BCP: onmisbaar herstelplan voor paniekbestendige organisaties

Per jaar ervaart 1 op de 5 Nederlandse organisaties een ransomware-aanval, waarna de cybercrimineel een losgeldbedrag eist ter hoogte van 0,4 tot 2 procent van de jaaromzet (bron: FHI-bijeenkomst Industrial Cyber Security, 12 oktober 2021). Alle reden dus om onze economie weerbaar te maken tegen cybercriminaliteit. Cybersecurity dient hoog op de agenda te staan van het management van organisaties.  De toon is gezet en de bewustwording komt op gang.

In gesprekken met vertegenwoordigers van het bedrijfsleven en de (semi-)overheid is de noodzaak van beveiliging van digitale assets voor iedereen duidelijk. Deze mag nooit verloren gaan. Preventie is natuurlijk stap 1. Toch wil men graag weten of er zich bij de organisatie een cyberaanval zou kunnen voordoen en wanneer. Bescherming voor 100%  is een utopie. De vraag is dan ook begrijpelijk, maar het antwoord is niet meer zo relevant. Het gaat nu om twee vragen: 1) wat te doen na een aanval; 2) hoe snel zijn we weer ’up and running’?  Op die vragen hebben we een relevant antwoord.

Tijd kritisch element

Essentieel voor het slagen van een herstart is een Business Continuity Plan (BCP).  Organisatie, groot en klein, moeten dit traject doorlopen. Hierbij neem je alle producten en diensten onder de loep en de kwetsbaarheden in de onderliggende bedrijfsprocessen breng je in kaart, inclusief de bijbehorende applicaties en de infrastructuur waarop ze draaien.  Aan elk proces hangt een tijd kritisch element.  Die vatten we samen in een RTO (Recovery Time Objective) en een RPO (Recovery Point Objective). Met het eerste meetobject leggen we een doelstelling voor de hersteltijd vast; hoe snel wil je opstarten? Met het tweede meetobject bepalen we de maximaal toelaatbare ouderdom van de back-up van de data. Een bank zal in dit geval streven naar een waarde nul. Immers, wanneer het systeem stopt nadat transacties zijn gedaan, moet je over de rekeninggegevens van een minuut geleden kunnen beschikken. Hoe lager een organisatie haar RTO en RPO wil hebben, des te meer wordt er gevraagd van de IT-infrastructuur. Daar zal meer budget voor nodig zijn.

We merkten in het verleden bij de periodieke uitwijktesten dat we steeds vaker aan de klanten vragen gingen stellen over wat ze precies wilden laten testen en waarom.

Maarten de Rooij, IT Business Professional - ACA IT-Solutions

Inschatten van risico’s

Bij de start van een BCP gaan we de risico’s inschatten die kleven aan de uitvoering van de productieprocessen aan de hand van twee verschillende analyses: BIA (Business impact Analyse) en BKA (Bedreigingen en Kwetsbaarheid Analyse). Risicomanagement kenmerkt zich door de volgende vraagstelling: kan ik de risico’s voorkomen; kan ik ze verzekeren of kan ik gewoon stoppen met risicovolle activiteiten? Voor de processen waar dat allemaal niet voor kan, zal je een disaster recovery plan moeten maken.

Dat doe je aan de hand van calamiteitenscenario’s met templates en documenten, waarin de herstelstappen tot in detail zijn vastgelegd om de processen van de grond af aan op te bouwen. Het is raadzaam dat scenario elk jaar te testen (uitwijktest) en te kijken of hetgeen je had bedacht, ook in de praktijk zo werkt

Managen van complexiteit

Na het voltooien van de BCP  kunnen we een BCMS opbouwen. Dat is een managementsysteem, waarmee je zaken in de tijd kunt inplannen en monitoren waaronder het change management: de veranderingen aan processen met een BCP-component.  De BCP-dienst van ACA IT-Solutions is ontstaan uit Managed Disaster Recovery (MDR), waarmee een bedrijf in geval van een calamiteit zijn IT-omgeving kan laten uitwijken naar een andere locatie.

We merkten in het verleden bij de periodieke uitwijktesten dat we steeds vaker aan de klanten vragen gingen stellen over wat ze precies wilden laten testen en waarom. Het ontbrak soms aan een prioriteitstelling. MDR was van oudsher gericht op een ramp zoals brand, crash of storing. De realisatie van een BCP is meer gericht op cybercriminaliteit. De paniek is er niet minder om. Sterker nog, het risico is groot! Het is raadzaam om te werken met een IRT, oftewel een Incident Response Team, in te vullen door medewerkers van onze klant, door ons zelf of een combinatie van beide.

Een BCP helpt de leden van dat team om, ondanks de hectiek, op een gestructureerde manier aan herstel te werken. Zeker nu we steeds meer opereren vanuit een versnipperd IT-landschap, ingevuld met verschillende providers en op clouddiensten gebaseerde applicaties, biedt een BCP een leidraad om de complexiteit te managen. Daarmee vormt het herstelplan de basis voor een doordachte cyberbeveiliging en databescherming van uw organisatie.

 

Wilt u meer weten over de mogelijkheden of advies hierover voor uw organisatie? Neem dan contact met ons op.