BLOG Articles


The importance of telework in Business Continuity Planning
Blog by Tony Gill, 12 March 2008.

"More than two years have passed since the first reports of an ominous avian flu pandemic began pouring in from the Far East. In the time that has elapsed since those first outbreaks were reported, business continuity planners have taken a much more holistic approach in shoring up as many risk exposures as possible to mitigate the operational gaps that will emerge should such a pandemic spread. One of the more widely discussed strategies involves telework, a strategy that allows workgroups to continue to operate and collaborate while working from separate, remote locations. Increasingly, this has become a more viable option, given the penetration rates, and affordability of broadband internet.
On the surface, this may sound like a relatively uncomplicated process, as it simply requires the identification of those individuals who would be best suited to remote working and ensuring they have ready access to broadband. However, as soon as an organization commits itself to
pursuing telework, a number of logistical issues arise, forcing planners to systematically and meticulously address a number of issues that become more prevalent as time passes. The first area to consider is the optimal size of a group. Under normal operating circumstances, a
group may number over 100 people, however, in extraordinary circumstances such as at the onset of a pandemic outbreak, the number of key people may be reduced to between 20 and 30 (a good rule of thumb is to plan for teams that are 20-30% of normal team size). It is therefore very important that these critical staff team be specifically identified during the planning phase. Beyond this, it is vital that an optimal platform (probably relying on more than one technology) be selected that enables the workgroup to efficiently collaborate. In addition to simple strategies involving project management methodologies and email, there are a number of readily available collaboration software packages that can significantly enhance the efficiency of remote work capability.
Perhaps the biggest concern, especially if this involves working in a large institution that deals with sensitive data (such as a firm within financial services), is how secure is the data if it is being accessed remotely, and what data might be so sensitive that regardless of the security controls placed on access, it simply does not qualify for remote work. The mounting concern over leaky data has been significantly escalated given the massive breach in customer credit information of TJX Companies in 2007. The data was stolen by thieves who were able to access data on the perimeter of seemingly secure locations that supposedly had secure wireless networks. Today, there are a number of companies that specialize in creating secure networks that bypass traditional internet connections that literally create protective sheaths around secure data pipes. Hence, the proliferation of virtual private networks or VPNs has occurred to address this very issue. A VPN is a private network that piggybacks off of readily available public infrastructures such as the internet to provide organizations with an infrastructure that allows individual users to access the secure internal networks."

 

 

Warum braucht die österreichische Wirtschaft ein neues Konzept für umfassendes und strategisches Risikomanagement?
Blog von Ines M. Kaldas, 10. März 2008.

Die kurze Antwort ist: weil Österreich Teil eines hochvernetzten – und sich innerhalb Europa’s genauso wie global rapide weitervernetzenden wirtschaftlichen, politischen und gesellschaftlichen Umfeldes ist. Dieses grundlegend veränderte Umfeld präsentiert unsere Wirtschaft, Infrastruktur, aber auch Regierung und Verwaltung, mit neuartigen Herausforderungen, wie wir sie bisher nicht gewohnt waren. Das heisst konkret, dass wir uns mit Bedrohungen konfrontiert sehen, die über die Notfallszenarien hinausgehen, die wir bisher gewohnt waren.

Ein umfassendes strategisches Business Continuity Planning (BCP)- Programm stellt einen “ALL-hazards approach” dar, der in einem systematischen Ansatz einen umfassenden Grad an Krisenvorsorgemassnahmen für ALLE risikoanfälligen Aspekte eines Business einführt, und dessen Implementierung und laufende Aktualisierung evaluiert. All das wird auf „International Best BCP Practices“ standardisiert. Nur so kann sich die österreichische Wirtschaft gegen neu auftretende Bedrohungen wappnen.
Unter der Zukunftsperspektive „neuartige Bedrohungen“ fallen sowohl Naturkatastrophen verursacht durch sich verändernde klimatische Bedingungen, als auch Bedrohungen durch ansteckende Human- und landwirtschaftliche Pathogene, die sich in einer hochmobilen Welt wesentlich rascher ausbreiten (z.b. eine Grippepandemie). Darunter fallen aber auch technisches Versagen und menschlich verursachte Katastrophen. Dazu zählen nicht nur Unfälle, etwa in der Gefahrengüterindustrie, sondern auch Sabotage, transnationaler Terrorismus, und ganz besonders Bedrohungen aus Makroverkettungen - nicht nur in bezug auf cyberthreats und Datensicherheit - aber v.a. Schwachstellen in der supply chain.
Neuartige Bedrohungen unterscheiden sich in ihren Dimensionen massgeblich von den uns bisher gewohnten, sozusagen traditionellen, Notfällen. Die oben angeführten Beispiele sprengen den Rahmen traditioneller Krisensituationen indem assoziierte Trigger, Auswirkungen und Endpunkte ungewohnt oder unbekannt sind. Damit ergibt sich ein Potenial für Panik unter Mitarbeitern, Entscheidungsträgern, aber auch in der Öffentlichkeit. Das könnte zu wirtschaftlicher und politischer Destabilisierung führen, weil grundlegende Strukturen nicht mehr funktionieren. Im Businessbereich heisst das organisatorische Desorientierung, Fehlverhalten und expandierte Ausfallszeiten – für Produktionsabläufe, Verteilungsmodalitäten oder Serviceleistungen. Im öffenlichen Bereich wäre dadurch die Aufrechterhaltung des öffentlichen Vertrauens, und damit Gesetz und Ordnung, und die Versorgung mit kritischen Gütern und Dienstleistungen gefährdet.

