder de live-omgeving offline te halen?
Om een Business Continuïteitsplan (BCP) voor de eerste keer te testen, kan je een reeks aangekondigde testen organiseren. Bij de voorbereiding van de geplande testen, kan je eventueel beroep doen op de ondersteuning van een externe partner/externe partners. Om de impact op de dagelijkse werking minimaal te houden, is het aangeraden om zowel naar de interne werking als naar inwoners tijdig en transpart te communiceren over de geplande test/testen en waarom je deze wil uitvoeren. Hiervoor kan je gebruik maken van de verschillende communicatiekanalen die tot jouw beschikking zijn.
Eveneens kan je de effectiviteit van een BCP intern met de IT-dienst testen, door hen de tijd te geven om bijvoorbeeld een bepaalde back-up terug te zetten op een kopie van een productiesysteem of testsysteem, waarbij men in alle veiligheid kan bekijken of alles naar behoren werkt. Daarnaast kan je ook uitvaltesten organiseren tijdens geplande werkzaamheden of onderhoudsmomenten, waarbij er een duidelijk protocol wordt uitgeschreven i.v.m. welke elementen er getest zullen worden en op welke manier de testen zullen verlopen.
Per kritisch proces of dienstverlening kan een fail-over en recovery scenario uitgeschreven worden. De verantwoordelijkheid om die scenario’s uit te (laten) testen, kan opgenomen worden door een proceseigenaar. Een proceseigenaar is diegene die alle planning en afspraken maakt met de betrokken personen en/of diensten. Om ervoor te zorgen dat het opgemaakte business continuïteitsplan door iedereen wordt gedragen, is het belangrijk dat alle betrokken partijen zich engageren in geplande testen.
In de Toolkit Cybersecurity kan je bij de business continuïteitsplan tool een handleiding en invulsjabloon terugvinden.
2. Welk functieprofiel binnen een lokaal bestuur is verantwoordelijk voor het opstellen van een Business Continuïteitsplan (BCP) ?
Het opmaken van een business continuïteitsplan is een taak die door meerdere functieprofielen binnen een lokaal bestuur opgenomen kan worden. Zowel het business continuïteit gedeelte als de opmaak van een communicatieplan kan je toevertrouwen aan medewerkers die alle processen goed kennen, een goed beleid kunnen voeren en die over nodige verantwoordelijkheid en tijdsinvulling beschikken.
De opdracht voor de opmaak van een business continuïteitsplan kan eveneens worden toegekend aan een werkgroep. Gezien de omvang van de opdracht, zullen er verschillende gesprekken moeten plaatsvinden met meerdere proceseigenaren en diensthoofden. Om alles vlot te laten verlopen, kan je de eindverantwoordelijkheid toevertrouwen aan een lid van het managementteam en/of de verantwoordelijke voor organisatiebeheersing binnen het lokaal bestuur, die het hele proces overziet, bijstuurt en rapporteert.
3. Wat is de rol van een Data Protection Officer (DPO) of een Chief Information Security Officer (CISO) bij de opmaak van een business continuïteitsplan?
Privacy en veiligheid zijn de hoofdmotivaties voor het opstellen van een business continuïteitsplan binnen een lokaal bestuur. Beiden vormen het expertisegebied van een DPO en een CISO. Het opgemaakte business continuïteitsplan dient een toepassing te vormen voor een informatie- en cyberveiligheidsplan, dat vooral geschreven wordt vanuit applicaties, systemen en wettelijke bepalingen op de processen van de interne organisatie.
Een DPO of CISO kan ondersteuning bieden bij het opmaken van een business continuïteitsplan, maar de proceseigenaar en betrokken diensten staan in voor de informatie over het proces/dienstverlening. Zij hebben namelijk een beter zicht op o.a. de werking van hun proces/dienst, welke elementen/middelen het meest kritisch zijn en over welke andere bronnen en middel zij beschikken tijdens een uitval. Eveneens kan een DPO of CISO ook een meerwaarde zijn in o.a. de eenvormigheid en consistentie van het business continuïteitsplan over de verschillende diensten, bij de evaluatie naar de haalbaarheid van de scenario’s en steekkaarten en bij de bewaking van de informatieveiligheid.
4. Is een Business Impact Analyses (BIA) noodzakelijk bij het opstellen van een business continuïteitsplan?
Een Business Impact Analyses (BIA) is een middel die de verschillende processen bekijkt en een beoordeling maakt van de impact wanneer deze processen tijdelijk onbeschikbaar zijn. Door een business impact analyse uit te werken krijg je zicht op je meest tijdskritieke processen, waardoor je bij het opstellen van je business continuïteitsplan zicht krijgt op de processen die het eerst terug opgestart moeten worden na een grootschalig incident. Door deze oefening vooraf te maken, vermijd je improvisatie en blinde vlekken wanneer de nood het hoogst is.
Door bijvoorbeeld gebruik te maken van een Excel-bestand voor de inventarisatie van de kritische processen, ben je automatisch in een helicopterview de kritische processen aan het opsommen en beschrijf je welke impact dit zal hebben op jouw organisatie. Hierbij kan je alle processen indelen volgens hun prioriteitsklasse en bepaald je ook de volgorde van het herstel bij elk proces.
In de Toolkit Cybersecurity kan je bij de business continuïteitsplan tool ook een BIA-sjabloon terugvinden.
5. Dient een Disaster Recovery Plan (DRP) meegenomen te worden in de opmaak van een business continuïteitsplan?
Een Disaster Recovery Plan (DRP) is een soort van draaiboek waarin er stap voor stap wordt beschreven wie wat moet doen om onmiddellijk en correct te reageren op een calamiteit. Dit plan wordt opgesteld om duidelijk en efficiënt processen binnen de aangetaste omgeving zo snel mogelijk te herstellen en opnieuw operationeel te krijgen. De opmaak van een disaster recovery plan vraag voorbereiding en denkwerk, elke stap moet doordacht zijn en geactualiseerd blijven zodat je continu voorbereid bent op eventuele calamiteiten.
Een business continuïteitsplan en een disaster recovery plan gaan hand in hand. Je kan bijvoorbeeld de ‘normale’ werking van de processen en het overzicht van applicaties, toestellen, netwerken, etc. plaatsen onder het business continuïteitsplan en het stappenplan voor crisisbeheer (o.a. het gecontroleerd afschakelen van servers, het in quarantaine zetten van apparatuur, enz.) in het disaster recovery plan plaatsen. Zowel bij het business continuïteitsplan als in het disaster recovery plan kan je bepaalde zaken vooraf opmaken. Andere delen zal je pas kunnen aanvullen in functie van een actuele crisissituatie.
Wanneer je in de opmaak van een business continuïteitsplan de fail-over en recovery scenario’s in de steekkaarten beschrijft, heb je al een groot deel van jouw disaster recovery plan opgemaakt. Het gebruik van een Excel-bestand kan de leidraad vormen om de herstelvolgorde te bepalen. Hierbij kan je als overkoepelend gegeven nog een startup- en shutdownsteekkaart maken, die alle kritische middelen in de juiste groep en volgorde van opstarten en afsluiten plaatst.