Wat staat er in een ICT calamiteitenplan?

Disaster Recovery Plan checklist

Doorloop de volgende 8 fasen om een effectief IT noodherstelplan op te zetten.

1. Bedrijfscontinuïteitsbeleid
Het herstelprogramma maakt onderdeel uit van een overkoepelend bedrijfscontinuïteitsplan: het geheel van regels en normen dat een organisatie volgt om de interne bedrijfsvoering te waarborgen in tijden van crisis.

Hoe een Business Continuity Plan (BCP) wordt ingericht, is afhankelijk van geldende wet- en regelgeving en beschikbare technologieën. Met een duidelijk omschreven aanpak kunnen verwachtingen omtrent (systeem)herstel realistisch worden ingeschat. Het interne personeel moet op de hoogte zijn van het continuïteitsbeleid, van de managementlaag tot de afdeling HR. Indien noodzakelijk moeten ook klanten en leveranciers en andere externe belanghebbenden zich in dit beleid verdiepen.

2. Bedrijfseffectanalyse
Bij het uitvoeren van een Business Impact Analysis (BIA) wordt informatie verzameld over hoe een bedrijf zou kunnen worden getroffen door verschillende potentiële ‘rampen'. Systeemvereisten, functionaliteiten en koppelingen worden gescand op zwakten. Hieruit ontstaat een rapport met aanbevelingen en een prioritering voor zowel het continuïteitsplan als de calamiteitenaanpak. Een BIA bevat definities van doelstellingen voor zowel gegevensherstel als -beveiliging.

Een effectanalyse benadrukt niet alleen de noodzaak van een noodherstelplan, het definieert ook de tijdsduur van storingen. Daarnaast brengt het alternatieve procedures in beeld waarmee de impact van mogelijke systeemonderbrekingen kan worden beperkt.

3. Risicobeoordeling
Een Risk Assessment (RA) bevat een analyse van potentiële storingen, de waarschijnlijkheid ervan en een overzicht van preventieve maatregelen. Een RA brengt de werkelijke impact van incidenten op aanwezige activa in beeld. Dit kan gaan om zowel (persoons)gegevens als supply chains, personeel, contractverplichtingen, onroerend goed of zelfs bedrijfsreputatie. Het bijhouden van risicobeoordelingen en resultaten is een belangrijk onderdeel van het bijwerken van een noodherstelplan.

4. Risicobeheer
Risk Mitigation (RM) concentreert zich op voorzorgsmaatregelen die de impact van een gevaar verminderen, niet op het volledig voorkomen ervan. Risicomanagement omvat het bijwerken of toevoegen van processen om verwachte problemen aan te pakken en zo te voorkomen dat deze teveel schade toebrengen aan bedrijfsmiddelen. Het effect van elk gevaar wordt gewogen en in de planning geordend naar prioriteit.

5. Herstelstrategieën
De volgende stap is het ontwikkelen van de meest efficiënte en kosteneffectieve herstelstrategie. Een succesvolle aanpak dekt alle gedetecteerde kwetsbaarheden uit de risicoanalyse af. Het ontwikkelen van een solide strategie voor noodherstel is alomvattend. Belangrijke punten waarmee rekening moet worden gehouden zijn onder meer:

• netwerkvereisten;
• infrastructuurbehoeften;
• gegevensherstel;
• data- en bestandsbeheer;
• beveiliging;
• compliance.

6. Testen en trainen
Het uitvoeren van een DR-test is een goede manier om de effectiviteit van een plan te controleren en eventuele hiaten op te vullen. Testen kan op verschillende niveaus:

• Het plan stapsgewijs doorlopen en beoordelen met behulp van technische middelen.
• Een risicosimulatie met tests uitvoeren om maatregelen beter te kunnen implementeren.
• Een informatiesysteem onderbeken om het noodherstelplan volledig in werking te brengen.

Interne tests kunnen worden opgenomen in zowel onderhoudsprojecten als personeelstrainingen.

7. Noodcommunicatie
Dit personeelsgerichte onderdeel beschrijft het communicatieprotocol bij noodgevallen. Dat kan bijvoorbeeld via een geautomatiseerd meldingssysteem (WhatsApp, mail) of volgens een belschema voor werknemers. Het doel van Emergency Communications (EC) is om grote aantallen mensen op een snelle en efficiënte manier over een situatie te informeren.

8. Wijzigen, updaten en herzien
Een ICT-noodherstelplan moet actueel blijven. Houd daarom een logboek bij van wijzigingen aan back-upschema's en -procedures, de systeemconfiguratie en applicaties.