Checklist voor bedrijfscontinuïteitsplan

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Het hebben van een robuust business continuity plan (BCP) als onderdeel van uw risicobeheerstrategie stelt u in staat om kritieke functies te handhaven of snel te herstellen in geval van een verstoring. Een BCP beschermt ook de infrastructuur van het bedrijf en dient als een richtlijn die u kunt volgen om adequaat te reageren op een incident.

Deze post geeft een lijst van de essentiële elementen van de checklist voor het business continuity plan. Lees verder om de beste aanpak te ontdekken die u moet volgen om met minimale repercussies succesvol de operaties te hervatten.

Waarom u een business continuity plan nodig heeft

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

Het hoofddoel van het business continuity plan is om noodvoorbereiding te waarborgen door uw respons team in staat te stellen methodisch de noodzakelijke stappen te voltooien voor, tijdens en na een verstorend scenario. Bedrijven zonder deze checklist kunnen moeite hebben om normale bedrijfsprocessen te handhaven en lopen het risico gegevens, systemen of klanten te verliezen, vaak onherstelbaar.

Het 7-stappen business continuity plan

De 7-stappen checklist helpt u bij het formuleren van een algemeen kader van prioriteiten waarop u kunt voortbouwen om een business continuity plan op maat van uw organisatie te creëren. U kunt alle procedures opnemen die u nodig heeft om de bedrijfsvoering tijdens een crisis te handhaven. Houd er rekening mee dat de exacte details variëren van het ene bedrijf tot het andere op basis van verschillende aspecten zoals bedrijfsgrootte, branche en type bedreigingen.

Het standaard business continuity plan omvat doorgaans de volgende stappen:

1. Creëer een rampenrespons team
2. Identificeer essentiële bedrijfsdiensten
3. Risicobeoordeling en bedrijfseffectanalyse uitvoeren
4. Een herstelplan ontwikkelen
5. Hersteldoelstellingen vaststellen en een DR-locatie aanwijzen
6. Zorgen dat alle bedrijfskritieke workloads zijn beschermd
7. Uw bedrijfscontinuïteitsplan testen en bijwerken

Laten we elk van deze stappen eens nader bekijken om te begrijpen waarom ze belangrijke elementen zijn van elke BCP-checklist.

1. Een rampenrespons team oprichten

De eerste stap bij het opstellen van een bedrijfscontinuïteitsplan is het samenstellen van het team dat verantwoordelijk is voor het draaiende houden van het bedrijf in geval van een noodsituatie. Het BCP-team moet leden bevatten van elke afdeling die betrokken is bij de dagelijkse operaties, en het moet een manager hebben die is aangewezen om de inspanningen voor bedrijfscontinuïteitsplanning te leiden.

Wanneer u belangrijk BCP-personeel identificeert, moet u een uitgebreide lijst maken van rampen die de grootste bedreiging vormen voor uw organisatie, zodat u de juiste mensen kunt werven. Verschillende soorten noodsituaties zoals IT-systeemstoringen, stroomuitval of schade aan faciliteiten vereisen personeelsleden met specifieke kennis en expertise om ze op de juiste manier en snel aan te pakken.

Maak een tabel aan om de benodigde informatie over de leden van het reactieteam bij te houden, zodat je ze gemakkelijk kunt bereiken wanneer dat nodig is. Je tabel kan de naam, positie, rol in het reactieteam en contactgegevens bevatten. Houd er rekening mee dat je voor elke rol in het team minstens één vervanger moet toewijzen. Dit stelt je in staat om knelpunten te vermijden als de primaire gedelegeerden hun verantwoordelijkheden niet kunnen uitvoeren.

2. Identificeer essentiële bedrijfsdiensten

Een van de belangrijkste doelen van het business continuity plan is om je te helpen bij het identificeren van de processen, apparatuur en resources die kritiek zijn voor het functioneren van jouw organisatie. Dit zijn de belangrijke infrastructuurfuncties en diensten waar je jouw BCP omheen moet opbouwen.

Deze belangrijke diensten en infrastructuurelementen omvatten waarschijnlijk:

• Energievoorzieningen en generatoren
• Telecommunicatieapparaten – WAN, LAN, telefoons, computers
• IT-systemen en servers
• Gebouwinfrastructuur en faciliteiten
• Speciale apparatuur of bedrijfskritieke benodigdheden

Het is cruciaal om deze elementen zo snel mogelijk te herstellen in geval van een verstoring om je operaties te hervatten en je activa te beschermen.

3. Voer een risicobeoordeling en business impact analyse uit

Na het identificeren van belangrijke zakelijke diensten, moet u een risico-impactbeoordeling uitvoeren om de kwetsbaarheden te ontdekken die zijn verbonden aan essentiële systemen, activiteiten en middelen. De risicobeoordeling schat de waarschijnlijkheid van elke bedreiging in en weerspiegelt de kans op het optreden van de ramp.

