BLOG Articles
The importance of telework in Business Continuity Planning
Blog by Tony Gill, 12
March 2008.
"More than two years have passed since the first reports of an ominous
avian flu pandemic began
pouring in from the Far East. In the time that has elapsed since those first
outbreaks were
reported, business continuity planners have taken a much more holistic approach
in shoring up
as many risk exposures as possible to mitigate the operational gaps that
will emerge should such
a pandemic spread. One of the more widely discussed strategies involves telework,
a strategy
that allows workgroups to continue to operate and collaborate while working
from separate,
remote locations. Increasingly, this has become a more viable option, given
the penetration
rates, and affordability of broadband internet.
On the surface, this may sound like a relatively uncomplicated process, as
it simply requires the
identification of those individuals who would be best suited to remote working
and ensuring they
have ready access to broadband. However, as soon as an organization commits
itself to
pursuing telework, a number of logistical issues arise, forcing planners
to systematically and
meticulously address a number of issues that become more prevalent as time
passes.
The first area to consider is the optimal size of a group. Under normal operating
circumstances, a
group may number over 100 people, however, in extraordinary circumstances
such as at the
onset of a pandemic outbreak, the number of key people may be reduced to
between 20 and 30
(a good rule of thumb is to plan for teams that are 20-30% of normal team
size). It is therefore
very important that these critical staff team be specifically identified
during the planning phase.
Beyond this, it is vital that an optimal platform (probably relying on more
than one technology) be
selected that enables the workgroup to efficiently collaborate. In addition
to simple strategies
involving project management methodologies and email, there are a number
of readily available
collaboration software packages that can significantly enhance the efficiency
of remote work
capability.
Perhaps the biggest concern, especially if this involves working in a large
institution that deals
with sensitive data (such as a firm within financial services), is how secure
is the data if it is being
accessed remotely, and what data might be so sensitive that regardless of
the security controls
placed on access, it simply does not qualify for remote work. The mounting
concern over leaky
data has been significantly escalated given the massive breach in customer
credit information of
TJX Companies in 2007. The data was stolen by thieves who were able to access
data on the
perimeter of seemingly secure locations that supposedly had secure wireless
networks.
Today, there are a number of companies that specialize in creating secure
networks that bypass
traditional internet connections that literally create protective sheaths
around secure data pipes.
Hence, the proliferation of virtual private networks or VPNs has occurred
to address this very
issue. A VPN is a private network that piggybacks off of readily available
public infrastructures
such as the internet to provide organizations with an infrastructure that
allows individual users to
access the secure internal networks."
Warum braucht die österreichische Wirtschaft
ein neues Konzept für umfassendes und strategisches Risikomanagement?
Blog
von Ines M. Kaldas, 10. März 2008.
Die kurze Antwort ist: weil Österreich Teil eines hochvernetzten – und
sich
innerhalb Europa’s genauso wie global rapide weitervernetzenden wirtschaftlichen,
politischen und gesellschaftlichen Umfeldes ist.
Dieses grundlegend veränderte Umfeld präsentiert unsere Wirtschaft,
Infrastruktur, aber auch Regierung und Verwaltung, mit neuartigen Herausforderungen,
wie wir sie bisher nicht gewohnt waren. Das heisst konkret, dass wir uns mit
Bedrohungen konfrontiert sehen, die über die Notfallszenarien hinausgehen,
die wir
bisher gewohnt waren.
Ein umfassendes strategisches Business Continuity Planning
(BCP)- Programm stellt einen “ALL-hazards approach” dar, der in einem systematischen
Ansatz einen umfassenden Grad an Krisenvorsorgemassnahmen für ALLE
risikoanfälligen Aspekte eines Business einführt, und dessen Implementierung
und
laufende Aktualisierung evaluiert. All das wird auf „International Best
BCP Practices“
standardisiert. Nur so kann sich die österreichische Wirtschaft gegen neu
auftretende
Bedrohungen wappnen.
Unter der Zukunftsperspektive „neuartige Bedrohungen“ fallen sowohl
Naturkatastrophen verursacht durch sich verändernde klimatische Bedingungen,
als auch
Bedrohungen durch ansteckende Human- und landwirtschaftliche Pathogene, die sich
in
einer hochmobilen Welt wesentlich rascher ausbreiten (z.b. eine Grippepandemie).
Darunter fallen aber auch technisches Versagen und menschlich verursachte
Katastrophen. Dazu zählen nicht nur Unfälle, etwa in der Gefahrengüterindustrie,
sondern auch Sabotage, transnationaler Terrorismus, und ganz besonders Bedrohungen
aus Makroverkettungen - nicht nur in bezug auf cyberthreats und Datensicherheit
- aber
v.a. Schwachstellen in der supply chain.
