Crisis Management. Bent u voorbereid?

Posted on Posted in BCONN Nieuws

Geschreven door Peter Leijdsman, service manager bij BCONN ICT.

We worden ons steeds meer bewust van de dreiging van een crisis. Het kan gaan over de uitbraken van SARS en H1N1, de tsunami’s in de Indische oceaan, alles vernietigende orkanen, de vulkaanuitbarsting in IJsland, de aardbeving bij Japan die resulteerde in een tsunami waarna een nucleaire ramp volgde en natuurlijk de vele cyber-aanvallen. Onze samenleving is niet alleen complexer en meer met elkaar verweven, maar ook meer kwetsbaar en blootgesteld aan allerlei bedreigingen. Hierdoor is ook de focus van Crisis Management veranderd.

Steeds meer crisis

Uit een recent onderzoek dat is uitgevoerd door Deloitte blijkt dat 60% van de respondenten (uit 500 organisaties wereldwijd) gelooft dat organisaties met meer crises geconfronteerd worden dan 10 jaar geleden. Men ervaart niet alleen dat het aantal crises toeneemt, maar ook de omvang ervan toeneemt. Zo’n 80% van de ondervraagde organisaties wereldwijd heeft hun crisis managementteams in ieder geval twee keer moeten mobiliseren de afgelopen twee jaar, waarbij cyber- en veiligheid incidenten boven aan de lijst stonden.

Crises doen zich niet altijd in een keer voor en zijn niet altijd direct zichtbaar. Sommige, zoals financiële fraude of corruptie, kunnen heel lang uit het zicht onttrokken blijven totdat ze ineens aan de oppervlakte verschijnen. Een crisis kan grote gevolgen hebben voor een organisatie. Kijk naar wat er kortgeleden bij de ING gebeurde en hoe het faalde in het voorkomen van het witwassen van geld. Enorme imagoschade, maar ook de reputatie en de moraal onder de medewerkers worden flink aangetast.

In Nederland zullen we niet zo snel last krijgen van crises die veroorzaakt worden door natuurrampen, maar toch zijn er scenario’s waar organisaties rekening mee moeten houden. Nederland, en dan met name het lage deel van Nederland, is verdeeld in verschillende dijkringen, zie kaartje. En dan gaat het in het bijzonder over dijkring 14. Dit is een gebied met daarin Amsterdam, Den Haag en Rotterdam.

In de praktijk zullen er veel organisaties zijn die hun spullenboel hebben gehost in een IT-datacenter binnen dijkring 14. Op zich is dat geen probleem want vele grote ondernemingen maken gebruik van datacenters binnen deze dijkring. Maar het is dan wel van belang om na te gaan waar de uitwijklocatie van het betreffende datacenter ligt. Wil je dit risico volledig mitigeren dan is een uitwijk naar het hogere deel van Nederland dus een betere optie.

 

Om ervoor te zorgen dat stakeholders hun vertrouwen houden zal het management de risico’s moeten mitigeren om de organisatie effectief door een crisis heen te loodsen. Het hebben van Crisis Management plannen is dus van groot belang en bij voorkeur vóórdat een crisis plaatsvindt! De meeste organisaties komen pas in actie nadat een crisis heeft plaatsgevonden.

Onderzoek wijst uit dat de belangrijkste lessons learned zijn:

  • Het verbeteren van “early warning” detectiesystemen.
  • Het investeren in preventie.
  • Meer doen in het identificeren van mogelijke crisis scenario’s.

Crises management lifecycle

Het voorkomen van een crisis kan worden versterkt door de volledige lifecycle van een crisis te begrijpen. Crisis Management zou niet moeten starten met een crisis, want dan ben je over het algemeen te laat. Het is een doorlopend proces dat start met een risicoanalyse waarin alle mogelijk scenario’s worden bekeken, met name die scenario’s waarvan je denkt dat die niet zullen plaatsvinden. Wees niet naïef en luister ook goed naar klachten van leveranciers, naar klokkenluiders en wees op de hoogte van het laatste cyber security nieuws.

Plan van aanpak

Als er zich tóch een crisissituatie voordoet moet een organisatie dus gereed zijn met een aanpak. Uit onderzoek blijkt dat de belangrijkste punten zijn:

  1. Een responseteam dat wordt geleid door het senior management.
  2. De noodzakelijke interne en externe resources die dit managementteam moeten ondersteunen.
  3. Het gebruik van scenario’s en crisisplannen om de mogelijke afloop te kunnen mitigeren.
  4. Het ontwikkelen van een communicatieplan ten behoeve van de stakeholders.

Het zal niet verassend zijn, maar de grootste uitdaging bij een crisis is effectief leiderschapen het maken van beslissingen.

Het onderzoek toonde ook aan dat het grootste deel (90%) van de organisaties het (zelf)vertrouwen heeft om een crisis het hoofd te bieden, maar dat slechts een klein deel (17%) dat ook daadwerkelijk getest heeft. Sommige organisaties hebben nog niet eens nagedacht over mogelijke scenario’s of draaiboeken klaarliggen. Dit wijst op een laag volwassenheidniveau. Het hebben van een crisisplan en het organiseren van (crisis)simulaties verlagen de impact.

Rol van leveranciers

Crises komen vaak voort uit acties van derden, zoals leveranciers, maar diezelfde leveranciers spelen ook een belangrijke rol bij het helpen van de oplossing en het mitigeren van de crisis. Opvallend is dat, wereldwijd gezien, organisaties in Europa het meest (80%) gebruik maken van leveranciers bij het oefenen met crisissituaties en het opstellen van crisisplannen. Belangrijk advies is dan ook om je meest belangrijke leveranciers of partners, die een crisis kunnen veroorzaken, ook te betrekken bij opstellen van crisisplannen voor je organisatie.

Maar ik heb toch Business Continuity Management (BCM)?

Voor velen zal een eerste reactie zijn om te roepen dat men Business Continuity Managementprocessen heeft ingericht. Wat is het verschil is tussen Crisis Management en Business Continuity Management ligt ik graag even toe. Beide zijn aan elkaar gerelateerd maar er zijn verschillen. BCM is een subset van Crisis Management kijkend naar scenario, scope, impact, duur en inspanning. Net zoals IT Disaster Recovery weer een subset is van BCM. BCM heeft focus op het, zo snel mogelijk, herstellen van kritieke business processen die veelal zijn vastgesteld naar aanleiding van een business impact analyse (BIA). Crisis Management is het beheersen en mitigeren van de negatieve gevolgen die een crisis heeft op mensen, diensten, imago, reputatie e.d. binnen een organisatie of land.

Voorkomen is beter dan genezen

Bottom line is dus, voorkomen is beter dan genezen. Manage een crisis voordat deze zich voordoet. Zorgt dat is nagedacht over scenario’s, stel crisisplannen op in samenwerking met uw leverancier(s) en oefenen c.q. test deze plannen!

Bent u voorbereid?

Geschreven door:
Peter Leijdsman, service manager bij BCONN ICT.
peter.leijdsman@bconn.nl

 

 

 

 

Bron:
https://www2.deloitte.com/insights/us/en/topics/risk-management/crisis-management-plan-resilient-enterprise.html