De bedrijfseffectanalyse (BEA), meestal uitgevoerd samen met de risicobeoordeling, stelt u in staat de kritikaliteit en ernst van de impact op uw bedrijfsactiviteiten te evalueren. Het primaire doel van de BEA is om de financiële en operationele kosten te analyseren die u zou maken als het risico zich materialiseert. Het helpt u bij het bepalen van het tolerantieniveau van belangrijke processen en afhankelijkheden, zoals klanten en partners, als belangrijke bedrijfsfuncties worden verminderd, verstoord of volledig stopgezet.

Hier is een vereenvoudigde tabel die u kunt gebruiken als sjabloon om uw eigen analyse op te stellen:

Bedrijfsproces	Impactcategorie	Ernst	Maximale Tolerabele Uitval (MTU)	Geschatte Kosten	Afhankelijkheden

Merk op dat organisaties met meerdere locaties een afzonderlijke risicobeoordeling en een BIA voor elke locatie moeten uitvoeren. Als deze locaties geografisch ver uit elkaar liggen, kunnen de uitdagingen en risico’s verschillen. Een robuust bedrijfscontinuïteitsplan houdt ook rekening met de relaties en afhankelijkheden tussen de verschillende locaties.

4. Ontwikkel een herstelplan

Zodra je de vorige stappen hebt voltooid, is het tijd om een herstelplan te maken dat draait om het herstellen van je activiteiten na een ramp. Bedrijfscontinuïteit en rampenherstel gaan hand in hand, vooral omdat het rampenherstelplan een essentieel onderdeel is van het bedrijfscontinuïteitsplan. Voor meer gedetailleerde rampenherstel sjablonen, download onze gratis white paper Rampenherstelhandleiding en sjablonen.

Het rampenherstelplan schetst de technische stappen die je moet uitvoeren om je kerndiensten zo snel mogelijk te herstellen. Houd er rekening mee dat het herstelplan niet alleen beperkt is tot gegevens, omdat het ook machines, workloads en processen moet omvatten.

Je herstelplan kan gebruik maken van de volgende strategieën, onder andere:

• Alternatieve bedrijfsprocedures – bijvoorbeeld handmatige oplossingen voor gemechaniseerde of geautomatiseerde processen totdat de systemen weer operationeel zijn
• A secondary or alternate site to resume business operations
• Failover van netwerk en servers op locatieniveau
• Herstel van off-site back-ups van bedrijfskritische gegevens
• “Hot-spare” of stand-by middelen, die direct in gebruik kunnen worden genomen wanneer de primaire componenten uitvallen

De onderstaande video legt uit hoe je volledig herstel na een ramp kunt uitvoeren met behulp van NAKIVO Backup & Replication.

5. Stel hersteldoelstellingen in en wijs een DR-locatie aan

De hersteltijd-doelstelling of RTO bepaalt hoeveel IT-systeemdowntime een bedrijf redelijkerwijs kan verdragen voordat processen of services worden hersteld. De herstelpunt-doelstelling of RPO definieert hoeveel gegevensverlies een bedrijf kan verdragen. Zowel RTO als RPO zijn belangrijke maatstaven in elk bedrijfscontinuïteitsplan.

Het aanwijzen van een rampherstel (DR) locatie voor netwerk-/gegevensfalen is cruciaal, aangezien het een onmiddellijke vervanging biedt in geval uw primaire productiesite offline gaat. Bovendien helpt het u om te garanderen dat uw hersteldoelstellingen worden behaald.

De DR-faciliteit, gelegen op een andere geografische locatie, fungeert als een “warme standby”-kopie van uw bronnen, zoals virtuele machines (VM’s). In geval van een site-brede storing die uw productienetwerk uitschakelt, kan het verkeer worden overgezet naar de DR-locatie. De “warme standby” VM’s worden in feite productie-workloads, waardoor bedrijfsactiviteiten worden hersteld en bedrijfscontinuïteit efficiënt wordt gewaarborgd.

U kunt geavanceerde oplossingen van derden voor gegevensbescherming gebruiken om productie-VM’s naar een externe DR-locatie te repliceren en het replicatie-interval af te stemmen op uw RPO. De replica-VM is een exacte kopie van de oorspronkelijke machine en kan worden gebruikt in een geautomatiseerd failoverproces bij de uitvoering van uw rampherstelplan.

Zorg ervoor dat alle bedrijfskritieke workloads worden beschermd.

De impact van een ramp kan aanzienlijk worden verminderd door uw bedrijfskritieke gegevens goed te beschermen. Maak uw back-ups veerkrachtig door de 3-2-1 regel toe te passen: heb minimaal 3 back-ups verspreid over 2 verschillende soorten opslagmedia, met minstens 1 kopie buiten het terrein opgeslagen.

Voer bedrijfsgegevensback-up uit volgens de 3-2-1 back-upmethodologie om de kortst mogelijke RPO’s en RTO’s te bereiken. Dit stelt u ook in staat ervoor te zorgen dat dezelfde ramp die uw productienetwerk heeft getroffen, uw back-upgegevens niet kan beïnvloeden.

7. Test en werk uw bedrijfscontinuïteitsplan bij

Zodra uw bedrijfscontinuïteitsplan compleet is, is grondig testen vereist. De beste manier om dit te doen is door uw werknemers te trainen om ervoor te zorgen dat ze hun rollen en verantwoordelijkheden volledig begrijpen. U kunt geen garantie bieden voor noodvoorbereiding zonder regelmatige trainingen en oefeningen uit te voeren. Belangrijker nog, door volledige simulaties op te zetten, kunt u zwakke punten binnen uw plan identificeren en verhelpen.

Zorg ervoor dat u alle procedures uitvoert om de stroom van een daadwerkelijk rampscenario na te bootsen. Dit soort tests worden het beste elk kwartaal uitgevoerd, aangezien sleutelteamleden vertrouwd blijven met het proces. Bovendien kunnen wijzigingen in uw infrastructuur, omgeving, protocollen, workloads en/of personeelsbestand complicaties introduceren in het plan. Deze potentiële struikelblokken worden vaak alleen ontdekt tijdens volledige doorlopen.

De simulaties moeten worden bekeken door een onafhankelijke waarnemer die aantekeningen kan maken van alle kwetsbaarheden. Er moeten debriefings zijn na elke doorloop, waarna u een rapport kunt opstellen dat de geconstateerde zwaktes en de voorgestelde updates documenteert. De rapporten, evenals het bijgewerkte bedrijfscontinuïteitsplan, moeten worden gedeeld met alle teamleden.

De Checklist Bedrijfscontinuïteitsplan

Hier is een vereenvoudigde BCP-checklist waarmee u de noodzakelijke fasen kunt doorlopen om de noodhulp voor te bereiden.

Maak een rampenrespons team

• Wijs een BCP-senior manager toe
• Maak een bedrijfscontinuïteitscommissie
• Kies teamleden voor de respons
• Definieer rollen en verantwoordelijkheden
• Kies secundaire afgevaardigden voor elk teamlid
• Leg duidelijke communicatie vast tussen alle leden

Identificeer essentiële bedrijfsdiensten

• Breng alle stroomsystemen in kaart
• Identificeer telecommunicatieapparaten
• Identificeer IT-systemen en servers
• Identificeer faciliteiten en gespecialiseerde apparatuur
• Identificeer de onderlinge afhankelijkheid tussen diensten
• Controleer nooddiensten

Voer risicobeoordeling en bedrijfsimpactanalyse uit

• Identificeer bedreigingen en kwetsbaarheden
• Stel het risicotolerantieniveau vast
• Bepaal kritieke bedrijfsprocessen
• Bereken maximale aanvaardbare uitvaltijd voor elke dienst
• Analyse financiële, juridische, regelgevende en klantimpact
• Identificeer de onderlinge afhankelijkheid tussen kritieke bedrijfsfuncties

Ontwikkel een herstelplan              

• Maak uw continuïteitsplan voor operaties (COOP)
• Stel handmatige oplossingen op voor geautomatiseerde processen
• Bereid u voor op site-level netwerk- en server failover
• Test het herstellen van offsite back-ups van kritieke gegevens
• Zorg ervoor dat standby-resources beschikbaar zijn

Stel hersteldoelstellingen vast en wijs een DR-locatie aan

• Wijs een secundaire locatie aan om bedrijfsactiviteiten te hervatten
• Stel herstelpuntdoelstellingen (RPO) in
• Stel hersteltijd-doelstellingen (RTO) in
• Beheer de processen voor rampenherstel

Bescherm bedrijfskritieke gegevens

• Voer back-ups uit voor bedrijfskritieke gegevens
• Sla gegevens op op on-site en off-site opslagapparaten
• Sla air-gapped back-ups op
• Mogelijk maken van onveranderlijkheid voor specifieke back-ups

Test en werk uw bedrijfscontinuïteitsplan bij

• Voer jaarlijkse, halfjaarlijkse, kwartaaltesten uit
• Voer jaarlijks volledige BCP-simulaties uit
• Maak een auditproces
• Identificeer kwetsbaarheden en werk het plan bij
• Train uw werknemers

Conclusie

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

Deze checklist biedt het kader voor een effectief bedrijfscontinuïteitsplan dat u kan helpen zelfs de ergste scenario’s te doorstaan. Houd in gedachten dat een BCP niet compleet kan zijn zonder een geavanceerde gegevensbeschermingsoplossing zoals NAKIVO Backup & Replication. De NAKIVO-oplossing omvat alle tools die u nodig heeft om back-up- en herstelprocessen uit te voeren, DR-workflows te automatiseren en niet-verstorende DR-tests uit te voeren om ervoor te zorgen dat aan uw hersteldoelstellingen wordt voldaan.