Resilienz und Krisenmanagement im Mittelpunkt aller Anliegen. Ist Ihre Organisation bereit?
Um zu wissen, ob Sie ausreichend vorbereitet sind, bewerten Sie Ihr Reifegradniveau mit DEEP.
Warum ist es wichtig, einen Business Continuity Plan (BCP) zu haben?
In den letzten Jahren mussten Unternehmen zunehmend plötzliche, vielfältige Krisen mit starken Auswirkungen auf ihre Aktivitäten bewältigen. Neben der Pandemie und dem darauffolgenden wirtschaftlichen Rückgang müssen die Unternehmensleitungen auch geopolitische Konflikte, Energiekrisen, die exponentiell zunehmenden Cyberbedrohungen und die Risiken im Zusammenhang mit dem Klimawandel bewältigen, um nur die wichtigsten zu nennen. Risikomanagement und Geschäftskontinuität sind unerlässlich, um Prävention und Resilienz angesichts dieser Herausforderungen sicherzustellen.
Sich in einer unsicheren Welt zu behaupten, ist eine Überlebensbedingung, die Unternehmen dazu zwingt, ihre Business Continuity Plans (BCP) / Disaster Recovery Plans (DRP) zu entwickeln oder zu überarbeiten und ein ideales Maß an Resilienz zu gewährleisten.
Definition des Business Continuity Plans: Der BCP geht weit über den IT-Aspekt hinaus
BCP- und DRP-Projekte werden oft nur als IT-Projekte betrachtet, aber diese Ansätze müssen alle Aktivitäten und Prozesse abdecken, die das Geschäft des Unternehmens ausmachen: die IT-Systeme, aber auch die Energie- und Logistiklieferanten und die Räumlichkeiten, in denen die Mitarbeiter ihre Arbeit wieder aufnehmen können, wenn die des Unternehmens nicht mehr nutzbar sind.
Der Business Continuity Plan, ein bewährtes Konzept
Das Konzept der Geschäftskontinuität ist bewährt. In den 1980er Jahren tauchte es mit Disaster Recovery Plans (DRP) auf. Die Bemühungen konzentrierten sich hauptsächlich auf die IT, mit dem Ziel, die Verfügbarkeit der Systeme zu gewährleisten oder ihre schnelle Wiederherstellung nach einem Vorfall zu ermöglichen. Mit der Veröffentlichung der Norm BS 25999 und der Einführung der Zertifizierung ISO 22301 wurde das Konzept erweitert. Heute decken Projekte zur Geschäftskontinuität ein breites Spektrum ab. Sie werden vom Vorstand getragen und betrachten die Aktivitäten mit einem ganzheitlichen Ansatz.
DEEP unterstützt seine Kunden mit dem Ziel, sie cyber-resilienter zu machen. Geschäftskontinuität gehört zu seinen Hauptkompetenzen.
Leitfaden zur Erstellung eines Business Continuity Plans: 5 Regeln, die zu beachten sind
Regel Nr. 1: Beginnen Sie mit dem Geschäft, um die Auswirkungen zu bewerten
Die Analyse muss sich auf das Geschäft konzentrieren und alle Faktoren berücksichtigen, die das reibungslose Funktionieren der Aktivitäten beeinträchtigen können. Diese Herausforderungen gehen weit über die Verwaltung der Systeme hinaus, indem sie die wesentlichen Aktivitäten der Organisation identifizieren und eine bessere Prozessverständnis ermöglichen, um dann eine Auswirkungenanalyse durchzuführen. Es ist wichtig zu verstehen, welche Auswirkungen das Stoppen eines kritischen Prozesses im Laufe der Zeit und auf die gesamte Aktivität haben könnte.
Dieser erste Schritt ist Teil der Business Impact Analysis (BIA). Er kann nur durch eine gründliche Untersuchung aller Abteilungen der Organisation durchgeführt werden, um die unternommenen Aktivitäten und die Beteiligung jedes Einzelnen an den Verfahren zu identifizieren.
Regel Nr. 2: Identifizieren Sie kritische Aktivitäten und bewerten Sie das Unterbrechungstoleranzniveau
Führen Sie Interviews, um kritische Aktivitäten, die bestehenden Abhängigkeiten gegenüber anderen Abteilungen oder externen Akteuren zu identifizieren. Stellen Sie die Teams jeder Abteilung und Direktion auf den Prüfstand. Basierend auf einem bewährten Rahmenwerk und Best Practices bewerten Sie auch die Auswirkungen einer Unterbrechung der Aktivität auf jede Abteilung anhand verschiedener Kriterien wie Recovery Time Objective (RTO), Recovery Point Objective (RPO), Maximum Acceptable Outage (MAO) oder Minimum Business Continuity Objective (MBCO). Diese Indikatoren zeigen, was in Bezug auf Unterbrechungen für jede Abteilung akzeptabel ist, bis hin zur tatsächlichen Fähigkeit der IT, das Geschäft im Rahmen einer Kontinuitätsstrategie zu unterstützen.
