Business Continuïteitsmanagement

Beslissen in een VUCA Wereld

admin

Auteurs: Isabelle Hoebrechts en Ann Caroline Roymans

VUCA staat voor Volatile, Uncertain, Complex, Ambiguous. De auteurs stellen voorop dat de wereld VUCA is en steeds sneller verandert.  Dit is het Risicomanagement-aspect. In die VUCA wereld gebeuren er soms plots dingen waarbij je een beslissing moet nemen en de daad bij het woord moet voegen. Dat is een crisismanagement aspect.

In een eerste deel leggen ze de lezer uit wat de vier hoofdpersonages zijn in je brein: de Holeman, de Mier, de Uil en de Benjamin. Alle vier heb je ze nodig.

De Holeman staat ook gekend als het krokodillenbrein en doet je instinctief kiezen voor vechten, vluchten of bevriezen. Hij neemt het automatisch over wanneer je in een levensbedreigende situatie zit.

De Mier zorgt er voor dat je in een groep automatisch goed zit qua volgorde: het beslist of je dominant bent of volgzaam, en wantrouwend of vertrouwend.

De Uil is een probleemoplosser voor gekende problemen: het stoelt zich op positieve ervaringen.  Als je het probleem al eens eerder hebt opgelost, kent de Uil het.

De Benjamin is de jongste van de vier: het is ook gekend als de prefrontale cortex, en is zeer geschikt om originele, nieuwe problemen op te lossen, door het van alle kanten te bekijken. Hem noemen de auteurs soms ook je blauwe kapitaal.

Voor crisismanagement is het dus van belang dat elk teamlid van het crisismanagementteam zich bewust is van zijn vier hoofdpersonages en daar adequaat mee kan omgaan.

Daarnaast beschrijven de auteurs het fenomeen stress als het ontwaken van je interne Boeddha, waar je best naar luistert.

In het tweede deel van het boek introduceren de auteurs je twee persoonlijkheden: je aangeboren persoonlijkheid en je aangeleerde persoonlijkheid.

Met deze ingrediënten verklaren de auteurs je beslissingwereld. Hoe je beslissingen neemt, en adviseren hoe je beslissingen beter en stabiel kunt nemen . Daartoe kun je o.a. de overgang maken van “Dat is zo !” naar “Is dat zo?”

Het boek bevat tevens enkele kleine oefeningen om je beslissingswijze te helpen bijsturen. Oefening baart daarbij kunst.

Informatieveiligheid bij de Overheid

admin

Auteur: Ivan Stuer

Cybercriminaliteit is in deze dagen. Daarvan moet iedereen zich inmiddels bewust zijn. Maar waarom zijn dan bijv. zo weinig sites reeds bestand tegen DDOS aanvallen? Wanneer weten mensen dat informatieveiligheid een must is? Meestal als het te laat is. Daarom bestaan er een aantal wetten en normen over: om mensen te helpen zich te realiseren dat bijv. privacy belangrijk is. Ook voor de overheid.

Zoals de auteur van dit boekje zegt, is het best doenbaar om een hele bibliotheek te vullen over het onderwerp. Zijn doel is om de veiligheidsconsulenten een paar handvatten te geven voor het opzetten van een ISMS (Integrated security management system).

Het boekje dateert van 2015, dus van voor de wijziging van de Europese privacywetgeving in de GDPR. Veiligheidsconsulenten worden daarin vervangen door Data Protection Officers, die nog veel meer specialistische kennis zullen moeten hebben.

Wat bleef er bij?

Het wetgevend kader van de privacy maakt van een aantal voorstellen van acties uit ISO 27001, en ISO 27002, waarop het gebaseerd is, een verplichting. Daarbij is nu meer de nadruk op de beveiliging van het geheel van de processen, in plaats van op de onderdelen. Ook wordt Business continuïteitsmanagement steeds belangrijker als een kapstok waaraan informatieveiligheid kan worden opgehangen binnen het ISMS. (Zie daarvoor ook de toekomstige versie van de Good Practice Guidelines van The Business Continuity Institute dat op dat onderwerp aan het voortborduren is.) Tevens lijkt het er op dat het te ontwikkelen ISMS moet streven naar een overkoepelend gebeuren van alle veiligheidsdisciplines.

