Dieser Artikel gibt einen Überblick über die Professional Practice 4 (PP4) – Design, d.h. die professionelle Praxis, die „geeignete Strategien und Taktiken identifiziert und auswählt, um zu bestimmen, wie Kontinuität und Wiederherstellung nach einer Störung erreicht werden sollen“. Strategieentwicklungsaktivitäten sind unerlässlich, um die in der Analysephase gesammelten Ergebnisse in umsetzbare Strategien zu überführen, die die Organisation im Laufe der Zeit implementieren und verfeinern kann, um die Fähigkeit zu verbessern, auf eine Störung zu reagieren und sich davon zu erholen.

PP4 ÜBERBLICK

PP4 umreißt drei Hauptbereiche, die bei der Strategieentwicklung berücksichtigt werden sollten, darunter die Entwicklung von Strategien und Taktiken für Kontinuität und Wiederherstellung, Maßnahmen zur Eindämmung von Bedrohungen und eine Struktur für die Reaktion auf Vorfälle. Werfen wir einen genaueren Blick auf jeden dieser Bereiche.

  • Strategien und Taktiken für Kontinuität und Wiederherstellung. Strategische und taktische Gestaltungsmaßnahmen werden ergriffen, um die in der Analysephase identifizierten Risiken in Bezug auf die Kontinuität anzugehen und die Wiederherstellung eines Produkts, einer Dienstleistung, eines Prozesses, einer Aktivität oder einer Ressource zu erleichtern. Die GPGs empfehlen die Identifizierung von Strategien auf verschiedenen Ebenen innerhalb einer Organisation in ähnlicher Weise wie die empfohlene Vorgehensweise bei der Durchführung von Business Impact Analysen (BIAs). Die Identifizierung von Strategien umfasst die Entwicklung auf strategischer, taktischer und operativer Ebene. Diese Unterscheidungen können etwas künstlich sein, und die GPGs tragen dem Rechnung, indem sie die empfohlenen Ansätze in übergeordnete Wiederherstellungsstrategien (zur weiteren Bereitstellung von Produkten und Dienstleistungen) und Taktiken (zur Wiederherstellung des Ressourcenbedarfs) unterteilen.
  • Maßnahmen zur Eindämmung der Bedrohung. Während Kontinuitäts- und Wiederherstellungsstrategien Prioritäten setzen und auf der Grundlage von Produkten, Dienstleistungen oder Prozessen entwickelt werden, zielt die Abschwächung von Bedrohungen (Risiken) auf spezifische Bedrohungen oder Ereignisse ab. Ziel der Bedrohungsabwehr ist es, Kontrollen zu identifizieren, um die Wahrscheinlichkeit oder die Auswirkungen einer bestimmten Bedrohung zu verringern. In manchen Fällen fallen die Prozesse zur Bedrohungsabwehr nicht in den direkten Zuständigkeitsbereich der Business Continuity und umfassen Abhilfemaßnahmen, die die Einbeziehung anderer Fachleute erfordern.
  • Eine Struktur zur Reaktion auf Vorfälle. Der Aufbau einer Struktur für die Reaktion auf Vorfälle beinhaltet die Zusammenstellung der richtigen Teams und die Schaffung von Reaktionsrahmen, um sicherzustellen, dass eine Organisation auf eine Störung reagieren und sich davon erholen kann. PP4 stellt fest, dass der Zweck der Entwicklung einer Struktur für die Reaktion auf Vorfälle darin besteht, „sicherzustellen, dass es einen dokumentierten und vollständig verstandenen Mechanismus für die Reaktion auf einen Vorfall gibt, der das Potenzial hat, eine Störung der Organisation zu verursachen. Es kann sinnvoll sein, Reaktionsteams auf allen Ebenen einer Organisation (strategisch, taktisch und operativ) einzurichten, und PP4 betont, dass es an der Organisation liegt, eine Struktur und einen Rahmen zu entwerfen, der am besten geeignet ist.

Indem jeder dieser Bereiche behandelt wird, geht PP4 davon aus, dass eine Organisation über ausreichende Prozesse und Strategien verfügt, um die Dokumentation des Plans und zusätzliche Aktivitäten in der Implementierungsphase (PP5) zu ermöglichen. Die Kombination der Ergebnisse von PP4 und PP5 würde eine ausreichende Reaktion und Wiederherstellung nach einem Vorfall ermöglichen.

