Kann eine Strategie für betriebliches Kontinuitätsmanagement Ihr Geld sparen?

Sie denken darüber nach, die Norm BS 25999-2 / Betriebliches Kontinuitätsmanagement einzuführen? Aber dann hören Sie, dass es Sie viel kosten wird? Es wird wahrscheinlich kosten, aber nicht unbedingt so viel, wie Sie dachten – denn das können Sie mit einer guten Strategie für betriebliches Kontinuitätsmanagement lösen.

Die Strategie für betriebliches Kontinuitätsmanagement, wie sie in der Norm BS 25999-2 definiert wird, ist eine „Herangehensweise an eine Organisation, mit der deren Wiederherstellung und Kontinuität angesichts einer Katastrophe oder eines anderen wichtigen Ereignisses oder Störung des Geschäftsbetriebs gewährleistet wird.“ Der springende Punkt ist also, sich in optimaler Art und Weise auf eine Katastrophe vorzubereiten, falls diese eintreten sollte. Diese Vorbereitung kann organisatorische Maßnahmen (Erstellung von Plänen, Verträge mit Lieferanten/Partnern, Übungen, Prüfungen, Sensibilisierung usw.) sowie weitere Schritte wie Investitionen in Ausrüstung, Infrastruktur usw. umfassen



Zeit ist ein sehr wichtiger Faktor bei der Wiederherstellung – sollten Sie Ihr Geschäft nicht rechtzeitig wiederherstellen, werden Sie wahrscheinlich Ihre Kunden und somit ebenso Ihr Geschäft verlieren. Daher muss die Strategie für betriebliches Kontinuitätsmanagement das Recovery Time Objective (RTO oder Wiederanlaufdauer) für jede Ihrer kritischen Aktivitäten festlegen, denn die RTO kann für jede von ihnen unterschiedlich sein.

Eine wichtige Überlegung lautet: Je kürzer die RTO, desto größer die von Ihnen benötigte Investition – wenn Sie beispielsweise Ihr Rechenzentrum in weniger als einer Stunde wiederherstellen möchten, müssen Sie in einen alternativen Standort mit fast der gleichen Ausstattung wie der primäre Standort investieren. Wollen Sie dagegen Ihr Rechenzentrum innerhalb von zwei Wochen wiederherstellen, sind die Investitionen wesentlich geringer, denn es würde ausreichen, die Back-up-Bänder am alternativen Standort aufzubewahren. So hätten Sie zwei Wochen Zeit, um die notwendige Ausrüstung zu beschaffen. Dies alles bedeutet, dass Ihre RTO weder zu lang noch zu kurz sein darf.

Sobald die RTO festgelegt ist, müssen Sie noch einige Investitionen tätigen. Mit einer guten Strategie für betriebliches Kontinuitätsmanagement werden Sie allerdings in der Lage sein, diese Investition zu senken, während Sie trotzdem in der Lage sind, Ihre kritischen Aktivitäten innerhalb des Recovery Time Objective wiederherzustellen. Hier sind einige Beispiele:

  • Sie benötigen vermutlich kein eigenes Rechenzentrum an einem alternativen Standort – in den meisten Ländern können Sie diesen Ort von einer spezialisierten Firma mieten. Das bedeutet, dass sie nicht in die Infrastruktur zu investieren brauchen, vielleicht nicht einmal in Ausrüstung oder Software,
  • Sie benötigen vermutlich keine Büros an einem alternativen Standort – Mitarbeiter, die keine Kunden persönlich treffen müssen, können von zuhause arbeiten,
  • Sie benötigen vermutlich gar keinen alternativen Standort, falls Sie weitere Unternehmensabteilungen an verschiedenen Standorten haben, welche die kritischen Aktivitäten übernehmen könnten, soweit diese von der Katastrophe betroffen sind,
  • Sie brauchen vermutlich keine Ausrüstung im Voraus zu kaufen, falls Sie auf einen Lieferanten zurückgreifen, der die Lieferung der Ausrüstung innerhalb Ihres RTO garantieren könnte
  • usw.

In sämtlichen dieser Beispiele müssen Sie Ihre organisatorischen Fähigkeiten ausbauen. Wenn Sie doch etwas Geld sparen möchten, so wäre es der Gedanke daran sicher wert.

Dieses kostenlose Webinar hilft Ihnen auch bei der: Developing the business continuity strategy according to ISO 22301.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.