Waar een langdurige uitval van de informatievoorziening kan leiden tot het afbrokkelen van de businesscontinuïteit, verdient de inrichting van IT-crisismanagement en het ontwikkelen van IT-crisisresponseplannen de aandacht. Een gedegen aanpak gaat evenwel verder dan het opzetten van uitwijk, twinning van rekencentra en/of het ontwikkelen van disaster/recoveryscenario ’s.
More than Just Lines on a Map: Best Practices for U.S Bike Routes
It crisis management
1. 116 januari | februari 2009
Crisismanagement is meer dan een disaster/recoveryscenario
Problemen
te lijf!
Waar een langdurige uitval van de informatievoorziening kan
leiden tot het afbrokkelen van de businesscontinuïteit, verdient de
inrichting van IT-crisismanagement en het ontwikkelen van IT-crisis-
responseplannen de aandacht. Een gedegen aanpak gaat evenwel
verder dan het opzetten van uitwijk, twinning van rekencentra en/of
het ontwikkelen van disaster/recoveryscenario’s.
Door Wiepko Siegers
2. 117IT in the boardroom
D
e langdurige stroomuit-
val in Haaksbergen en in
de Bommelerwaard, de
regelmatig optredende
recall van consumenten-
producten, de terroris-
medreiging, de mogelijkheid tot het
optreden van een grootschalige ramp
op een productielocatie van een on-
derneming of in de openbare ruimte;
al deze (potentiële) voorvallen hebben
duidelijk gemaakt dat een onderne-
ming zich op dergelijke crises dient
voor te bereiden. Business-continu-
itymanagement (BCM) en daarmee
crisismanagement en crisisbeheersing
krijgen in ondernemingen in elk geval
steeds meer nadruk.
Om het inzicht in de mogelijke (dis-)
continuïteitsaspecten van een on-
derneming te vergroten en hierop de
juiste pro- en/of reactieve maatregelen
te kunnen nemen bestaan best practi-
ses zoals PASS56 en haar opvolger, de
business-continuitymanagementstan-
daard BS25999.¹
Dergelijke methodieken gaan ervan uit
dat onder andere een businessimpact-
analyse (BIA)² en/of een value at risk
(VAR) dan wel riskassessment (RA)
wordt uitgevoerd, op basis waarvan
een duidelijk inzicht in de mogelijke
discontinuïteitsaspecten kan worden
gevormd. Het voert te ver om hier ver-
der op deze methodieken in te gaan.
Wat is een crisis?
Het overschrijden van de grens waar-
bij je besluit dat een incident leidt tot
een crisissituatie is afhankelijk van de
organisatie. Denk hierbij aan aspec-
ten als financiële schade binnen een
bepaald tijdsframe, imagoschade, op-
tredende veroorzaakte milieuschade,
bedreiging van gezondheid en/of vei-
ligheid van werknemers en anderen,
het uitvallen van openbare voorzienin-
gen, langdurige onderbreking van (pri-
maire) processen van de onderneming
en/of klanten, enzovoorts. Aspecten
die als zij boven een (zelf te definiëren)
grens uitkomen, kunnen leiden tot een
discontinuïteit van de onderneming.
Om dergelijke situaties te kunnen
voorkomen, erop voorbereid te zijn
en ze het hoofd te kunnen bieden, kan
een onderneming crisismanagement
inrichten.
Vanuit de ondernemingsfilosofie en
de zienswijze op businesscontinuity
zal zowel aan de verschillende busi-
nessunits als aan de IT-organisatie
gevraagd kunnen worden zich door
middel van onder andere een crisis-
managementplan voor te bereiden op
mogelijke crisissituaties. Enerzijds
hebben de businessunits en de IT-or-
ganisatie ieder een eigen gescheiden
verantwoordelijkheid. Anderzijds zal,
bijvoorbeeld in het geval van te reco-
veren systemen en applicaties, nauw
moeten worden samengewerkt.
Een grootschalig incident in de IT-
voorzieningen kan leiden tot een si-
tuatie waarbij de continuïteit van de
business in het geding is. Dit zal zeer
waarschijnlijk leiden tot een crisisma-
nagementsituatie op minimaal busi-
nessunitniveau.
Het kunnen nadenken over zogenaam-
de ‘unlikely events’ die kunnen leiden
tot een (IT-)crisis, verlangt een vorm
van out-of-the-boxdenken. Het gaat
daarbij niet om het onderkennen van
mogelijke rampscenario’s, zoals brand
in een rekencentrum, maar veel meer
om situaties waarbij genuanceerder,
subtieler en/of door onduidelijke en/
of onbestuurbare oorzaken (delen van)
de informatievoorziening onbruik-
baar (dreigen te) worden. Ook situaties
waarbij de IT-organisatie of business-
unit zelf – net als elke normale onder-
neming – te maken kan krijgen met
zaken als afpersing, verlies van men-
senlevens, imagoschade, enzovoorts
vallen hieronder.
