Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Want, door snel en op de juiste manier op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Bedrijfs Continuïteits Management (BCM)’ of Bedrijfscontinuïteit. Maar hoe ga je hier mee aan de slag? 

De beschikbaarheid en continuïteit van kritische bedrijfsprocessen kan in gevaar komen door ontwrichtende gebeurtenissen, zoals brand, wateroverlast, een (stroom)storing of een beveiligingsincident. Met alle gevolgen van dien voor een burger, de bedrijfsvoering en de reputatie van de gemeente. Maar hoe kun je als gemeente de beschikbaarheid en continuïteit van je kritische bedrijfsprocessen (blijven) garanderen indien deze in gevaar komen?

Risico’s in kaart brengen

Om je goed te kunnen voorbereiden op een crisisincident is het allereerst belangrijk om te weten welke risico’s je loopt bij bepaalde incidenten. Wat zijn bijvoorbeeld de risico’s voor de organisatie wanneer deze wordt gehacked? Hiervoor is het belangrijk om de kritieke processen van de niet-kritieke processen binnen de gemeentelijke organisatie te onderscheiden. Kortom, wat zijn onze primaire processen die ons bestaansrecht bepalen? Om dit te bepalen wordt een Bedrijfsimpactanalyse (BIA) gebruikt. Hiermee wordt inzichtelijk gemaakt wat de gemeente minimaal nodig heeft om na een calamiteit de bedrijfsactiviteiten (ofwel de publieke taak) te kunnen continueren. Wat een BIA is en hoe je deze kunt uitvoeren, kun je lezen in de blog ‘Wat is een Business Impact Analyse en hoe voer je deze uit’.

Ook heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) onlangs een aantal nieuwe bedrijfscontinuïteitsbeheer (BCM) (sub)producten gepubliceerd, die gemeenten helpen bij het bepalen van de kritische bedrijfsprocessen en het beschrijven van deze kritische bedrijfsprocessen. Ook is er een overzicht samengesteld met de top 13 gemeentelijke kritische processen en de (belangrijkste) ondersteunende bedrijfsprocessen.

Wie z’n taak is het om BCM op te starten?

De CISO, het management of iemand anders? Oorspronkelijk hadden gemeenten een calamiteitenplan, hierin stond alleen beschreven hoe een ICT-incident aangepakt moest worden. De rest was onderdeel van het Bedrijfshulpverleningsplan (BHV-plan). Tegenwoordig worden, door de digitalisering, alle potentiële incidenten die kunnen plaatsvinden binnen een gemeente in één plan verwerkt. Hiervan dient het overgrote deel van de incidenten bij de CISO te worden gemeld. Want, niet alleen bij digitale calamiteiten, zoals een hack, kan de informatieveiligheid in gevaar komen. Juist ook incidenten zoals brand en overstromingen kunnen de informatieveiligheid binnen een gemeente verstoren. De CISO heeft dus veel te maken met BCM en krijgt dit in de praktijk veelal op zijn bordje (zie ook hoofdstuk 17 in de BIO).

Maar, bedrijfscontinuïteit is ook een strategische aangelegenheid, waarbij het management de strategische keuzes moet maken. De BIA vraagt een grotere investering van het management dan de gebruikelijke aanpak, maar kan op die manier wel tijd en desinvesteringen besparen. Je ziet, het is lastig om het werk wat bij BCM moet worden verricht bij één iemand te beleggen, omdat het afdeling overstijgend is.

Routekaart

Om gemeenten op weg te helpen heeft IB&P daarom een ‘Routekaart voor Bedrijfscontinuïteit’ opgesteld, met daarin hoe je dit kunt aanpakken. Dit document geeft een overzicht van de wijze waarop IB&P bedrijfscontinuïteit binnen een gemeente analyseert, implementeert en borgt. (Mocht je interesse hebben in deze routekaart, neem dan contact met ons op). Momenteel zijn we deze routekaart al bij een gemeente aan het implementeren. Het belangrijkste is dat je het stap voor stap aanpakt in plaats van helemaal compleet alles uit te werken. Dus zorg bijvoorbeeld eerst voor een goede implementatie van de PDCA-cyclus die je vervolgens jaarlijks verbeterd. Het routeplan bestaat uit vier fases:

Fase 1: Behoefteanalyse

Als eerste moet er gekeken worden wat er binnen de organisatie noodzakelijk is aan bedrijfscontinuïteit. Hierbij wordt er gekeken naar de risico’s die de organisatie loopt en wat de primaire processen zijn binnen de organisatie.

Fase 2: Bepalen strategie
Op basis van de output van de eerste fase is het van belang dat de organisatie op basis van de risico’s en de primaire processen een bedrijfscontinuïteitsbeleid opstelt. Op basis van dit beleid kunnen ook de vervolgplannen worden opgesteld, zoals een calamiteitenplan en Incident response.

Fase 3: Implementeren BCM

Vervolgens is het belangrijk dat alle producten die op papier zijn opgeleverd, niet alleen op papier blijven staan. Medewerkers moeten weten op welke wijze men moet reageren op calamiteiten (bewustwording). Daarom moeten de plannen, het beleid en de procedures niet alleen op papier staan, maar ook verspreid en besproken worden op de afdelingen. Ook het crisisteam moet weten wat ervan hen verwacht wordt en bestaande procedures moeten aansluiten bij het proces.

Fase 4: Oefenen, onderhouden en herzien

Tot slot, is het belangrijk om met enige regelmaat te controleren of het calamiteitenplan nog juist functioneert. In deze laatste fase gaat het voornamelijk om het borgen dat het calamiteitenplan met procedures en beleid actueel is én blijft. Door middel van tests waarbij de lessons learned verwerkt kunnen worden, maar ook wanneer organisatorische veranderingen zijn, is het goed om het plan en de procedures te toetsen.

Meer informatie?

Wil je meer weten over deze routekaart of heb je hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op. IB&P kan jouw gemeente o.a. helpen met het uitvoeren van de Business Impact Analyse (BIA) en het opstellen van het BC-beleid en het calamiteitenplan (o.a. inrichting crisisteam). Ook kan IB&P jaarlijks terugkomen om de processen en documenten te herijken en een crisisoefening uit te voeren.