Onze ITSCM-adviesdiensten

We werken met u samen om oplossingen op maat te ontwikkelen die zijn afgestemd op uw vereisten in deze complexe IT-omgeving. Vanzelfsprekend houden we ook rekening met de bijbehorende raakvlakken met andere managementdisciplines zoals Business Continuity Management (BCM), Information Security Management (ISM), Cyber Incident Response Management (CIRM) en Crisis Management (KM). Met onze jarenlange ervaring ondersteunen wij u bij de introductie, verdere ontwikkeling of evaluatie van uw bestaande IT service continuity management systeem (ITSCMS). Onze aanpak is gebaseerd op internationaal erkende normen (ISO 27031 en BCI Good Practice Guideline), ITIL en best practice-modellen uit onze jarenlange projectervaring.

Onze ITSCM-coaching

Bij het implementeren van projecten richten onze IT-experts zich altijd op het opbouwen van interne expertise. Ons doel is dat u tijdens de implementatie van het project van ons de benodigde kennis over het beheerproces leert en het geleerde vervolgens direct in de praktijk kunt brengen. Nieuwe processen worden niet altijd onverdeeld positief ontvangen. Onze jarenlange ervaring leert dat de beste manier om interne scepsis te overwinnen is om het bewustzijn onder medewerkers te vergroten. Net als het citaat van Antoine de Saint-Exupéry: „Als je een schip wilt bouwen, trommel dan geen mannen op om hout te halen, taken toe te wijzen en het werk te verdelen, maar leer de mannen te verlangen naar de wijde, eindeloze zee“ – Neem gerust contact met ons op als je ondersteuning nodig hebt bij het voorbereiden en implementeren van bewustwordingsmaatregelen.

Wat zijn de drie belangrijkste argumenten voor ITSCM?

ITSCM als managementproces creëert organisatorische en personele structuren voor de preventie en het beheer van kritieke IT-incidenten. Met een gevestigd ITSCM bent u in staat om:

• op een gestructureerde manier te reageren op kritieke IT-incidenten

• een IT-noodoperatie garanderen

• om uw IT-infrastructuren, IT-systemen en applicaties binnen een acceptabel tijdsvenster opnieuw op te starten

Waarom is ITSCM zo belangrijk?

Wanneer IT/IT-infrastructuren falen, speelt de factor tijd een grote rol. Hoe langer de IT-services die nodig zijn voor kritieke bedrijfsprocessen niet beschikbaar zijn, hoe groter de financiële en/of reputatieschade. Voor sommige bedrijven is de tijdspanne voordat ze in hun bestaan worden bedreigd erg klein. Een gevestigd ITSCM verkleint de kans dat ITSCM-schadescenario's zich voordoen, creëert structuren voor het omgaan met kritieke IT-incidenten en geeft u de zekerheid dat u IT binnen het opgegeven tijdsvenster opnieuw kunt opstarten.

Wat is ITSCM precies?

ITSCM als managementproces plant proactief alle aspecten die nodig zijn voor de voortzetting, herstart of het herstel van uw IT-infrastructuren, IT-systemen en/of applicaties. Ter ondersteuning van en in coördinatie met het BCM-proces worden risico's voor IT-services verminderd en wordt de herstart van IT-services gepland, voorbereid en getest. Als gevolg hiervan versterkt ITSCM de veerkracht, continuïteit en stabiliteit van uw kritieke IT-services. ITSCM maakt deel uit van Business Continuity Management (BCM) met een focus op IT-storingen.

Wat zijn de doelen van ITSCM?

• Het garanderen van de beschikbaarheid van de benodigde IT-infrastructuren, IT-systemen en applicaties, zelfs in het geval van een kritisch IT-incident of IT-noodgeval

• Minimalisatie van risico's die kunnen leiden tot kritieke IT-incidenten of IT-noodgevallen

• Versterk de veerkracht, continuïteit en stabiliteit van uw kritieke IT-diensten tegen invloeden van buitenaf

• Veiligheid creëren voor klanten en contractuele partners

Welke voordelen heeft een bedrijf met een gevestigd ITSCM?

