Business Continuïteitsmanagement

Praktische gids – Privacy in de onderneming

admin

Auteurs: Marga Caproni en Stéphanie De Smedt

Dit boek, bestaande uit twee delen met 29 hoofdstukken, vat in 297 blz vol vragen met antwoorden een visie op de GDPR samen uit de advocatenpraktijk van de twee auteurs.

Deel een is een inleiding die een terugblik geeft op de vorige privacyrichtlijnen, maar ook een interpretatie geeft van de aanverwante wetgeving zoals de telecommunicatiewet en de camerawet. Deze komen later in het boek nogmaals aan bod.

In deel twee, wettelijke verplichtingen, doen de auteurs, steeds in vraag en antwoord, die dingen uit de doeken die elke CxO moet weten over de privacywetgeving: ben ik verantwoordelijk, is mijn bedrijf onderhavig aan deze nieuwe wet, en persoonsgegevens, wat is dat allemaal?

Daarna komt de kat op de koord voor de juristen zelf: wat zijn de verplichtingen, waar liggen de grenzen voor de werkgever en de werknemer, voor de verantwoordelijke, de DPO, de verwerker en de betrokkene?

In het boek komen tal van onderwerpen aan bod, die soms zeer verregaand zijn, zoals alcohol en drugstesten, controles bij mogelijke diefstal, schaduwen van personen, geolocatie van wagens of smartphones, overname van een organisatie… Het komt allemaal aan bod, steeds met een uitgebreide motivatie waarom de auteurs een bepaald standpunt innemen, waarbij ze tegen de werkgroep WP29 durven ingaan.

De auteurs brengen met hun schrijfwijze in hun boek een stuk gespecialiseerde nieuwe wetgeving op een aangenaam leesbare manier onder de aandacht van de juridische leek.

De Perfecte Ramp – Het einde van de wereld en hoe dat te voorkomen

admin

Auteur: John Casti

Het boek is geschreven “Voor de kenners van unknown unknowns” en is opgedeeld in drie delen.

Het eerste deel – Waarom normaal niet meer normaal is – vertelt over complexiteitstheorie. De complexiteitstheorie houdt in dat elke issue twee (of meer) kanten heeft, bijvoorbeeld een dienstlevering van een organisatie heeft een organisatiezijde en een klantenzijde. Beide hebben een bepaalde graad van complexiteit. Zonder in te gaan op de definities van complexiteit hier, maar vanuit het buikgevoel kunnen we hiervoor als overduidelijk voorbeeld de levering van elektriciteit bekijken in de USA. Daarvan kunnen we zeggen dat de vraagzijde zeer complex is: verschillende hoeveelheden, verschillende tijden, verschillende behoeften die doorheen de geschiedenis als een zeer complex systeem gegroeid zijn. Maar daar staat een verouderde infrastructuur tegenover, die ten aanzien van de huidige stand van technologie een lage complexiteit heeft. Tussen beide complexiteitsniveaus bestaat er een gap, die volgens de complexiteitstheorie een bron zijn van kwetsbaarheden, en een extreme gebeurtenis kunnen uitlokken om het systeem te corrigeren. Bijvoorbeeld een black-out. Dit voorbeeld is een eenvoudige illustratie van de theorie, die overduidelijk is. De beste oplossing voor de continuïteit van de klantzijde en de leverancierszijde is in dit geval een verhoging van de complexiteit aan de leverancierszijde, tot deze die van de klantzijde evenaart. Met andere woorden een technische upgrade.

Het eerste deel eindigt met zeven complexiteitsprincipes:

Complexiteit Voornaamste eigenschap
Emergentie Het geheel is niet gelijk aan de som der delen
Rode Koningin-hypothese Evolueren om te overleven
Voor niets gaat de zon op Uitwisseling tussen efficiëntie en veerkracht
Goudlokje-principe Vrijheidsniveaus zijn ‘precies goed’
Onvolledigheid Alleen logica is niet genoeg
Vlindereffect Kleine veranderingen kunnen enorme gevolgen hebben
De wet van de vereiste variëteit (deze is de ietwat belangrijkste) Alleen complexiteit kan complexiteit controleren

 

Deel twee is een verzameling van 11 hoofdstukken, die elk over een apart geval gaan, waarin telkens de complexiteitsgap getoond wordt en hoe daaruit een ramp kan ontstaan.

