Er zijn veel situaties te bedenken waarin de bedrijfscontinuïteit in gevaar kan komen. Dat kan van buitenaf zijn, zoals een overstroming of brand. Maar het kan ook over interne processen gaan, zoals een product met mankementen dat inmiddels is uitgeleverd. Daarom is er geen standaard draaiboek te bedenken. Maar er zijn wel handelingen die je kunt en soms zelf moet verrichten, ongeacht wat het incident is.
Veilig
De eerste actie wanneer er iets gebeurt dat de bedrijfsvoering in gevaar brengt is het zorgen voor de medewerkers. Direct betrokken personeel moet veilig zijn – denk aan brand of andere rampspoed. Wat je precies moet doen om dit te waarborgen verschilt natuurlijk sterk. Een grote fabriek is anders dan een klein kantoor. Volgens de huidige wetgeving moet elk bedrijf – afhankelijk van omvang en aantal medewerkers – een veiligheidsplan hebben. Dit kun je als startpunt nemen.
De tweede stap is iedere medewerker op de hoogte brengen (voor zover die niet direct betrokken is). Verzamel zoveel mogelijk informatie over het incident en bepaal wat noodzakelijk is om met wie in het bedrijf te delen. Zorg dus ook voor een up-to-date lijst met gegevens van iedereen: vaste en mobiele telefoonnummers, e-mailadressen, contactgegevens bij noodgevallen. Handig is een telefoonboom, waarbij iedereen één andere persoon belt, die vervolgens de volgende belt.
E-mail kan natuurlijk ook, alleen kan dat lastig worden als het netwerk uitvalt, zeker als de mailservers on-premises staan of het internet helemaal onbereikbaar is geworden. Belangrijk is dat dit ‘communicatieplan’ flexibel genoeg is om in verschillende situaties toepasbaar te zijn. Regelmatig testen kan onvolkomenheden aan het licht brengen, zodat op tijd aanpassingen gedaan kunnen worden.
Klanten inlichten
Jouw klant heeft zelf natuurlijk klanten en de relatie daarmee is essentieel voor het voortbestaan van een bedrijf. Nadat de medewerkers zijn ingelicht en veilig zijn, is het belangrijk om de afnemers van de producten en diensten op de hoogte te brengen. Natuurlijk ook weer afhankelijk van de aard van het bedrijf. De belangrijkste afweging moet zijn ‘heeft het incident gevolgen voor de bedrijfsvoering van mijn klant?’ Zo ja, dan wil je die zo snel mogelijk inlichten. Reputatieschade ligt op de loer.
Veel bedrijven merken dat wanneer ze zelf midden in de penarie zitten, ze tegelijkertijd veel meer inkomende communicatie te verwerken krijgen. Dat is natuurlijk logisch, want wanneer een dienst niet meer werkt, gaat de klant naar de ondersteuning om te vragen wat er aan de hand is. Alleen daarom al is het snel op de hoogte brengen van de klant essentieel. Daarnaast kun je in je draaiboek ook opnemen dat je de servicedesk opschaalt – gesteld dat dit gezien de aard van het incident überhaupt kan. Uitbesteden van je helpdesk kan een oplossing zijn.
Wees trouwens altijd zo eerlijk mogelijk. De klant waardeert het wanneer een bedrijf ervoor uit durft te komen dat er iets mis is gegaan (maar dat het zo snel mogelijk opgelost wordt, uiteraard). Zorg dat de medewerkers die direct contact hebben met de klanten zo goed mogelijk worden geïnstrueerd wat wel en wat niet te zeggen.
IT-herstelplan
Het derde onderdeel van het draaiboek is het IT-herstelplan, waarmee we echt op het terrein van de MSP zijn beland. Voor dit plan is het belangrijk om samen met je klant twee variabelen te bepalen: de Recovery Time Objective (de hersteltijd) en de Recovery Point Objective (het herstelpunt).
Bij de RTO bepaal je hoelang het mag duren om een systeem na een defect of incident te herstellen. Dat verschil wordt meestal bepaald door de manier waarop je back-up & recovery is ingericht. Maak je alleen back-ups op tape, dan kan het uren tot zelfs dagen duren voor je systeem weer up en running is, afhankelijk waar die tapes bewaard worden.
Bij de RPO kijk je naar hoeveel werk en data je kwijt bent en dat is afhankelijk van hoe vaak je een back-up maakt. Doe je dat een keer per dag en een uur voordat de nieuwe back-up gemaakt wordt valt alles uit, dan ben je dus 23 uur kwijt.
Het is duidelijk dat dit voor de meeste organisaties onwerkbaar is. Gelukkig zijn er tegenwoordig diverse oplossingen met behulp van virtuele serverback-ups en de cloud. Bijvoorbeeld recovery in place, waarbij gebruikers hun applicaties uitvoeren vanaf image-based back-ups van virtuele machines. Medewerkers kunnen gewoon doorwerken terwijl op de achtergrond de primaire servers worden hersteld. De RPO gaat hiermee ook flink omlaag, want meestal wordt er een snapshot gemaakt om de 10 à 15 minuten.
Een andere manier is via cloud disaster recovery. On-premise staat een hardwareoplossing die lokaal zorgt voor back-ups. De data worden tegelijk ook naar de cloud gekopieerd voor het geval bij een incident ook deze hardware uitvalt. Dit heet ook wel ‘disaster recovery as a service (DRaaS) en is natuurlijk typisch een taak voor de MSP.
Een MSP kan veel voor zijn klanten betekenen op het gebied van business continuity & data recovery. Het biedt tegelijk ook volop mogelijkheden voor extra dienstverlening en upselling. Het loont de moeite om dat in je businessplan te verwerken.
Download ook het e-book “Hoe verkoop je als MSP business continuity en disaster recovery?” met tips en scripts voor een optimale pitch.