• Voorkomen of minimaliseren van downtime van kritieke IT-services, waardoor bedrijfsprocessen worden beïnvloed

• Minimaliseren en verkorten van herstarttijden

• Het verminderen van huidige en toekomstige bedreigingen en het bieden van effectieve reactieprocessen

• De veerkracht van IT versterken

• Voldoen aan wettelijke, regelgevende en klantvereisten

• Beproefde veerkracht tegenover klanten en leveranciers

We hebben al BCM. Heb ik ITSCM nog nodig?

Het antwoord op deze vraag is een volmondig ja. BCM identificeert de tijdkritische bedrijfsprocessen van een bedrijf en zorgt ervoor dat deze kunnen worden voortgezet in het geval van een incident. ITSCM zorgt voor de beschikbaarheid van de IT-services die nodig zijn voor tijdkritische bedrijfsprocessen. Dus terwijl BCM als holistisch managementproces voor het falen van IT/IT-infrastructuren „alleen“handmatige „herstelmaatregelen plant, houdt ITSCM zich bezig met het beschikbaar houden of zo snel mogelijk weer opstarten van IT-infrastructuren, IT-systemen en applicaties.

Hoe zit het met ISM? Heb ik daarnaast nog ITSCM nodig?

Het antwoord op deze vraag is ook duidelijk ja. Information Security Management (ISM) is gericht op het beschermen van alle informatie van een bedrijf, ongeacht het type en de herkomst ervan. ISM plant proactief de preventie van beveiligingsincidenten of inbreuken op de gedefinieerde beveiligingsdoelstellingen, zoals vertrouwelijkheid, integriteit, continuïteit en authenticiteit. Dit zijn dus vereisten voor een normale werking. Aparte plannen voor het omgaan met beveiligingsproblemen worden normaal gesproken niet gemaakt. Hierdoor ontstaat vaak een gevaarlijke kloof. De ITSCM-organisatiestructuren en de plannen voor het waarschuwen en beheren van kritieke IT-incidenten kunnen natuurlijk ook worden gebruikt om beveiligingsincidenten te beheren. Ons algemene procesmodel voor IT-servicecontinuïteitsbeheer is gebaseerd op onze jarenlange projectervaring en modellen van best practices in de sector. Hieronder beschrijven we de afzonderlijke fasen van het model, dat tot doel heeft ITSCM in uw bedrijf in te voeren.

Hoe ziet een ITSCM-implementatie eruit?

Ons procesmodel voor IT-servicecontinuïteitsbeheer is gebaseerd op onze jarenlange projectervaring en modellen van best practices in de sector. Op de volgende pagina's beschrijven we de afzonderlijke fasen van het model, dat tot doel heeft ITSCM in uw bedrijf in te voeren.

Het doel van het ITSCM-proces is om een organisatie in staat te stellen falende tijdkritische IT-services te herstellen binnen een vooraf bepaald tijdsvenster en een overeengekomen minimaal IT-serviceniveau om aan de minimale bedrijfsvereisten te voldoen.

Sinds 2011 is er een internationale norm voor IT-noodplanning (ITSCM) beschikbaar in de vorm van ISO 27031. Alleen al de titel „Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity“ geeft aan dat er vanaf het begin een nauwe samenwerking moet zijn tussen de BCM en ITSCM disciplines in het bedrijf.

Wij houden rekening met deze interfacekwestie in ons ITSCM-procesmodel. Dit is erop gericht om het ITSCM-proces in het bedrijf vast te leggen in de vorm van een project. Naast onze praktijkervaring van meer dan 20 jaar consultancywerk, nemen we in onze concepten altijd vereisten op uit de procesbeschrijvingen volgens ITIL „ITSCM“ uit informatiebeveiliging (met name volgens ISO 27001) en uit normen zoals de Duitse BSI-norm 200-4 „Business Continuity Management“.