In deel drie beargumenteert de auteur dat de breedte van de kloof of de overdaad aan complexiteit, gezien kan worden als een nieuwe manier voor het kwantificeren van het risico op een extreme gebeurtenis. Dit echter zonder echt in te gaan op formules.

Ten slotte bepaalt de auteur drie principes waarmee de gap kleiner kan gemaakt worden of kan voorkomen worden.

Een eerste principe is dat systemen en personen zo adaptief mogelijk moeten zijn. Omdat de toekomst ongekend is maar steeds gevaarlijker wordt, is het verstandig om de infrastructuren te ontwikkelen met een grote mate van vrijheden, om datgene wat je tegenkomt te kunnen pareren of te gebruiken.

Het tweede aspect, veerkracht, is nauw verwant aan het eerste principe, dat van adaptatie. Hiermee kun je niet enkel klappen incasseren maar ook je voordeel er uit halen.

Het derde principe is redundantie. Dit is een beproefde methode in de veiligheidswetenschappen om een systeem of infrastructuur gaande te houden wanneer het geconfronteerd wordt met onbekende onvoorzienbare en voorzienbare schokken. Eigenlijk draait het hier om extra capaciteit die ter beschikking staat wanneer er bijvoorbeeld een defect optreedt.

Exponential Organizations

admin

Auteurs: Salim Ismail; Michael S. Malone; Yuri Van Geest

Sinds mensheugenis is de mensheid bezig met productiviteit. Productie voorzag de mensen van schaarse middelen die door hun schaarste veel waard waren/zijn. De laatste decenia is het internet fel op de voorgrond gekomen, en daarbij horend het begrip “Creative Destruction” en “disruptieve technologie”.  De grote bedrijven dachten 15 jaar geleden meestal nog over het internet als “iets dat een fenomeen is van de tijd”. Heden ten dagen, na een uitleg over exponentiële organisaties zien ze in dat het internet een fenomeen is dat het begin is van alles.

Maar wat zijn dat nu, die “Exponentiële organisaties”?

Het zijn doorgaans kleine organisaties die gebruik maken van de modernste technologie om nieuwe oplossingen te bedenken voor vragen uit de markt, waarvoor soms al oplossingen bestaan. Ze veroveren door de nieuwe toepassing de markt op zeer korte tijd, op een exponentiële manier. Voorbeelden hiervan zijn smartphones en tablets, die de fotografie en de papieren krantenwereld een ferme deuk gegeven hebben.

Het “leuke” van dit verschijnsel, is dat doordat technologie gemeenschappelijk goed geworden is, een puber in een garage een uitvinding kan doen die de wereld van een gigantische firma met duizenden werknemers op zijn kop kan zetten in zeer korte tijd.

Daarom is het belangrijk dat alle organisaties zichzelf omvormen tot exponentiële organisaties en zichzelf disruptief aanpakken. Want als ze het niet zelf doen, doet een ander het. Disruptie dus als middel om aan risicobeheer en business continuïteit te doen.

In het boek, dat het resultaat is van een studie van SU (Singularity University) geven de auteurs een aantal aandachtspunten mee. Deze worden gegeven door de mnemonics MTP, SCALE en IDEAS.

Heel belangrijk is daarbij dat in tegenstelling tot grote monolieten de kleine ExO’s zeer Lean en Mean georganiseerd zijn. Het boek gaat op dit laatste niet heel diep in, maar grote monolieten kunnen door samenwerking met bestaande ExO’s, of door ExO’s te creëren aan de grenzen van hun organisatie, ook profiteren van hun voordelen.

Good Practice Guidelines – 2018 Edition – The Global guide to good practice in business continuity

admin

Published by The Business Continuity Institute

Deze editie van de GPG verschilt volgens eigen zeggen op tal van manieren van de editie van 2013. Enkele hiervan die zijn bijgebleven zijn:

  • Meer samenwerken van de BCM-medewerkers met andere medewerkers in andere management disciplines.
  • Supply chain werd meer geïntegreerd verwerkt in het verhaal.
  • Er worden meer linken gelegd naar ISO-normen.
  • Risico-assessment heeft aan belang gewonnen.