Crisismanagementplan
Op het moment dat al dan niet een IT-
gerelateerde crisis dreigt, is het van
belang dat ook de IT-organisatie via
het eigen crisismanagementplan is
voorbereid op een dergelijke situatie.
Dit plan beschrijft en/of regelt over het
algemeen de volgende aspecten:
Verantwoordelijkheid voor het
benoemen van een crisissituatie
en het opstellen van een crisismanage-
mentplan.
Relatie met en de verantwoorde-
lijkheidsverdeling tussen het IT-
crisisteam, het businessunitcrisisteam
en/of het crisisteam op het niveau van
een raad van bestuur.
Vereiste crisisorganisatie, de be-
reikbaarheid, de oproepbaarheid
en het punt (de punten) van samen-
komst.
Proces van opschaling van het
incident naar het crisisniveau.
Proces van op- en afschaling van
de crisisorganisatie.
Beschikbare crisisruimtes, in-
clusief beschrijving van de beno-
digde faciliteiten.
Relatie tussen het soort crisis en
het (af te roepen) crisisresponse-
plan (of -plannen).
Verantwoordelijkheden en uit-
voering van in- en externe com-
municatie.
Aftercare en projectregelingen
teneinde de oorspronkelijke situ-
atie te herstellen.
Naast de bovengenoemde aspecten,
die behoren te worden beschreven in
het IT-crisismanagementplan, ver-
dient het aanbeveling om een aantal
andere, meer praktische instrumenten
te ontwikkelen die opstart en beheer-
sing van een crisissituatie vergemak-
kelijken. Voorbeelden hiervan zijn:
Standaardagenda IT-crisisteam,
checklists, stakeholderslist, ver-
gaderschedules, enzovoorts.
Telefoonlijsten.
Oproepkaart op creditkaartfor-
maat, waarop de belangrijkste
namen en telefoonnummers, de crisis-
Voorbeeld:
Brand
Als gevolg van brand in het
rekencentrum zijn alle computer-
systemen onbruikbaar geworden.
Je hebt niet voor alle computer-
systemen en back-up-/restore-
voorzieningen een uitwijkcon-
tract, vervangende apparatuur, et
cetera ingeregeld.
Hoe bestuur je een dergelijke ca-
lamiteit van een dergelijke omvang
en met een dergelijke impact? Welk
overzicht en inzicht heb je over
de apparatuur, toeleveranciers,
back-ups en back-upadministratie,
importantie van de verschillende
applicaties, afhankelijkheden tussen
applicaties en de belangrijkste in-
terne en externe stakeholders? Hoe
communiceer je met de toeleveran-
ciers, afnemers en andere klanten?
En wie doet dat?
3. 118 januari | februari 2009
ruimtes, inclusief 24x7-toegangsrege-
ling en bijvoorbeeld de eerste stappen
‘hoe te handelen bij een dreigende IT-
crisis’ staan vermeld.
De uitgebreidheid, gedetailleerdheid
en de te benoemen aspecten in het IT-
crisismanagementplan en het prak-
tische materiaal wordt ook beïnvloed
door de hierna beschreven IT-crisis-
responseplannen.
Crisisresponseplan
Daar waar een IT-crisismanage-
mentplan meer de overkoepelende
organisatie en verantwoordelijkheid
beschrijft, gaat het IT-crisisresponse-
plan meer in op alle facetten van het
tijdelijke (alternatieve) herstel van een
specifiek grootschalig onderdeel van
de informatie-infrastructuur, zoals
het datacommunicatienetwerk, een
computerzaal, de totale klimaatrege-
ling of de stroomvoorziening in het
rekencentrum.
Het IT-crisismanagementplan kan,
afhankelijk van de crisis, een of meer-
dere crisisresponseplannen afroepen.
Op dezelfde wijze kan bijvoorbeeld
een crisisresponseplan bestaan uit
een uitwijkscenario, dan wel meerdere
uitwijk/recoveryscenario’s afroepen,
afhankelijk van de fysieke situatie van
het rekencentrum en de grootschalig-
heid van de crisis.
Een IT-crisisresponseplan bevat twee
hoofdlijnen. Allereerst worden alle
(contractuele) afspraken en regelingen
vastgelegd waarop tijdens een IT-cri-
sis een beroep wordt gedaan. Bijvoor-
beeld afspraken met de brandweer en
afroepcontracten voor alternatieve
hardware.
Daarnaast bevat het feitelijke IT-cri-
sisresponseplan een beschrijving van
de organisatie en alle handelingen en
acties die moeten plaatsvinden ten-
einde op operationeel niveau de crisis
adequaat te kunnen bestrijden.