Tevens is het niet slecht om over de muurtjes te kijken en eens te kijken wat andere normen/raamwerken als COSOS en COBIT te bieden hebben. Ook een goede algemene kennis van projectmanagement en andere managementdisciplines is aangeraden.

Naar het einde van het boekje richt de auteur zijn aandacht op de CLOUD en de diensten die daarbij kunnen dienen. Daarna geeft hij een stappenplan om een informatieveiligheidsbeleid uit te werken.

Hoewel er enkele termen gebruikt worden zoals ISMS, ITIL, en ander licht vakjargon, is het boekje geschikt voor niet-ICTers. Het boekje is daarmee als dusdanig verhelderend voor een veiligheidsconsulent-in-spe omdat het een aantal aandachtsgebieden raakt waarin hij/zij zich zal moeten verdiepen.

Business Continuity And The Pandemic Threat

admin

Auteur: Robert A. Clark

Met dit boek trekt de auteur, Robert A. Clark, de aandacht op een belangrijk issue dat zich bevindt op de grens tussen BCM en Risicomanagement, maar wat traditioneel wordt toegeschreven aan BCM, namelijk de pandemische bedreiging. Deze bedreiging is relevant omdat statistisch deze zich gemiddeld om de 30 jaar manifesteerde de laatste 300 jaar.

Het boek is opgedeeld in twee delen: ‘Part I: Understanding the Threat’ en ‘Part II: Preparing for the Inevitable’

Deel I vertelt uitgebreid over micro-organismen, wat een pandemie eigenlijk is, gevaren van ziektekiemen in de handen van criminelen en terroristen, een korte geschiedenis van de belangrijkste gekende pandemieën, en het gevaar van ziekenhuisbacteriën (antimicrobial resistance of AMR). In twee aparte hoofdstukken gaat hij dieper in op de gevallen van SARS en de Spaanse Griep van 1918-1919 die doorheen het hele boek verder terugkomen als de klassiekers. Hij besluit deel I met een vergelijking tussen de twee gevallen die toch uitersten zijn: de Spaanse Griep met 50.000.000 sterfgevallen en SARS met een goede 1000 doden en ‘slechts’ 8000 besmettingen, wereldwijd.

Deel II gaat over de aanpak rond pandemieën. Hij vertrekt van twee standpunten: voorbereiding en respons. Daarover vertelt hij wat kan gedaan worden op wereld-, nationaal-, organisatie- en individueel niveau. Wat belangrijk is in deel II is volgens mij de aandacht die hij geeft aan de belangrijke punten voor een pandemieplan. Hij doet dit echter verhalend, zonder een concreet pandemieplan of template te geven. Dat maakt hij echter goed door in de appendices te verwijzen naar een website waar een template te vinden is: www.bcm-consultancy.com/pandemicthreat. Daarbij blijft het echter niet. Hij beschrijft ook wat je ermee moet doen als er geen pandemie is: oefenen en valideren. Daarbij geeft hij een overzicht van een aantal types van oefeningen, die gaan van zeer simpel tot zeer complex en uitgebreid.

Een beperkt deel van de aandacht van de beschouwingen van de karakteristieken van een pandemieplan gaan naar supply chain.