Wie kann man nun entscheiden, welche Bedrohungen ernst zu nehmen sind? Die Bewertung von Handlungsbedarf in Wirtschaft, Politik und Verwaltung basiert allzu oft auf angstgetriebenen Entscheidungsprozessen, die das kolportierte Tagesgeschehen reflektieren. Die resultierenden Beurteilungsprozesse oszillieren dementsprechend.
Unser strategisches BCP-Programm unterscheidet sich sowohl vom herkömmlichen betrieblichen Risk Mangement, als auch von den herkömmlichen taktischen Notfalls- und Einsatzplänen: Das traditionelle Risk Management eines Business bezieht sich vor allem darauf, Risiken für die profitability zu kalkulieren. Ein strategisches BCP-Programm aber setzt dem einen HOLISTISCHEN Planungsansatz entgegen, der „inward & outward“ orientiert ist: wir definieren BCP als umfassende und strategische Massnahmen zur Bewahrung der Kontinuität sowohl im Business, als auch in Regierung und Verwaltung und in der Infrastruktur - über ein weites Spektrum an potentiellen Bedrohungen von innen und aussen, gegebenfalls über einen langfristigen Rahmen hinweg. Mit diesem standardisierten und systematischen Prozess aus Analyseverfahren, Empfehlungen, und der Überprüfung des Implementierungserfolges und dessen Resultaten wird eine neue Basis für Entscheidungsprozesse und damit ein hoher Mehrwert geschaffen. Was heisst das konkret? Das Ziel eines umfassenden strategischen BCPProgrammes ist die Kontinuität aller mission-critical functions, z.b. eines Business, zu wahren. Als mission-critical functions bezeichnet man jene Funktionen, die für die grundsätzliche Betriebsfähigkeit eines Unternehmens unverzichtbar sind. Das bezieht sich auf alle Management-, Business operations-, und administrative support functions. Es ist daher "inward und outward" orientiert. Dieser Ansatz gewährleistet, dass ALLE mission-critical functions eines Business im Notfall ohne Unterbrechung fortgeführt werden können, und zwar über ein breites Spektrum an potenziellen Bedrohungen hinweg (d.h., wie oben angeführt, ein „ALL-hazars approach“: Naturkatastrophen, Unfälle, technisches Versagen, oder menschlich verursachte Krisenfälle). Das von uns konzipierte BCP-Programm deckt darüber hinaus neuartige Bedrohungen wie den Ausbruch einer Pandemie ab. Das heisst, ein robustes BCP-Programm schafft PROAKTIV
Effizienzerhöhung in allen mission-critical functions – und dadurch OPERATIVE WIDERSTANDSFÄHIGKEIT (operational resiliency) gegenüber einem weiten Spektrum an internen und externen Bedrohungen. Dies geschieht indem ALLE massgeblichen Unternehmensaspekte und ihre
mission-critical functions in bezug auf potentielle Bedrohungen und ihre Auswirkungen identifiziert und evaluiert werden, und integrierte und kompatible Richtlinien für die Krisenvermeidung, -vorsorge, den eigentlichen Einsatz und die darauffolgende Normalisierungsphase auf der Basis einer „unified planning platform“ erarbeitet werden. Hier liegt der signifikante Unterschied zur herkömmlichen taktischen
Notfallsplanung. Oft sind Resoucen aller Art knapp budgetiert und Einsatzpläne designiert für ganz spezifische Notfälle, die sich meist nicht weiter als über einen relativ kurzfristigen Rahmen erstrecken. Ein strategisches BCP-Programm dagegen ist gleichzusetzten mit einem wohlkonzipierten „business case“, bei dem, auf einer Kosten- Nutzen Basis, ein flexibles und massstäblich anzuwendendes Konzept für alle internen und externen Business operations geschaffen wird – bei Bedarf über in einen langfristigen Rahmen. Damit werden Mitarbeiter, Prozesse und Unternehmenswerte gesichert und downtimes verringert. Durch diese Effizienzerhöhung und die daraus resultierende
organisatorische Widerstandsfähigkeit werden regulative Vorgaben und Wachstumsziele leichter erfüllt und die Wettbewerbsfähigkeit abgesichert. Klare Zuständigkeits- und Nachfolgeregelungen, sowie cross-training (essentielles training von Schlüsselpersonal
über operative Grenzen hinweg) sichern mission-critical functions auch bei Personalausfall. Spezielles supply chain-BCP sichert die Kontinuität innerhalb von Versorgungsketten. Umfassende Immobilien- und physische Sicherheitsmassnahmen, sowie IT- und Datensicherheit sind selbstverständliche Vorraussetzungen. Interoperable Kommunikationspläne gewährleisten essentielle Kooperationsschienen sowohl innerhalb des Betriebes, als auch nach aussen, etwa mit kritischen Schnittstellen der öffentlichen Hand (Blaulichtorganisationen, Zivilschutz, Gesundheitswesen, etc.). Spezielle Appendices, wie Pandemiepläne können angeliedert werden.