Belangrijk is dat helder is wie verant-
woordelijk is voor het opzetten en ac-
tueel houden van de IT-crisisrespon-
seplannen, dat deze uniform worden
opgezet, dat de plannen buiten de ‘ge-
varenzone’ worden bewaard en dat de
praktische gebruiksmogelijkheden re-
gelmatig worden getoetst en geoefend.
Management vs. response
Hoe meer er vooraf is geregeld en hoe
meer is beschreven in de IT-crisisres-
ponseplannen, des te minder hoeft
er op het niveau van het IT-crisisma-
nagementplan en organisatie te wor-
den beschreven en/of ge-
ïmproviseerd tijdens een
crisis. Het IT-crisisteam
kijkt meer naar buiten en
naar de directe omgeving
en stuurt onder andere
de teams aan die het cri-
sisresponseplan feitelijk
uitvoeren. Het crisisres-
ponseplan en de teams
die het uitvoeren, kijken
meer naar binnen, voe-
ren het plan zogezegd uit
en dragen zorg voor een
adequate operationele
oplossing.
Naast het verschil tussen
management en response
dient tevens onderscheid
gemaakttewordentussen
IT-crisismanagement en
continuityplannen, zoals
uitwijkscenario’s, disaster/recovery-
scenario’s en twinning van rekencen-
tra. Deze voorzieningen kunnen welis-
waar leiden tot een grotere continuïteit
van de informatievoorziening, maar
blijven ‘slechts’ voorzieningen die wel-
licht ten tijde van een IT-crisis worden
aangeroepen. Deze bijbehorende plan-
nen en scenario’s zijn daarmee (een
deel van) een IT-crisisresponseplan,
maar kunnen ook zelfstandig, in het
Voorbeeld:
Cybercrime
Iemand is van buitenaf in staat om
stapsgewijs computersystemen
middels een vorm van virusbe-
smetting/hacken buiten bedrijf
te stellen, om op die manier de
onderneming af te persen.
Besluit je de politie in te schakelen?
Kun je (snel) beoordelen of en waar
je datacommunicatieverbindingen
moet verbreken, computersy-
stemen uitzetten (in een virtuele
omgeving), enzovoorts, teneinde
verdere (externe) verspreiding tegen
te gaan? Wil je en ben je in staat de
zakenpartners (snel) op de hoogte te
brengen van de mogelijk door hen te
lopen risico’s?
Voorbeeld:
Datacorruptie
Als gevolg van een lichte ver-
storing op het datacommunica-
tienetwerk ontstaat een vorm
van datacorruptie die niet door
een applicatie als zodanig wordt
herkend. Deze datacorruptie
propageert zich binnen andere
applicaties en heeft een vorm van
domino-effect tot gevolg.
Kun je (snel) detecteren waar de
verstoring zich voordoet? Besluit
je, uit voorzorg, (een deel van) de
computersystemen uit te schakelen?
Ken je alle (typen) afhankelijkheden
tussen applicaties en data? Kun
je beoordelen in welke volgorde je
welke data van welke ouderdom
kunt restoren?
Nadenken
over ‘unlikely
events’ moet
out-of-the-box
gebeuren
Corporate
Business
Continuity
Management
strategie
Business
Unit X crisis
management
plan
Business
Unit X crisis
response plan
per ‘unlikely
event’
Business Unit
X recovery-
plan in relatie
tot systeem
recovery
IT crisis
management
plan
IT crisis
response plan
per ‘unlikely
event’
IT disaster/
recovery
plan(nen)
Business Unit
IT-organisatie
Corporate IT-crisis-
manager
4. 119IT in the boardroom
in welke mate men de crisisorganisatie
wil trainen en oefenen in het beheer-
sen van crisissituaties. Het is mogelijk
om in allerlei varianten te oefenen en
crises te simuleren tijdens en ten be-
hoeve van een levensechte oefening:
Het IT-crisisteam kan afzonder-
lijk oefenen, dan wel in combi-
natie met een businessunitcrisisteam,
een RvB-crisisteam, of in combinatie
met zogenoemde ‘solutionteams’. Ook
is het mogelijk gezamenlijk met de (lo-
kale) overheid te oefenen.
Men kan gepland en ongepland
oefenen, terwijl tevens een be-
reikbaarheids- en een oproepbaar-
heidsoefening zeer zinvol kunnen zijn.
Als oefenvormen
kan men kiezen
voor table-topoefe-
ningen waarbij slechts
gebruikgemaakt wordt
van een papieren case-
beschrijving en even-
tueel additioneel op
papier te verstrekken
informatie. Daarnaast
is het mogelijk een vol-
ledig interactieve oe-
fening te ontwerpen,
waarbij interactie tus-
sen teams mogelijk is
en niet in de oefening
betrokken partijen
door de spelleiders
worden gespeeld en
gesimuleerd. In het genoemde oefen-
plan en in alle hierboven genoemde
oefenvarianten is het van belang even-
tueel externe outsourcingspartijen te
betrekken. Enerzijds als medebeheer-
sers van de crisissituatie, anderzijds
wellicht als organisatie waarbinnen de
crisissituatie zich voordoet.
