De basis van bedrijfscontinuïteit: een goed IT-herstelplan

Stel je voor: het is maandagochtend en niemand kan inloggen. Systemen staan op zwart en orders of klantverzoeken blijven liggen. Hoelang duurt het voordat jouw organisatie in zo’n situatie alles weer op de rails en werkend heeft?  

Een IT-herstelplan is het onmisbare vangnet voor elke organisatie. Want als IT uitvalt, valt alles uit. Het lijkt een open deur, maar niets is minder waar. Een kwart van de IT-managers maakt zich zorgen: zij zien een gebrek aan een IT-herstelplan binnen hun organisatie. Dat blijkt uit onze nieuwste Black-out Preventie Gids. Daarom in deze blog: de onderdelen die in een IT-herstelplan moeten staan. Onze strategieconsultant Kor Gerritsma deelt zijn tips.  

Wat hoort er in een IT-herstelplan? 

In een IT-herstelplan gaat je uit van ‘wat als’-scenario’s. Niet alleen op IT-gebied, maar voor alle processen die cruciaal zijn voor de continuïteit van je bedrijf. Denk bijvoorbeeld aan organisaties waar nog veel op locatie wordt gewerkt. Welke systemen en data moeten medewerkers in alle gevallen nog kunnen gebruiken? En kan dat ook vanaf een andere plek? Of bedrijven die gevestigd zijn op een locatie waar het risico op overstroming groot is. Hoe blijf je operationeel als je locatie niet beschikbaar is? In de praktijk zie ik dat organisaties zichzelf overschatten. Ze hebben geleerd van de overstromingen in Limburg of de lockdowns tijdens de coronapandemie. Toch missen herstelplannen vaak cruciale onderdelen.   

1. Bepaal wat echt bedrijfskritisch is 

Een goed herstelplan begint met het in kaart brengen van waar je als organisatie om draait. Wat is er nodig om te blijven bestaan? Welke systemen moeten daarom koste wat het kost blijven draaien?   

Een ziekenhuis is een sprekend voorbeeld. Een tv die uitvalt op de kamer van de patiënt is vervelend, maar niet levensbedreigend. Belangrijker is dat de operatiekamers en de spoedeisende hulp overeind blijven als er bijvoorbeeld bij graafwerkzaamheden in de buurt een kabel geraakt wordt. Daarom moet er een noodstroomvoorziening in het plan staan.   

Dit principe geldt voor iedere organisatie: bepaal wat essentieel is voor je bedrijfsvoering en richt daar je herstelmaatregelen op in. 

2. Zorg voor redundantie, ook in de cloud

Soms hoor ik nog weleens de opvatting dat volledig overstappen naar de cloud het redundantievraagstuk oplost. Maar in de cloud werken verandert daar niets aan. Je bent nog steeds zelf verantwoordelijk voor je eigen herstelplan. Ook cloudproviders krijgen te maken met storingen of (gedeeltelijke) uitval. Staat al jouw data of staan jouw systemen bij die ene cloudprovider? Dan is de hele organisatie onbereikbaar. Vergelijk het maar met een bedrijfspand dat slechts via een brug te bereiken is. Je hebt een plan nodig om die brug te allen tijde te beveiligen én andere routes te bedenken voor het geval de brug instort. Op die manier kun je er altijd in.   

Toegang betekent ook dat je de juiste sleutels hebt. Daarom hoort sleutelbeheer ook in een IT-herstelplan thuis. Vergeet je thuis je sleutel, dan moet er een breekijzer of dure slotenmaker aan te pas komen. Dat geldt ook in IT. Heb je een certificaat nodig om bij diensten te komen en is dat niet meer te vernieuwen? Dan kan de organisatie niet meer bij cruciale data of applicaties. Zeker in de cloud is dit funest. Goede cloudbeveiliging betekent dat data en systemen versleuteld zijn. Geen sleutel? Geen informatie.   

3. Bepaal hoe snel je kunt herstellen 

Mocht het toch een keer misgaan, dan is het goed om vooraf te weten hoeveel tijd herstel kost. Wie moet je allemaal inschakelen? Vergeet hierin bijvoorbeeld ook toeleveranciers niet.   

Ook de volgorde van herstel is belangrijk om in je IT-herstelplan op te nemen. Eerst moet het netwerk hersteld worden om gegevens te kunnen versturen. Pas daarna zijn applicaties en data aan de beurt. Het is essentieel om hier strikt aan vast te houden. Herstel in een andere volgorde kan problemen met tijdstempels veroorzaken, wat ertoe kan leiden dat applicaties niet meer met elkaar communiceren en je mogelijk data verliest. Niet onbelangrijk dus om in je herstelplan op te nemen.   

Herstellen begint bij voorbereiding 

Een goed herstelplan is meer dan een checklist. Het is een draaiboek. Wie mag welke stappen uitvoeren? Wie communiceert met wie? In een crisis is duidelijkheid cruciaal. Daarom is het verstandig om procedures op een laagdrempelige manier uit te schrijven, zodat ook iemand zonder diepgaande IT-kennis de eerste herstelstappen kan zetten. Moraal van het verhaal: met een goed doordacht herstelplan voorkom je paniek, verkort je de hersteltijd en zorg je ervoor dat de organisatie ook in een crisissituatie blijft draaien. Zelfs op die maandagochtend waarop alles stil lijkt te vallen.   

Wil je toetsen of jouw organisatie op dit moment voldoende is voorbereid op een IT-crisis? Onze experts kijken graag mee met jouw herstelplan, zodat je altijd beschikt over een sterk vangnet.