Ondertussen werd opgemerkt dat de template niet meer bereikbaar is op de website. Een voorbeeld van een pandemieplan vindt u echter op deze website: ‘http://www.emannuel.eu/uncategorized/pandemieplan/ ‘

BCM en de Kerstman

admin

Beschouw een complexe organisatie met productiehallen en logistieke units, gebaseerd op de Noordpool, traditioneel heel erg in de weer rond 25 december. Zoals u zich kan inbeelden, behelst de planning voor deze gebeurtenis een heel jaar. De CEO “Santa” is nog geen vijf minuten terug van het afleveren van de pakjes, of de cyclus begint opnieuw. En hij wordt voortdurend geroepen om onverwachte problemen op te lossen die dringend aandacht vereisen…

Dit jaar begon het al vroeg. Santa had net de slee in de garage gezet, of hij werd al op de korrel genomen door het Kerstvrouwtje.  “Wat hebben al die reportages op de TV te betekenen, waarin je te zien bent terwijl je de mama van een kindje kust?”, vraagt ze streng. “W, w, watte? Wie?” stamelde Santa.  Hij kon uitleggen dat het hier ging over een geval van identiteitswisseling. Het imago van Santa had een flinke opdoffer gekregen door toedoen van een bedrieger. Hij ging recht naar zijn Crisiscommunicatie team, en na een snel ingrijpen en een publieke verontschuldiging was zijn reputatie hersteld. Hij kan zich gewoonweg niet veroorloven dat zijn klanten zich kunnen verbeelden dat hij stout is op welke manier dan ook…    Februari bracht veel ijsstormen op de Noordpool.  “Santa, het is momenteel veel te koud voor de Elfjes om te werken,” zei de Elfjes manager en veiligheidself hem, “Ik heb de opdracht gegeven om het werk neer te leggen.”   Santa zuchtte en greep naar de Gouden Pagina’s op het internet, “Hallo, verwarmingsingenieurs? Is het mogelijk dat jullie mijn Elfjes terug een aangename werktemperatuur bezorgen…”.   Ondanks de onderbreking, en door bereidwillig overuren te kloppen, waren de Elfjes snel terug op schema.

De zaken gingen goed, en het werk verliep ononderbroken tot de trekvogels in de lente terugkwamen uit hun winterse habitats. Er groeide onrust onder de Elfjes dat de wilde vogels het gevreesde H5N1 vogelgriep met zich zouden meebrengen. Dit gaf angst voor een regelrechte epidemie. Santa consulteerde de WHO website om het laatste advies in te winnen.    “Er is momenteel erg weinig risico op vogelgriep. De vogels die terugkeren komen uit verre landen zonder gekende uitbraken van H5N1-virus, maar om zeker te zijn zal ik een paar bewakers aanduiden die een oogje moeten houden op de gezondheid van de vogels”, zei Santa tegen zijn Elfjes. Hij hoopte dat hij niet nog meer bewakers moest inzetten, wanneer de kudden wilde rendieren terugkeren. Hij had immers gelezen dat het blauwtongvirus zich verspreidde naar het noorden, en hij had al een rendier met een rode neus…    De zomervakantie had zoals elk jaar zijn typische problemen: verveelde kinderen met teveel tijd en niets om handen, waren op de uitkijk om kattenkwaad aan te richten. Dit jaar kwam het alarm van Santa’s Exploitatie-elfjes, die in paniek kwamen vertellen dat enkele stoute kinderen die ochtend de “Braaf en Stout”-database hadden gehackt, en alles op “braaf” hadden gezet. Er was geen manier meer om te weten wie braaf en stout was geweest het laatste halfjaar. Gelukkig is Santa goed op de hoogte van de laatste technologische snufjes en had hij een back-up gemaakt en liet die “restoren”. Voor de volledigheid liet hij daarna nog een virusscanner lopen over de servers, stelde de Firewalls opnieuw in en gaf het bevel aan alle Elfjes om hun paswoorden te wijzigen.    In de herfst waren er gelukkig geen verdere problemen die Santa vermoeiden. Maar 24 december was, zoals elk jaar, nagelbijten: de generale repetitie voor de 25ste. De Elfjes laadden de slee van Santa in en de kudde rendieren werden in hun harnas gehesen. Santa klom in het zadel vooraan in de slee, nam de leidsels van de slee in de ene hand, en draaide de sleutel in het contact van de slee met de andere hand. Een kort gegrom van de raketmotoren en niets meer. Hij draaide opnieuw met de sleutel in het contact. Weer een kort gegrom van de motoren en dan niets meer. Santa realiseerde zich dat hij vorig jaar, tijdens het oplossen van het reputatieprobleem, vergeten was om de lichten van zijn slee uit te zetten. Gevolg: een lege batterij.    Gelukkig, op aandringen van het Kerstvrouwtje, was de opstarttest wel degelijk doorgegaan op 24 december. Natuurlijk vond Santa het niet leuk dat hij zich al in zijn slee moest hijsen terwijl hij zijn jaarlijks diner nog niet had beëindigd en hij al die lekkere stukjes taart moest laten staan, en natuurlijk klaagden de Elfjes dat ze de wagen opnieuw zouden moeten uitladen en inladen voor een technisch onderhoud. Maar het Kerstvrouwtje had Santa overhaald om de test toch uit te voeren voordat de grote kadootjesdag was aangebroken. De batterij werd vervangen door een geladen exemplaar, en op 25 december kregen alle écht brave kinderen de juiste kadootjes dankzij Santa’s Business Continuity Voorzieningen…