Maturity
Op het gebied van businesscontinu-
itymanagement (BCM) zijn reeds
verschillende maturitymodellen ver-
schenen. Zij bieden de mogelijkheid
te meten in hoeverre de onderneming
veerkracht heeft ontwikkeld. Op basis
hiervan kunnen eventueel verbeter-
plannen worden opgesteld.
Voor zover bekend bestaan deze mo-
dellen nog niet voor het specifieke
gebied, al dan niet IT-gerelateerd, cri-
sismanagement. Het is echter redelijk
eenvoudig om aan een dergelijk BCM-
maturitymodel een aantal meetpun-
ten op het gebied van (IT-)crisisma-
nagement toe te voegen, dan wel deze
apart te wegen. Aparte secties met
‘Ontwikkelen (IT-)crisismanagement
en (response)plannen’ en ‘Oefenen,
onderhoud plannen en auditen’, geven
al bijzonder veel inzicht in de huidige
status van (IT-)crisismanagement en
mogelijke verbeterpunten.
Indien, op basis van bijvoorbeeld een
jaarlijkse maturitymeting, de plan-
nen en oefeningen regelmatig worden
getoetst en verbeterd, zal een onder-
neming in staat zijn op een vrij ge-
stroomlijnde wijze de basisactiviteiten
tijdens een (potentiële) crisis te sturen
en te beheersen. Hierdoor ontstaat
rust, ruimte en overzicht om in het ge-
val van onverwachte wendingen snel te
kunnen reageren en improviseren, en
aldus een crisis relatief eenvoudig het
hoofd te kunnen bieden.
1 De standaard van het BSi (British Standards
institution).
2 Heeft tot doel de gevolgen te bepalen van die
risico’s die een lage waarschijnlijkheid en een
hoge mate van impact kennen. De BIA geeft
inzicht in de financiële en niet-financiële im-
pact per proces, afdeling of businessunit.
geval er (nog) geen sprake is van een
(dreigende) crisis worden uitgevoerd.
Hetzelfde geldt mutatis mutandis voor
availabilitymaatregelen en -scenario’s.
Zij leiden tot een hogere beschikbaar-
heid van de informatievoorziening,
maar regelen niets op het niveau van
crisismanagement.
Naast het crisisresponseplan voor de
IT-organisatie en voor de business-
unit(s), dient de businessunit in sa-
menwerking met de IT-organisatie
bovendien een recoveryplan te ont-
wikkelen. Dit plan is voornamelijk
gericht op de controle van de applica-
ties. Daarnaast richt het zich ook op de
controle, de synchroniteit en het her-
stel van de data (ook tussen applicaties
en met derden), nadat de applicaties
en systemen na de calamiteit weer be-
schikbaar zijn gesteld.
Oefeningen
Bij een IT-crisismanagementplan
hoort tevens een afzonderlijk IT-crisis-
managementoefenplan. In dit meerja-
renoefenplan wordt beschreven hoe en
Voorbeeld:
Gijzeling
Een overspannen rekencentrum-
medewerker is ontevreden over
zijn werkomstandigheden en
besluit collega’s in het reken-
centrum in gijzeling te nemen,
teneinde zijn eisen ingewilligd te
krijgen.
Besluit je de politie in te schakelen
of los je het zelf op? Besluit je, uit
voorzorg, (een deel van) de compu-
tersystemen (op afstand) uit te scha-
kelen? Wat zijn de consequenties
voor de verschillende stakeholders?
Voorbeeld:
Stroomuitval
In de regio waar je computercen-
trum is gevestigd valt voor lan-
gere tijd de stroom uit. De nood-
stroomvoorziening is niet in staat
deze tijd volledig te overbruggen.
Diesel voor het dieselaggregaat is
niet voldoende en niet voldoende
snel aan te voeren.
Besluit je, uit voorzorg, (een deel
van) de computersystemen, de koe-
ling, enzovoorts uit te schakelen?
Wat zijn de consequenties voor de
verschillende stakeholders?
✒ WIEPKO SIEGERS (w.siegers@ebius.
nl) is als interim-(programma)manager
in dienst van Ebius en in die hoedanig-
heid is hij verantwoordelijk geweest
voor de inrichting van IT-crisisma-
nagement bij een grote Nederlandse
onderneming.
Maturity-
modellen
maken de
veerkracht
inzichtelijk
Governance/Beleid
Strategie
Organisatie
Processen
Applicatie-Data
Technologie
Faciliteiten
pre-conditions
preparatie
crisis
response
plannen
disaster back to
normal
Backup Recovery