Neuartige Bedrohungen unterscheiden sich in ihren Dimensionen massgeblich
von den uns bisher gewohnten, sozusagen traditionellen, Notfällen. Die oben
angeführten Beispiele sprengen den Rahmen traditioneller Krisensituationen
indem
assoziierte Trigger, Auswirkungen und Endpunkte ungewohnt oder unbekannt sind.
Damit ergibt sich ein Potenial für Panik unter Mitarbeitern, Entscheidungsträgern,
aber
auch in der Öffentlichkeit. Das könnte zu wirtschaftlicher und politischer
Destabilisierung führen, weil grundlegende Strukturen nicht mehr funktionieren.
Im
Businessbereich heisst das organisatorische Desorientierung, Fehlverhalten und
expandierte Ausfallszeiten – für Produktionsabläufe, Verteilungsmodalitäten
oder
Serviceleistungen. Im öffenlichen Bereich wäre dadurch die Aufrechterhaltung
des öffentlichen Vertrauens, und damit Gesetz und Ordnung, und die Versorgung
mit
kritischen Gütern und Dienstleistungen gefährdet.
Wie kann man nun entscheiden,
welche Bedrohungen ernst zu nehmen sind? Die Bewertung von Handlungsbedarf in
Wirtschaft, Politik und Verwaltung basiert allzu oft
auf angstgetriebenen Entscheidungsprozessen, die das kolportierte Tagesgeschehen
reflektieren. Die resultierenden Beurteilungsprozesse oszillieren dementsprechend.
Unser strategisches BCP-Programm unterscheidet sich sowohl vom
herkömmlichen betrieblichen Risk Mangement, als auch von den herkömmlichen
taktischen Notfalls- und Einsatzplänen:
Das traditionelle Risk Management eines Business bezieht sich vor allem darauf,
Risiken für die profitability zu kalkulieren.
Ein strategisches BCP-Programm aber setzt dem einen HOLISTISCHEN
Planungsansatz entgegen, der „inward & outward“ orientiert ist:
wir definieren BCP als
umfassende und strategische Massnahmen zur Bewahrung der Kontinuität sowohl
im
Business, als auch in Regierung und Verwaltung und in der Infrastruktur - über
ein weites
Spektrum an potentiellen Bedrohungen von innen und aussen, gegebenfalls über
einen
langfristigen Rahmen hinweg. Mit diesem standardisierten und systematischen Prozess
aus Analyseverfahren, Empfehlungen, und der Überprüfung des
Implementierungserfolges und dessen Resultaten wird eine neue Basis für
Entscheidungsprozesse und damit ein hoher Mehrwert geschaffen.
Was heisst das konkret? Das Ziel eines umfassenden strategischen BCPProgrammes
ist die Kontinuität aller mission-critical functions, z.b. eines Business,
zu
wahren. Als mission-critical functions bezeichnet man jene Funktionen, die für
die
grundsätzliche Betriebsfähigkeit eines Unternehmens unverzichtbar sind.
Das bezieht
sich auf alle Management-, Business operations-, und administrative support functions.
Es ist daher "inward und outward" orientiert. Dieser Ansatz gewährleistet,
dass ALLE
mission-critical functions eines Business im Notfall ohne Unterbrechung fortgeführt
werden können, und zwar über ein breites Spektrum an potenziellen Bedrohungen
hinweg (d.h., wie oben angeführt, ein „ALL-hazars approach“:
Naturkatastrophen,
Unfälle, technisches Versagen, oder menschlich verursachte Krisenfälle).
Das von uns
konzipierte BCP-Programm deckt darüber hinaus neuartige Bedrohungen
wie den
Ausbruch einer Pandemie ab. Das heisst, ein robustes BCP-Programm schafft
PROAKTIV
Effizienzerhöhung in allen mission-critical functions – und dadurch
OPERATIVE WIDERSTANDSFÄHIGKEIT (operational resiliency) gegenüber
einem weiten Spektrum an internen und externen Bedrohungen.
Dies geschieht indem ALLE massgeblichen Unternehmensaspekte und ihre
mission-critical functions in bezug auf potentielle Bedrohungen und ihre
Auswirkungen identifiziert und evaluiert werden, und integrierte und
kompatible Richtlinien für die
Krisenvermeidung, -vorsorge, den eigentlichen Einsatz und die darauffolgende
Normalisierungsphase auf der Basis einer „unified planning platform“ erarbeitet
werden.
Hier liegt der signifikante Unterschied zur herkömmlichen taktischen
Notfallsplanung. Oft sind Resoucen aller Art knapp budgetiert und Einsatzpläne
designiert für ganz spezifische Notfälle, die sich meist nicht weiter
als über einen relativ
kurzfristigen Rahmen erstrecken. Ein strategisches BCP-Programm dagegen ist
gleichzusetzten mit einem wohlkonzipierten „business case“, bei dem,
auf einer Kosten-
Nutzen Basis, ein flexibles und massstäblich anzuwendendes Konzept für
alle internen
und externen Business operations geschaffen wird – bei Bedarf über
in einen
langfristigen Rahmen.
Damit werden Mitarbeiter, Prozesse und Unternehmenswerte gesichert und downtimes
verringert. Durch diese Effizienzerhöhung und die daraus resultierende
organisatorische Widerstandsfähigkeit werden regulative Vorgaben und Wachstumsziele
leichter erfüllt und die Wettbewerbsfähigkeit abgesichert. Klare Zuständigkeits-
und
Nachfolgeregelungen, sowie cross-training (essentielles training von Schlüsselpersonal
über operative Grenzen hinweg) sichern mission-critical functions auch bei
Personalausfall. Spezielles supply chain-BCP sichert die Kontinuität innerhalb
von
Versorgungsketten. Umfassende Immobilien- und physische Sicherheitsmassnahmen,
sowie IT- und Datensicherheit sind selbstverständliche Vorraussetzungen.
Interoperable
Kommunikationspläne gewährleisten essentielle Kooperationsschienen
sowohl innerhalb
des Betriebes, als auch nach aussen, etwa mit kritischen Schnittstellen der öffentlichen
Hand (Blaulichtorganisationen, Zivilschutz, Gesundheitswesen, etc.). Spezielle
Appendices, wie Pandemiepläne können angeliedert werden.
Das nun folgende Beispiel bezieht sich auf einen konkreten Fall aus der
europäischen Infrastruktur – ist aber, in seiner Signalwirkung und
in den aufgedeckten
Planungs- und operativen Mängeln beispielgebend für alle Industriezweige:
Es ist November. Im Netz des deutschen Energiekonzerns E.ON wird eine
Höchstspannungsleitung über die Ems abgeschalten, um ein Kreuzfahrtsschiff
passieren
zu lassen. Etwa eine halbe Stunde später kommt es zu einem der grössten
Stromausfälle
Europas, von den Niederlanden bis nach Italien und Spanien. Was war passiert?
Andere
europäische Netzbetreiber waren nicht informiert worden. E.ON Mitarbeiter
hatten die
potentiellen Auswirkungen unterschätzt – es kam zu einer Kettenreaktion.
Der
nachfolgende Expertenbericht der EU Kommission stellte gravierende Sicherheitsmängel
fest. Investitionen in die Zuverlässigkeit und den Netzbetrieb seien „unzureichend“
gewesen. Daher sei die Versorgungssicherheit nicht gegeben. Die EU Kommission
pochte auf eine Entflechtung der Netzbetreiber. Gerade dieser Tage erfahren
wir, dass
sich E.ON von seinem Ubertragungsnetz trennen wird.
Hier die Interpretation: mission-critical functions waren nicht klar
identifiziert, Triggermechanismen und back-up Funktionen nicht rasch
genug einsatzfähig,
die
Kommunikation unzureichend. Wie man sieht, sind ernste strukturelle und
wirtschaftliche Konsequenzen für E.ON die Folge.
Was hiesse das für die öffentliche Hand? Ein Stomausfall hätte
Auswirkungen auf
alle Bereiche des öffentlichen Lebens: das Gesundheitswesen wäre, trotz
Notaggregaten,
nur eingeschränkt einsatzfähig, desgleichen in Verkehrs-, Transport-
und
Versorgungswegen, und der Infrastruktur von Gebäuden, auch Teile der
Telekommunikation sind überlastungsanfällig.
Kontinuität im öffentlichen Bereich bedeutet daher in erster Linie
den Schutz von
Gesundheit und Leben unserer Bürger – und die Bewahrung und Aufrechterhaltung
von
Gesetz und Ordnung. Wie schwer das ist bei Katastrophen – sogar bei grossangelegten
Naturkatastrophen, die den gewohnten Rahmen sprengen, ist uns bei Katrina demonstriert
worden. Wäre der europäische transnationaler Zivilschutz besser gerüstet
gewesen bei
einer Flutkatastrophe, deren Ausdehnung von Norddeutschland nach Norditalien
reicht?
Und wie wäre es bei einer „unkonventionellen“ Katastrophe, etwa
einer Pandemie? Laut
wissenschaftlichen Berechnungen kommt es dazu ca. alle 60 Jahre. Heutzutage müssen
wir damit rechnen, dass sich ein ansteckendes Pathogen in unserer globalisierten
und
hochmobilen Welt viel schneller ausbreitet als 1918 zur Zeit der „Spanischen
Grippe“.
Lassen Sie uns diesen Fall Pandemie herausgreifen: 20-60% absenteeism
(Abwesenheitsrate unter Mitarbeitern) sind prognostiziert. Wie kann das öffentliche
Gesundheitswesen unter diesen Vorraussetzungen seine mission-critical functions
aufrechterhalten? Der erste Schritt wäre ein „ranking“ seiner
mission-critical functions –
dann innerhalb dessen ein „ranking“ seines mission-critical Personals.
Desgleichen gilt
für die Wirtschaft – proaktives, unfassendes und strategisches BCP
sind daher von
eminenter Bedeutung für JEDEN Industriezweig.
Von Seiten der öffentlichen Hand hat man das auf EU-Ebene bereits erkannt.
Daher erarbeitet die EU derzeit Richtlinien, die den Sicherheitsrahmen
in der Elekrtrizitätswirtschaft, Transport und Handel, Telekommunikation, Gesundheitswesen
u.a. NEU regulieren - mit dem Ziel kompatible Richtlinien und kompatible
Sicherheitsmassnahmen - cross sector & transnational - zu schaffen.
Dem steht gegegnüber, dass es (etwa in der Elektrizitätswirtschaft
u.a. Bereichen
der kritischen Infrastruktur) kein überregionales Regulationsorgan und keine
einheitlichen Richtlinien gibt.
Warum ist das strategisches BCP für die österreichische Wirtschaft
von
Bedeutung? Wegen der globalen Vernetzung in allen Wirtschafts- und operativen
Bereichen! In den letzten Jahren hat sich die Wirtschaft in Europa, aber
auch das globale
Handels- und Transportwesen exponential vernetzt - das gilt auch für
computerisierte/digitale Steuerungsprozesse und/oder Abläufe in Produktion
und
Serviceleistungen. Dominoeffekte und die daraus resultierenden negativen
Auswirkungen wären gravierend. Unsere Fallbeispiele (E.ON, Katrina)
demonstrieren die komplexen
Zusammenhänge und die Notwendigkeit, Krisensituationen rasch und flexibel
entgegenzutreten indem Businesses-nfrastrukturunternehmen-Behörden-Organisationen
widerstandsfähig gehalten werden.
Wichtig für die österreichische Wirtschaft ist es daher, sich
rechtzeitig
einzustellen und zu adaptieren - BEVOR ein Krisenfall eintritt. In dem
Moment in dem
man sich in der EU anschickt, Schwachstellen zu identifizieren und die
Wettbewerbsfähigkeit zu stärken, erfüllt das Konzept „strategisches
BCP-Programm“
genau jene Zielsetzungen, wie sie im EU Critical Infrastructure Protection Program
(EU-CIP) formuliert werden: roadmaps & benchmarks für einheitliche
Risikobewertung
und capability building mit dem Ziel einer systematische Erhöhung der
organisatorischen Widerstandsfähigkeit, sowie interoperabe Notfallsplanung
und
Kommunikationsmodi, und Flexibilität im Krisenfall. Es ist eine
unvermeidbare Notwendigkeit, sich anzupassen.
.
Structural Differences Between Avian
Flu and Other Events
Blog
by Tony Gill, Oct 18, 2006.
There's much discussion these days about how business should go about addressing
avian flu, should a global pandemic break out. More often than not, business
continuity planners continue to lump avian flu with a number of other events
of mass disruption. I think, however, that avian flu should be approached
differently. In fact the dynamics of avian flu are completely different than
the dynamics of most other events, regardless of their impact. Consider the
following illustration:
This chart shows that avian flu differentiates itself from an other type of event
based upon two criteria: event duration (whereas other events can unfold in a
moment or a day, allowing recovery to take place when the event is over, the
duration of an event such as avian flu can continue for weeks or months; receovery
cannot take place until after the event is over), and the way in which anxiety
levels of people which are usually at their highest point during a more "traditional" event
and gradually decrease over time will actually increase over time.
The chart is fairly self-explanatory. Take a look at it and make sure your planners
understand this dynamic and calibrate their planning strategies accordingly.