So stützen Sie Ihren Business-Continuity-Plan mit Tests

Optionen für Business-Continuity-Übungen

Business-Continuity-Übungen sollen sicherstellen, dass die in einem BC-Plan beschriebenen Verfahren im Bedarfsfall funktionieren.

Während Unternehmen einige dieser Übungen mit einer einzigen Abteilung oder einem einzigen Team durchführen können, erfordern komplexere Pläne mehrere Teams zur Durchführung der Übung. Wenn verschiedene Abteilungen beteiligt sind, kann sich jedes Team auf die Zuständigkeiten der verschiedenen Bereiche des Unternehmens konzentrieren.

Ein Unternehmen könnte zum Beispiel eine Übung durchführen, bei der ein geschäftsorientiertes Team mit einem Technologie-Team zusammenarbeitet. Das Geschäftsteam muss bestimmte Geschäftsprozesse wiederherstellen und arbeitet mit dem Technologieteam zusammen, um sicherzustellen, dass die erforderlichen Ressourcen vorhanden sind.

Es gibt drei typische Arten von Business-Continuity-Übungen, die eine Organisation durchführen kann: Prüfungen des BC-Plans, Diskussionen und groß angelegte Übungen.

1. Den Business-Continuity-Plan überprüfen

Diese Übung wird in der Regel in einem Konferenzraum durchgeführt, so dass es sich um eine Art Tabletop-Übung handelt. Bei einer Planüberprüfung hat jeder Teilnehmer ein Exemplar des BC-Plans der Organisation. Ein Moderator innerhalb der Organisation stellt der Gruppe ein Szenario vor, und die Teilnehmer arbeiten anhand des Plans zusammen, um die Situation zu entschärfen.

2. Diskussionen anregen

Ähnlich wie bei einer Prüfung wird auch diese Art von Test in einem Konferenzraum durchgeführt. Ein externer Dritter, zum Beispiel ein Berater, moderiert die gesamte Übung. Der Berater teilt seine Erkenntnisse nach der Übung mit den Teilnehmern und trägt zum Bericht über die Nachbereitung der Übung bei oder erstellt einen solchen Report.

3. Voll umfassende Übungen

Diese Art von Übung geht über die Umgebung eines Konferenzraums hinaus und führt zu einem Test in der realen Welt. Das Team könnte beispielsweise ein Szenario vorgeben, bei dem ein wichtiger Server nicht angeschlossen ist. Die Teammitglieder müssen zusammenarbeiten, um das Problem zu lokalisieren und Verfahren zur Wiederherstellung oder zum Austausch des ausgefallenen Servers, zur Wiederherstellung der auf dem Server laufenden Systeme und zur Wiederherstellung des Produktionsprozesses zu starten. Umfassende Übungen erfordern viel Zeit und die Mitwirkung mehrerer Abteilungen, so dass sie sowohl die effektivsten als auch die schwierigsten Übungen sind.

Vorteile von Business-Continuity-Tests

Neben der Überprüfung, ob die BC-Verfahren und -Aktivitäten wie gewünscht funktionieren, bietet die Durchführung von Testübungen mehrere Vorteile. BC-Übungen bieten den Teilnehmern praktische Erfahrungen, fördern die Diskussion und den Informationsaustausch zwischen verschiedenen Teams und bieten die Möglichkeit, Schwachstellen zu ermitteln und zu validieren, während sie gleichzeitig zu kreativen Lösungen für verschiedene Szenarien anregen.

Wichtige Überlegungen bei der Planung von Übungen

Unabhängig von der Art der Übung, die eine Organisation durchführt, ist eine sorgfältige Planung und Durchführung unerlässlich. Auch die Auswahl der Übungsteilnehmer ist entscheidend, damit die sachkundigsten Personen anwesend sind.

Die folgenden Überlegungen sollten bei der Planung einer Übung zusätzlich berücksichtigt werden.

Entfernte oder hybride Teams

Die Mitarbeiter sollten die Möglichkeit haben, vor Ort oder aus der Ferne teilzunehmen. Die Konferenztechnologie trägt dazu bei, dass alle Beteiligten in einem hybriden Arbeitsmodell interagieren und zusammenarbeiten können. Bei Teilnehmern, die aus der Ferne, zum Beispiel von zu Hause aus, arbeiten, müssen die Verfahren für die Übung die Auswirkungen der externen Nutzer auf die Durchführung des Plans berücksichtigen – insbesondere diejenigen, die in einer anderen Zeitzone oder einem anderen Land arbeiten.

