Leren van fouten door het testen van disaster recovery

We kennen het allemaal, leren van fouten. Niet dat we fouten willen maken maar we ontkomen er vaak niet aan. Waarom is het dan zo belangrijk om van fouten te leren als we kijken naar bedrijfscontinuïteit?

Vandaag de dag is bedreiging van de bedrijfscontinuïteit door ransomware en malware als cyber-risico een topprioriteit voor veel bedrijven. Hiervoor is er binnen de organisatie een disaster recovery plan opgesteld. Voor het geval dat het misgaat.

Theoretisch is de continuïteit geborgd.

Maar helaas is de praktijk vaak weerbarstiger. Dit kunt u voorkomen, door jaarlijks een disaster recovery simulatie of -test uit te voeren.

Een betrouwbare vuistregel:

Wist u dat de doorlooptijd (en daarmee de kosten) van het herstellen na een uitval circa 8 keer zo lang is dan de uitval zelf? Met andere woorden, één dag uitval kost ongeveer 8 dagen om ervan te herstellen. Hoe korter de uitval, hoe korter de hersteltijd en de daarmee gemoeide herstelkosten. (Deze laatste kostenpost is ook nog eens lastig te verzekeren).
Een andere vuistregel is dat 9 van de 10 missers in een plan niet naar boven komen als het plan gemaakt wordt, maar alleen als het getest wordt.

Neem beide regels mee naar uw directie om budget te krijgen voor het uitvoeren van een representatieve disaster recovery test inclusief het gebruik van de daarvoor bestemde uitwijklocatie of vervangende kantoorruimte.

Van uitstel komt afstel

Wacht niet totdat de calamiteit zich heeft voorgedaan. Natuurlijk worden dergelijke testen gezien als kostbaar en tijdrovend. En dat zijn ze ook. Maar als écht testen achterwege blijft, is er alleen een theoretisch plan.

Crisissimulaties zijn noodzakelijk

Zonder regelmatig te testen is de organisatie slecht voorbereid als het er op aankomt. Alleen als uw crisisteam is voorbereid en regelmatig samenkomt is er rust en daadkracht als het er écht op aankomt. Als zij het plan pas op dát moment ‘uit de kast pakken’, is er écht sprake van een crisis. Plan een crisissimulatie.

  • Leren van fouten - bedrijfscontinuïteit

Een crisissimulatie is niet echt

Natuurlijk heeft het simuleren van een disaster recovery test tekortkomingen, maar het helpt enorm om te onderkennen waar het beter kan. Fouten, die nu gemaakt mogen worden, komen in ‘vredestijd’ naar voren en dat is prima. Hier kunt u als organisatie van leren.  Hoe realistisch u de crisissimulatie wilt maken bepaalt u zelf. Vraag betrokken BCM-partners hierin wat er mogelijk is. Binnen COIN is het mogelijk om op een daadwerkelijke uitwijklocatie een volledige simulatie met herstel van ICT uit te voeren waarbij uw crisisteam een dag, een week of zelfs langer op de uitwijklocatie kan werken. Realistischer kan bijna niet.

Welke simulatie kunt u zelf doen en wat is er nodig?

Voordat u begint zijn er een paar punten van belang:

  • Betrek alle betrokkenen
  • Zet een overtuigend scenario neer
  • Kwantificeer en kwalificeer impact
  • Breng afhankelijkheden in kaart
  • Plan uw crisissimulatie

Betrek alle betrokkenen

Bepaal wie betrokken moeten zijn bij de simulatieoefening die u voor ogen hebt. De leden van uw crisisteam, uw CIO, de business continuïty manager, risk management en ICT. Maar ook functies die betrokken zijn vanuit communicatie, zowel interne- als externe communicatie. Afhankelijk van uw scenario zijn er andere functies betrokken.

Zet een overtuigend scenario neer

Om alle betrokkenen mee te krijgen is een realistisch scenario absolute noodzaak. Alleen dan gaat men serieus tijd en middelen investeren en zorgvuldig uitvoeren. Neem uw team mee om buiten kaders te denken, creatief te zijn en te willen leren van knelpunten of zelfs foutieve keuzes.

Kwantificeer en kwalificeer impact

Welke applicaties en processen zijn betrokken, identificeer deze en zet de impact op papier. Zo krijgt u een een goed beeld van de impact en de gevolgen bij uitval. Simpel gesteld, wat kost het ons als het proces stil ligt. Wat is de gevolgschade, duur van herstel.

Breng afhankelijkheid in kaart

Alles is met elkaar verbonden, vaak maken applicaties, toepassingen, processen deel uit van een keten. We praten hier over interne- en externe afhankelijkheden. Wat als uw ICT-partner niet meer bereikbaar is? Of niet de capaciteit heeft een storing te verhelpen die oorzaak is van de uitval van uw dienstverlening omdat zij het druk hebben met al hun klanten die er ook ‘uit liggen’?

Plan uw crisissimulatie

Durf te falen om veerkrachtiger te worden. Tijdens de simulatie kunt u zichzelf de vragen stellen of het wel haalbaar is om alles te herstellen. Of u voldoende informatie heeft? Of het mogelijk is een back-up terug te zetten? Wie u op welk moment moet informeren binnen uw organisatie? Wanneer u klanten, leveranciers of anderen moet informeren? Et cetera.

Het belang van een disaster recovery simulatie

Met dit artikel willen wij u wijzen op het belang van een crisissimulatie of disaster recovery simulatie. Hoe uitgebreid u dit wilt doen is een tweede. Ons advies is om periodiek dergelijke testen uit te voeren. Vraag uw IT-partner of BCM-partner naar mogelijkheden.

Last-but-not-least

Eindig een simulatie altijd positief, maar natuurlijk wel kritisch. De test deelnemers moeten namelijk de volgende keer weer meedoen….

Heeft u vragen aan onze specialisten, neem eenvoudig contact met ons op. Wij staan u graag te woord en geven advies.