PP4 WERT

Die Herausforderung bei der Entwicklung einer Business Continuity-Strategie, einer Bedrohungsabwehr oder einer Reaktionsstruktur besteht darin, sicherzustellen, dass sie auf das Unternehmen zugeschnitten ist. Es gibt keine „Einheitslösung“. Aufgrund dieser Tatsache ist die ISO-Norm 22301 absichtlich vage gehalten. Sie besagt, dass Unternehmen Strategien festlegen und auswählen sowie Ressourcenanforderungen festlegen müssen, ohne im Detail zu beschreiben, wie diese Strategien aussehen können. PP4 erkennt diese Realität ebenfalls an; allerdings dokumentiert PP4 übergeordnete Strategien, Taktiken und Anleitungen, die auf einzelne Organisationen angewendet werden können. Lassen Sie uns einige der wichtigsten Vorteile erkunden:

Identifiziert strategische und taktische Ansätze zur Verringerung des Business Continuity-Risikos
Da ein Continuity-Plan nur so gut ist wie die Strategie, die er widerspiegelt, ist es wichtig, dass Unternehmen sich auf die Strategieentwicklung konzentrieren. Bei der Strategieentwicklung geht es darum, die während der BIA und der Risikobewertung gesammelten Anforderungen zu verstehen und sie effektiv in umsetzbare Strategien zu übersetzen. Außerdem müssen die Praktiker die Kosten/Nutzen einer vorgeschlagenen Strategie berücksichtigen. PP4 trägt zu diesem Prozess bei, indem es Praktikern einen Ausgangspunkt für die Identifizierung von High-Level-Strategien bietet, einschließlich:

Als Ergänzung zu den Strategien auf hoher Ebene werden in PP4 auch taktische Überlegungen angestellt, die berücksichtigt werden müssen, damit eine Strategie auf hoher Ebene wirksam ist, darunter:

Um am effektivsten zu sein, müssen Praktiker eine geeignete Strategie auf der Grundlage der Wiederherstellungsanforderungen auswählen und diese dann anhand taktischer Überlegungen bewerten, um sicherzustellen, dass die Strategie effektiv ist.

Identifiziert Kontrollen zur Minimierung bedrohungsspezifischer Risiken
PP4 bietet einen wertvollen Beitrag zur Dokumentation des Prozesses, der zur Identifizierung spezifischer Bedrohungskontrollen und proaktiver Maßnahmen zur Reduzierung der Wahrscheinlichkeit oder der Auswirkungen eines bestimmten Ereignisses verwendet werden kann. Diese Aktivität ergänzt eine Bedrohungsanalyse (falls durchgeführt) während der Analysephase. Eine Organisation würde die Analyse nutzen, um die wichtigsten Bedrohungen zu bestimmen und mit Fachexperten zusammenzuarbeiten, um zusätzliche Kontrollen zu entwickeln. Der Prozess der Identifizierung von Kontrollen erfordert wahrscheinlich eine Kosten-Nutzen-Analyse, um festzustellen, ob die Kosten für die Implementierung einer Kontrolle durch das zu behebende Risiko und die potenziellen Kosten für die Organisation gerechtfertigt sind, wenn das Risiko nicht gemindert wird. Beispiele für Kontrollen könnten Verbesserungen der Informationssicherheit, Feuerlöschsysteme usw. sein.

Erleichtert den Aufbau von organisatorisch relevanten Strukturen für die Reaktion auf Vorfälle
Um Strategien zur Aufrechterhaltung des Geschäftsbetriebs anzuwenden und nach einer Störung die Kontrolle zu übernehmen, müssen Organisationen eine Art von Struktur für die Reaktion auf Vorfälle einrichten. ISO 22301 (Abschnitt 8.4.2) und PP4 enthalten beide ähnliche Anleitungen zum Aufbau einer Struktur für die Reaktion auf Vorfälle. PP4 bietet einen zusätzlichen Nutzen, indem es Überlegungen dokumentiert, die der Fachmann während des Entwurfsprozesses bewerten sollte. Keine der beiden Quellen gibt an, wie die Teams aussehen sollten oder welche Personen dem Team angehören sollten. PP4 enthält jedoch Hinweise zu den Rollen und Verantwortlichkeiten für die Reaktionsstruktur als Ganzes. Das bedeutet, dass alle Teams, die im Rahmen dieses Prozesses gebildet werden, in der Lage sein sollten:

  • Mobilisieren Sie [response and recovery] Teams
  • Pläne aktivieren
  • Ressourcen abrufen
  • Kommunizieren Sie mit interessierten Parteien
  • Kommunizieren Sie mit den Medien
  • Verantwortung für das Wohlergehen des Personals
  • Aktivitäten eskalieren
  • Bereitstellung von Kommando und Kontrolle
  • Setzen Sie Grenzen für Ausgaben und Delegation
  • Berücksichtigen Sie je nach Situation wechselnde Prioritäten

Durch die Entwicklung von Kontinuitäts- und Wiederherstellungsstrategien und -taktiken, Maßnahmen zur Eindämmung von Bedrohungen und einer angemessenen Struktur für die Reaktion auf Vorfälle ist ein Unternehmen in der Lage, die in den Plänen für Geschäftskontinuität und Wiederherstellung dokumentierten Lösungen umzusetzen.