Er zijn ook andere zaken die wijzigden, die opvielen:

  • Doorheen het werk wordt regelmatig de link gelegd naar informatieveiligheid, echter zonder te verwijzen naar de ISO 27K-reeks.
  • De BIA is nog steeds een 4-eenheid, maar het verplichtend karakter is gewijzigd naar “gebruik wat je nodig hebt”
  • Er is een onderscheid gemaakt tussen crisismanagement en incident management.
  • Er is een betere uitleg bij strategische, tactische en operationele plannen ten tijde van crisis. Echter zonder daarbij te vermelden dat ook daar de keuze belangrijk is in functie van wat men nodig heeft. Dit stuk bleef theoretisch scherp gescheiden.
  • Er staat her en der een mooie tabel met meer uitleg van wat er bedoeld wordt, zoals bijvoorbeeld de tabel met specifieke kern competenties en management skills die nodig zijn bij de BCM verantwoordelijke, opgesplitst volgens de 6 professional praktijken.

In het boekwerk is uitgebreid aandacht geschonken aan PP6: ‘Validation’. Het oefenen en valideren van de werking van het BC-programma van de organisatie is zeer belangrijk als sluitsteen van de cyclus naar de doorstart ervan.

Samengevat kunnen we stellen dat het boekwerk van belang is voor de beginners in BCM, maar ook de gevorderden als naslagwerk.

Wat ik persoonlijk spijtig vind dat ontbreekt is een literatuuropgave bij elk hoofdstuk. Voor verdere lectuur heb ik het gevoel dat de geïnteresseerde partijen wat in de steek gelaten worden. Maar dan is daar de URL van ‘The Business Continuity Institute’ waar men meer informatie kan vinden. (www.thebci.org)

Business Continuity Strategies – Protecting Against Unplanned Disasters – Third Edition

admin

Auteur: Kenneth N. Myers

In dit boek bespreekt de auteur strategieën voor het aanpakken van twee klassen rampzalige crisissen die een organisatie kunnen overkomen: Het uitvallen van alles wat computers aangaat en geweld en terreur op de werkvloer.

Herhaalde malen trekt de auteur van leer tegen twee zaken bij de eerste klasse:

  1. Het te gemakkelijk beslissen voor een disaster recovery site waar alle business software ontdubbeld staat
  2. Het stellen van de verkeerde vragen aan de businessmensen bij het bepalen van de BIA.

Wat dat laatste betreft blijken de consulenten de vragen vooral structureel verkeerd te stellen, bijv. vraag niet:

  • Hoelang kun je zonder pc?

Want dan is het antwoord steevast iets heel kortdurend, zoals “24 uur”

Stel de vraag anders door hen te confronteren met de feitelijke desgevallende situatie:

  • ICT en het servernetwerk ligt er voor 14 kalenderdagen uit. Wat ga je doen en wat heb je nodig om de business verder te laten gaan / te redden?

Door die andere insteek om de vragen te stellen, gaan de bedrijfsmensen veel bewuster om met de problematiek die zich zou kunnen voordoen en gaan ze beter nadenken.

Tevens geeft de auteur een aantal voorbeelden van alternatieve aanpak van een aantal branches in organisaties ten tijde van crisis, die kortlopend kunnen toegepast worden in een groot aantal bedrijven. Dit om tijdelijk de pc-loze periode te overbruggen, de tijd die de dienst ICT nodig heeft om alles terug op te zetten.

In dit boek pakt de auteur het vraagstuk op een gedegen manier aan. Het eerste hoofdstuk gaat dan ook over het definiëren van het vraagstuk. Daarna komen de hoofdstukken over computerproblemen en geweld op de werkplaats. Daarna geeft hij een aantal adviezen over het aanpakken van een contingency plan. Daarbij geeft hij ook enige aandacht aan awareness en opleiding.

Buiten het aantal alternatieve voorbeelden van de mogelijke praktijken bij computeruitval, waarvoor een disaster recovery website wel en niet goed voor is, en hoe de vragen moeten gesteld worden aan de business voor het opstellen van een BIA en het bijhorende contingency plan, blijft het boek vooral theoretisch op een goed niveau. Het klasseert zich daardoor op een niveau vooral boven dat van beginners.