Icoon

BCM en de Kerstman

1 file(s)   32.26 KB

 

Continuïteit in de publieke sector

admin

Auteur: Marc Vael

Auteur Marc Vael vertelt in het eerste hoofdstuk van zijn boek ‘Continuïteit in de publieke sector’ over de uitdagingen rond continuïteit in de publieke sector. Daarbij gaat hij eerst breed in op processen en op de verschillende mogelijke types van kwetsbaarheden van de organisaties. In een tweede hoofdstuk bespreekt de auteur de verschillende perspectieven van continuïteitsbeheer als zijnde succesfactoren. In het derde hoofdstuk komt hij goed op dreef met het project om continuïteitsbeheer aan te pakken, dat zich daarna vertaalt in een project met een cyclus dat dezelfde stappen doorloopt: opstart, risicoanalyse, ontwerp, implementatie en onderhoud en oefening en verbetering. Het laatste hoofdstuk gaat over audit en vervolledigt het proces.

Voor 42€ had ik meer verwachtingen van het boek: o.a. minder taalfouten en een dankwoord aan de mensen die daarvoor hadden moeten zorgen.

Daarnaast vergaloppeert de auteur zich soms wat betreft de doelgroep van het boek, want her en der sluipen er argumenten in die typisch zijn voor de privésector, o.a. op pagina’s 90, 118 en 124. Respectievelijk: de V.o. gaat geen verzekeringen aan, en het besluit van maandomzet als te verzekeren bedrag houdt weinig steek: een publieke sector draait niet echt een omzet. Daarnaast het argument van loyaliteitsoefening op pagina 118, want de overheid is er toch vrij zeker van dat voor de meeste diensten de burger nergens anders heen kan. Pagina 124 heeft de auteur het over verzekeringsclaims, maar behoudens eventueel gemeenten is de overheid zijn eigen verzekeraar.

Daarvoor heeft de auteur het op een ongenuanceerde manier over MTPOD: maximum tolerable period of downtime. Mijn vraag is, rekent men deze steeds bij het initiële moment van het optreden van een incident, (in theorie wellicht wel) of bij het ontdekken van een crisis (want het beginmoment is niet altijd duidelijk).

Maar het boek moet ook het krediet krijgen die het verdient: de aanpak van continuïteit is stevig verteld met een aantal duidelijk onderscheiden stappen. Wat ik spijtig vind is dat te weinig de link gelegd wordt met de in de overheid stevig ingeburgerde PDCA cyclus van Deming.

Verder vind ik het eveneens spijtig dat de auteur wat betreft de bewoording van de kriticiteit van de processen zich niet houdt aan de in de Vlaamse overheid gedefinieerde terminologie: hij spreekt van essentiële, belangrijke en relevante functies i.p.v. tijdskritieke, essentiële en noodzakelijke functies. What’s in a name? Spraakverwarring natuurlijk !

Persoonlijk was ik het meest gecharmeerd door de bijlagen.

Kort samengevat zou ik, als ik auteur was van dit boek, het boek herwerken.