Initiatie is de basis voor een succesvol IT-uitwijkplanningsproject. In de vorm van een ITSCM-beleid belast het management de IT-afdeling met het implementeren van ITSCM in het bedrijf. De vereiste processtappen worden gedocumenteerd in een ITSCM-richtlijn. Er worden ook maatregelen gedefinieerd om het ITSCM-proces te onderhouden, te bewaken en voortdurend te verbeteren.

In de analysefase worden de doelvereisten voor de beschikbaarheid van IT-services (IT-applicaties) uit het BCM vastgelegd en vergeleken met de huidige gerealiseerde mogelijkheden voor IT-noodparaatheid. Het belangrijkste criterium voor beschikbaarheid in noodsituaties is de optimalisatie van de hersteltijd (RTO) van een IT-service. Dit kan worden afgeleid uit een business impact analyse, service level agreements en analyses van beschermingsvereisten. In sommige IT-gebieden is de documentatie die nodig is voor de analyse nog niet beschikbaar. In deze gevallen gebruiken we beproefde alternatieve methoden voor gegevensverzameling.

Het ITSC-oplossingsconcept beschrijft de geselecteerde oplossingsrichtingen. Deze oplossingsrichtingen dienen als basis voor het opstellen van de ITSC-plannen.

Als onderdeel van de IT-preventieve maatregelen worden bijvoorbeeld extra data-back-ups opgezet, WAN-verbindingen gerealiseerd, clustersystemen opgezet, alternatieve werkplekken ingericht of nieuwe datacenterlocaties gehuurd. Maatregelen die de beschikbaarheid voor een groot aantal IT-services verbeteren en maatregelen die hoge risico's op schade minimaliseren, krijgen prioriteit bij de implementatie.

In geval van een noodsituatie moet een onafhankelijke ITSCM-organisatie worden opgericht. Het doel van deze organisatie is duidelijke, snelle besluitvorming in kritieke situaties op basis van minder hiërarchische niveaus. Bovendien is voor deze IT-noodorganisatie een onafhankelijke escalatieprocedure gedefinieerd.

Er moeten controleprocessen worden gedefinieerd om de taken die na afronding van het project voortdurend ontstaan, te kunnen overdragen aan de reguliere bedrijfsvoering.

Het ITSC-plan wordt gemaakt als onderdeel van het planningsproces. Afhankelijk van het aantal en de grootte van de datacenters kan dit uit verschillende afzonderlijke documenten bestaan. In elk geval moeten de IT-crisisbeheerprocedures worden beschreven die op alle scenario's van toepassing zijn.

Er moet een scenariohandleiding zijn voor elk uitvalscenario (bijv. uitval datacenterruimte 1, uitval WAN, etc.). Dit bevat gedetailleerde technische beschrijvingen voor het opnieuw opstarten (herstel) van de IT-services. De beschrijvingen moeten worden afgestemd op de crisiscoördinatieplannen en de plannen van de IT-serviceproviders.

Het regelmatig uitvoeren van zinvolle IT-continuïteitstests is cruciaal voor het beoordelen van de kwaliteit van IT-noodplannen. Dit maakt het mogelijk om te beoordelen of de redundante middelen en de herstartplannen echt noodbeheer mogelijk maken.

Een test- en oefenstrategie specificeert de vereisten van het ITSCM-beleid met betrekking tot de frequentie en reikwijdte van de uit te voeren IT-continuïteitstests en -oefeningen. Er worden testtypen gedefinieerd om de testplanning te vereenvoudigen (bijvoorbeeld functionele en echte tests).

In de testconcepten wordt vastgelegd welke IT-middelen moeten worden getest (type uitschakeling of omschakeling, risico's tijdens de testuitvoering, enzovoort). In de testplanning worden de specifieke tests (inclusief de initiële test) telkens voor een jaar gepland en worden hun testdoelen gedefinieerd.

Er moet een initiële test worden uitgevoerd voordat het ITSCM-project in gebruik wordt genomen. De omvang van de test wordt bepaald door de eerder gedefinieerde testplanning. Voor de initiële test is het belangrijk dat alle planningsactiviteiten worden uitgevoerd in verband met de test: