Plannen voor ICT-incidenten aan de hand van een bedrijfscontinuïteitsplan
Wanneer ICT-systemen uitvallen, heeft dit een impact op de dienstverlening. Een beperkte onderbreking van de dienstverlening is hinderlijk, maar misschien nog aanvaardbaar. Langere onderbrekingen kunnen voor sommige delen van de dienstverlening onaanvaardbaar zijn. Om na een uitval van de ICT-systemen binnen een redelijke periode de dienstverlening te kunnen hervatten en dit op een gestructureerde manier te doen, is een bedrijfscontinuïteitsplan (BCP) een goede hulp.
Een BCP is een plan dat proactief nagaat op welke manier risico’s die het normale verloop van de dienstverlening in het gedrang brengen, vermeden of ingeperkt kunnen worden. Het beschrijft in detail de stappen die voor, tijdens en na een gebeurtenis/calamiteit dienen genomen te worden om de dienstverlening van de organisatie zo snel mogelijk verder te zetten.
Het bedrijfscontinuïteitsplan van Wervik beschrijft in het algemeen en ook voor enkele specifieke scenario’s:
- Het doel van het BCP;
- Een overzicht van de sleutelactoren die het BCP zullen uitvoeren en sturen (incl. contactgegevens);
- Een overzicht van de scenario’s en te ondernemen acties richting herstel;
- Een overzicht van eventuele locaties om uit te wijken, moest een locatie gecompromitteerd zijn;
- Een overzicht van de ICT-infrastructuur (netwerk, configuratie, hard- en software) met de voorziene ontdubbeling of redundantie voor belangrijke infrastructuur en systemen;
- Een overzicht van de contactpersonen bij IT-dienstenleveranciers in geval van nood;
- Een overzicht van de kritische systemen;
- Een overzicht van mogelijke risico’s en de manier waarop de organisatie deze remedieert of mitigeert.
Een back-upprocedure is een belangrijk element voor het verzekeren van de bedrijfscontinuïteit. De meest recente, niet-gecompromitteerde back-ups zullen gebruikt worden om de informatie en software terug te herstellen. Wervik heeft ervoor gekozen om de back-upprocedure afzonderlijk te documenteren.
Nota van Audit Vlaanderen:
- Wervik beschikt wel over een overzicht van kritische systemen maar kende aan de verschillende processen of systemen nog geen prioriteit toe voor de te herstarten dienstverlening. Zo’n prioritering zou het BCP nog kunnen versterken, want het laat toe om een onderscheid te maken tussen processen die (quasi) continu moeten doorlopen en processen waar enige onderbreking geen probleem vormt. Elk lokaal bestuur kan zelf bepalen welke keuzes hiervoor het meest zijn aangewezen..
- Een BCP vermeldt best ook de herstelpuntdoelstelling (Recovery Time Objective) en het afgesproken maximale toegelaten verlies aan data (Recovery Point Objective of RPO) na een calamiteit. Dit gebeurt idealiter in overeenstemming met de diensten die geïmpacteerd zullen zijn bij de onbeschikbaarheid van informatie(bronnen).
- Duidelijke, efficiënte en gestroomlijnde communicatie tijdens een calamiteit, helpt de organisatie sneller terug naar de normale dienstverlening te doen terugkeren. Daarom is het zinvol om ook communicatie-acties naar leveranciers, burgers of andere mogelijke betrokkenen te verwerken in het BCP.
- Om te garanderen dat het BCP ook geconsulteerd kan worden wanneer de opslaglocatie niet beschikbaar is (e.g. geen stroom, kapotte server, geen internetverbinding) is het aangeraden om ook een offline kopie bij te houden van het BCP en deze actueel te houden.
Stappenplan voor implementatie
- Oplijsten welke problemen zich kunnen voordoen.
- Beschrijven in welke situaties het bedrijfscontinuïteitsplan in werking treedt.
- Bekijken welke diensten de organisatie verleent en evalueren welke prioritair/tijdskritisch zijn.
- Bepalen welke stappen er gezet moeten worden om een dienst operationeel te krijgen, wat daarvoor nodig is en wie daarvoor verantwoordelijk is.
- Voorzien van uitwijklocaties, zorgen dat daar minimale ICT- en communicatiemiddelen snel voor handen zijn en de toegang tot deze locaties beschrijven.
- Opstellen van een lijst met te contacteren IT-dienstverleners.
- Bepalen wie in het bezit moet zijn van een (eigen) exemplaar van het bedrijfscontinuïteitsplan.
- Opstellen van een inventaris van bedrijfsmiddelen, met een overzicht van de middelen die eventueel vervangen moeten worden.
- Bepalen wanneer een volledig herstel bereikt kan worden.
- Opstellen van een timing om de plannen periodiek uit te testen.
Tips voor opzet in een organisatie
- Stel het plan gezamenlijk op, betrek de algemeen directeur, de functionaris voor gegevensbescherming, de IT-verantwoordelijke en andere medewerkers (zoals de preventieadviseur of noodplanambtenaar).
- Test het BCP periodiek en werk het bij op basis van de resultaten. Zo blijven de plannen actueel, blijven de verantwoordelijken zich bewust van hun rol en doen er zich geen verrassingen voor wanneer het echt nodig is.
- Voorzie een offline kopie van het plan en zorg dat dit actueel gehouden wordt.
Welke risico’s worden afgedekt door de implementatie van deze goede praktijk?
- Diensten kunnen niet geleverd worden door een uitval van systemen.
- Adequaat herstel na verlies, schade of diefstal is niet gegarandeerd.
- Cruciale informatie gaat verloren.
- Burgers krijgen problemen omdat ze documenten niet op tijd krijgen.
- Het lokaal bestuur lijdt imagoschade omdat burgers niet op tijd kunnen worden geholpen.
Contactpersoon
Coördinator Interne ondersteuning en digitalisering
Bart Vanneste
Bart.vanneste@wervik.be