Für Übungen, die sich mit Unterbrechungen der Arbeit von zu Hause aus befassen, wird eine andere Mischung aus lokalen und entfernten Mitarbeitern benötigt. Jemand aus dem IT-Fernzugriffsteam sollte zu der Übung eingeladen werden, insbesondere wenn es um den Verlust der Fernverbindung geht.

Bei der Durchführung von Übungen für entfernte Büros sollten Überlegungen angestellt werden, um Notstromsysteme, Fernverbindungen und die Verfügbarkeit eines anderen Büros zu testen, das als Ersatz für die betroffenen Mitarbeiter dienen kann.

Teilnehmer und Umfang

Die Einladung der richtigen Teilnehmer ist ein wichtiger Aspekt. Achten Sie bei der Auswahl der Übungsteilnehmer darauf, dass alle erforderlichen Abteilungen vertreten sind.

Beauftragen Sie jemanden als Zeitnehmer und Protokollist, der die Zeit für jeden Teil der Übung aufzeichnet und Notizen über die Ereignisse zu bestimmten Zeiten macht. Die Dokumentation von Übungen ist eine wichtige Prüfungsaufgabe.

Legen Sie genau fest, woran die Gruppe arbeiten wird. Wird bei der Übung der gesamte Plan oder nur bestimmte Abschnitte eines Plans durchgespielt, zum Beispiel Verfahren zur Reaktion auf Zwischenfälle, Technologien und Cloud-Dienste? Diese Faktoren geben nicht nur Aufschluss darüber, wie lange die Übung dauern sollte, sondern auch darüber, welche Parteien anwesend sein müssen.

Zeitplanung

Ziehen Sie in Erwägung, BC-Übungen mit anderen BC/DR- und Resilience-Aktivitäten zu planen, zum Beispiel mit der Aktualisierung von Disaster-Recovery-Plänen, der Schulung von Notfallteams, der Überprüfung von Richtlinien und Audits, der Business Impact Analysis (BIA) sowie der Risikobewertungen und Sensibilisierungsprogrammen. Dadurch wird die Konsistenz der miteinander verbundenen Prozesse und Strategien sichergestellt.

Stellen Sie einen Ort für die Durchführung der Übung bereit, der nicht durch mögliche Unterbrechungen beeinträchtigt wird. Ermutigen Sie die Übungsteilnehmer, ihre mobilen Geräte nach Möglichkeit auszuschalten, damit sie sich auf die Übung konzentrieren können. Versuchen Sie, die Übung außerhalb der Büros der Teilnehmer durchzuführen und planen Sie die Übung außerhalb der normalen Arbeitszeiten. Im wirklichen Leben laufen Katastrophen nicht nach einem Zeitplan ab, so dass es für einige Organisationen sinnvoll sein könnte, eine Überraschungsübung in Betracht zu ziehen.

Standards und bewährte Verfahren für BC-Übungen

Vor Beginn einer BC-Übung kann es hilfreich sein, Leitfäden zu lesen, die sich mit den Herausforderungen von Tests und Übungen befassen. Im Folgenden finden Sie eine unvollständige Liste relevanter Normen und Anleitungen für die Durchführung von BC-Übungen:

• ISO 22398:2013 – Gesellschaftliche Sicherheit -- Richtlinien für Übungen.
• NIST SP 800-84:2006 – Guide to Test, Training and Exercise Programs for IT Plans and Capabilities.
• BSI-Standard 200-4 – Aufbau eines Business Continuity Management Systems (BCMS).
• ISO 22313 – Leitlinien für die Implementierung eines BCMS.
• ISO/TS 22317 – Standard für die Business Impact Analysis

Erstellung eines Nachbereitungsberichts

Die Dokumentation einer Übung ist eine wichtige Prüfungsmaßnahme. Mit Hilfe eines Nachbereitungsberichts, der manchmal auch als Hotwash oder Nachbesprechung bezeichnet wird, können Organisationen feststellen, wie effektiv die Übung war, und Bereiche mit Verbesserungspotenzial ermitteln.

Die beigefügte Berichtsvorlage deckt verschiedene Aspekte einer BC-Übung ab, darunter das Szenario, die Ziele, die Teilnehmer, die Methodik und die Ergebnisse. Verwenden Sie diese Vorlage nach der Durchführung einer BC-Übung, um zu entscheiden, ob der Test erfolgreich war, und um die nächsten Schritte im Business-Continuity-Planungsprozess zu bestimmen.