Regel Nr. 3: Passen Sie die Bedürfnisse an den Geschäftsbetrieb an
Da die Wahrnehmungen dessen, was akzeptabel ist, von Abteilung zu Abteilung variieren können, besteht eines der Ziele darin, die unterschiedlichen Sichtweisen im Hinblick auf die tatsächlichen Geschäftsanforderungen in Einklang zu bringen. In den meisten Fällen werden die Entscheidungen auf Unternehmensebene getroffen, wobei das obere Management oft die einzige Instanz ist, die über die akzeptablen Risiken entscheiden kann. Das Management rationalisiert und entscheidet oft im Hinblick auf das akzeptable Risiko für das Geschäft, also den Sektor und die Kunden des Unternehmens im Falle eines schwerwiegenden Vorfalls. Um eine Zertifizierung im Bereich Geschäftskontinuität zu erhalten, ist es unerlässlich, die Bedürfnisse aller Teams in Bezug auf einen kritischen Prozess in Einklang zu bringen.
Regel Nr. 4: Bewerten Sie die Prozesse, um die besten Lösungen zu finden
Die Geschäftsfolgenabschätzung steht im Mittelpunkt aller Maßnahmen zur Geschäftskontinuität und zur Vermeidung beruflicher Risiken. Sie wird durch eine Risikoanalyse ergänzt. Diese umfasst die Identifizierung von Bedrohungen, die zur Unterbrechung einer als kritisch angesehenen Aktivität führen könnten, und die Bewertung der Wahrscheinlichkeit ihres Eintretens. Wenn ein Unternehmen all diese Elemente berücksichtigt, können Szenarien und Wiederherstellungspläne für verschiedene Fälle entwickelt werden. Betrachten Sie die Prozesse, setzen Sie sie Bedrohungen aus, um die Lösungen zu finden, wie die Verlagerung der Mitarbeiter oder ein Plan zur Systemwiederherstellung, die Sicherstellung der Wiederherstellung von Telekommunikationsleitungen und die Bewertung der Resilienz Ihrer kritischen Lieferanten.
Regel Nr. 5: Machen Sie sich das Leben leichter. Nutzen Sie die ISO 22301-Zertifizierung
Die ISO 22301-Zertifizierung wurde speziell entwickelt, um Organisationen zu unterstützen, sich in einem kontinuierlichen Verbesserungsprozess zu engagieren: Es ist ein standardisierter Rahmen, ideal für den Einstieg. Das Hauptziel besteht darin, das Geschäft in seiner Gesamtheit besser zu schützen, indem man die Prozesse und Risiken besser versteht und deren Robustheit in Zusammenarbeit mit allen Beteiligten wie Kunden, Partnern oder dem Regulator sicherstellt. Die Einbeziehung der Humanressourcen ist ebenfalls entscheidend, um eine wirksame Prävention und eine auf die Bedürfnisse des Unternehmens abgestimmte Kontinuitätsstrategie zu gewährleisten. Eine solche Zertifizierung ist geeignet, Vertrauen zu schaffen und die Geschäftskontinuität zu gewährleisten. DEEP unterstützt Institutionen im Finanzsektor, Banken, Industrie und Versicherungen bei der Erlangung dieser Zertifizierung.
Abschließend: Unterscheiden Sie Risiko von Bedrohung, um Ihren Business Continuity Plan zu optimieren
Viele Akteure verwechseln Risiko und Bedrohung. Es ist jedoch wichtig, sie zu unterscheiden. Die Bedrohung ist ein spezifisches Element, ein klar identifizierbares Ereignis. Es kann sich um die Offenlegung von Informationen, einen Bestechungsversuch, eine Systemintrusion oder einen Terrorakt handeln. Diese Bedrohung kann je nach den vorhandenen Schwachstellen mehr oder weniger leicht auf einen Prozess einwirken.
Um das Risiko zu bewerten, müssen Sie die Bedrohung identifizieren und die Wahrscheinlichkeit bestimmen, dass sie den Prozess beeinträchtigt. Sie müssen auch die Auswirkungen dieses möglichen Ereignisses auf die Geschäftstätigkeit, die Finanzen, den Ruf oder die regulatorischen Verpflichtungen bewerten. Daraus ergibt sich ein niedriges, mittleres oder hohes Risikoniveau. Auf dieser Basis und mit diesen Indikatoren kann der Manager das Ziel festlegen: eliminieren, mindern oder akzeptieren.