PP4 FALLSTUDIE

Unternehmen X ist ein aufstrebendes Unternehmen des privaten Sektors, das Sicherheitsüberwachungsdienste für Hausbesitzer anbietet. Das Unternehmen hat vor kurzem ein Programm für Business Continuity und IT-Disaster Recovery eingeführt und die Analysephase mit der Durchführung einer BIA und einer Risikobewertung abgeschlossen. Im Laufe dieses Prozesses wurden auf strategischer Ebene eine Handvoll kritischer Dienste identifiziert, von denen der zeitkritischste die Fähigkeit ist, Hausüberwachungen durchzuführen und die Behörden im Falle eines Einbruchs bei einem Kunden zu benachrichtigen. Auf der taktischen/operativen Ebene ermittelte das Unternehmen dann eine Reihe von Ressourcen, die erforderlich sind, um diesen kritischen Dienst weiterhin zu erbringen, darunter ein Callcenter (Ereignisüberwachungszentrum), eine IT-Infrastruktur (einschließlich eines Telefonsystems), Callcenter-Mitarbeiter und eine Reihe von Systemen, die für die Verbindung mit Kundenalarmen und die Kontaktaufnahme mit den örtlichen Behörden erforderlich sind. Unternehmen X verfügt über ein Krisenmanagementteam (CMT), hat aber keine anderen formellen Reaktionsteams.

Aufgrund der sehr strengen vertraglichen Vereinbarungen in den Kundenverträgen, der potenziellen rechtlichen Haftung und der potenziellen Beeinträchtigung der Sicherheit der Kunden wird dem Home Monitoring Service eine maximal tolerierbare Unterbrechungsdauer von 30 Minuten zugewiesen. Die zugehörige RTO beträgt nur 15 Minuten, was die Reaktion und Wiederherstellung sehr schwierig macht. Außerdem wurde bei einer Bedrohungsanalyse festgestellt, dass Strom- und Telekommunikationsausfälle das höchste Risiko darstellen. Auf der Grundlage der Informationen in PP4 beginnt das Unternehmen mit der Entwicklung einer Strategie:

Auf der Grundlage einer ersten Strategieanalyse schlägt der Praktiker dem Management zwei mögliche Lösungen vor: Diversifizierung oder Beauftragung eines Anbieters, der nach einer Störung Callcenter- und Reaktionskapazitäten bereitstellt. Der Praktiker stellt fest, dass die Replikation eine akzeptable Strategie sein könnte, wenn die Geschäftsleitung bereit ist, ein zusätzliches Risiko zu akzeptieren; die Geschäftsleitung gibt jedoch an, dass dies außerhalb ihrer Risikotoleranz liegen würde. Das Management bittet den Praktiker, die Diversifizierungsstrategie weiterzuverfolgen und einen potenziellen zweiten Standort zu identifizieren, der Redundanz und hohe Verfügbarkeit bietet.

Anhand der taktischen Kriterien in PP4 und unter Anleitung des Managements bewertet der Praktiker die verfügbaren Optionen:

Unternehmen X beschließt, dass es seine Struktur für die Reaktion auf Vorfälle überarbeiten muss, um der neuen Strategie gerecht zu werden. Unternehmen X verfügte bereits über ein CMT, beschließt nun aber, dass es zusätzliche Reaktionseinheiten benötigt, um den neuen Standort zu betreuen. Unternehmen X beschließt, abteilungsspezifische Wiederherstellungsteams einzurichten, um die taktischen/operativen Wiederherstellungsaktivitäten für die Ereignisüberwachungszentren am primären und sekundären Standort zu überwachen, zusätzlich zu Teams für andere Abteilungen, die am Reaktions- und Wiederherstellungsprozess beteiligt sind, wie z. B. IT und Einrichtungen. Unter Verwendung von PP4 als Ausgangspunkt entwickelte der Praktiker Strategien und Reaktionsstrukturen, die für das Unternehmen geeignet sind.

ABSCHLIESSENDE GEDANKEN

Die Dokumentation des Prozesses zur Umsetzung von Anforderungen aus der Analysephase in konkrete Strategien ist eine wesentliche Aktivität für Business Continuity-Experten. PP4 bietet Beispiele für Strategien und Taktiken auf hoher Ebene, die als Ausgangspunkt für Praktiker dienen können und als Fahrplan für die Arbeit durch den Prozess dienen.

Wenn Sie über die GPGs, die Anpassung an ISO 22301 oder eine Zertifizierung sprechen möchten, nehmen Sie bitte Kontakt mit uns auf. Wir freuen uns darauf, von Ihnen zu hören!