Das nun folgende Beispiel bezieht sich auf einen konkreten Fall aus der europäischen Infrastruktur – ist aber, in seiner Signalwirkung und in den aufgedeckten Planungs- und operativen Mängeln beispielgebend für alle Industriezweige: Es ist November. Im Netz des deutschen Energiekonzerns E.ON wird eine Höchstspannungsleitung über die Ems abgeschalten, um ein Kreuzfahrtsschiff passieren zu lassen. Etwa eine halbe Stunde später kommt es zu einem der grössten Stromausfälle Europas, von den Niederlanden bis nach Italien und Spanien. Was war passiert? Andere europäische Netzbetreiber waren nicht informiert worden. E.ON Mitarbeiter hatten die potentiellen Auswirkungen unterschätzt – es kam zu einer Kettenreaktion. Der nachfolgende Expertenbericht der EU Kommission stellte gravierende Sicherheitsmängel fest. Investitionen in die Zuverlässigkeit und den Netzbetrieb seien „unzureichend“ gewesen. Daher sei die Versorgungssicherheit nicht gegeben. Die EU Kommission pochte auf eine Entflechtung der Netzbetreiber. Gerade dieser Tage erfahren wir, dass sich E.ON von seinem Ubertragungsnetz trennen wird. Hier die Interpretation: mission-critical functions waren nicht klar identifiziert, Triggermechanismen und back-up Funktionen nicht rasch genug einsatzfähig, die Kommunikation unzureichend. Wie man sieht, sind ernste strukturelle und wirtschaftliche Konsequenzen für E.ON die Folge. Was hiesse das für die öffentliche Hand? Ein Stomausfall hätte Auswirkungen auf alle Bereiche des öffentlichen Lebens: das Gesundheitswesen wäre, trotz Notaggregaten, nur eingeschränkt einsatzfähig, desgleichen in Verkehrs-, Transport- und Versorgungswegen, und der Infrastruktur von Gebäuden, auch Teile der Telekommunikation sind überlastungsanfällig. Kontinuität im öffentlichen Bereich bedeutet daher in erster Linie den Schutz von Gesundheit und Leben unserer Bürger – und die Bewahrung und Aufrechterhaltung von Gesetz und Ordnung. Wie schwer das ist bei Katastrophen – sogar bei grossangelegten Naturkatastrophen, die den gewohnten Rahmen sprengen, ist uns bei Katrina demonstriert worden. Wäre der europäische transnationaler Zivilschutz besser gerüstet gewesen bei einer Flutkatastrophe, deren Ausdehnung von Norddeutschland nach Norditalien reicht? Und wie wäre es bei einer „unkonventionellen“ Katastrophe, etwa einer Pandemie? Laut wissenschaftlichen Berechnungen kommt es dazu ca. alle 60 Jahre. Heutzutage müssen wir damit rechnen, dass sich ein ansteckendes Pathogen in unserer globalisierten und hochmobilen Welt viel schneller ausbreitet als 1918 zur Zeit der „Spanischen Grippe“. Lassen Sie uns diesen Fall Pandemie herausgreifen: 20-60% absenteeism (Abwesenheitsrate unter Mitarbeitern) sind prognostiziert. Wie kann das öffentliche Gesundheitswesen unter diesen Vorraussetzungen seine mission-critical functions aufrechterhalten? Der erste Schritt wäre ein „ranking“ seiner mission-critical functions – dann innerhalb dessen ein „ranking“ seines mission-critical Personals. Desgleichen gilt für die Wirtschaft – proaktives, unfassendes und strategisches BCP sind daher von eminenter Bedeutung für JEDEN Industriezweig. Von Seiten der öffentlichen Hand hat man das auf EU-Ebene bereits erkannt.
Daher erarbeitet die EU derzeit Richtlinien, die den Sicherheitsrahmen in der Elekrtrizitätswirtschaft, Transport und Handel, Telekommunikation, Gesundheitswesen u.a. NEU regulieren - mit dem Ziel kompatible Richtlinien und kompatible Sicherheitsmassnahmen - cross sector & transnational - zu schaffen. Dem steht gegegnüber, dass es (etwa in der Elektrizitätswirtschaft u.a. Bereichen
der kritischen Infrastruktur) kein überregionales Regulationsorgan und keine einheitlichen Richtlinien gibt.

Warum ist das strategisches BCP für die österreichische Wirtschaft von Bedeutung? Wegen der globalen Vernetzung in allen Wirtschafts- und operativen Bereichen! In den letzten Jahren hat sich die Wirtschaft in Europa, aber auch das globale Handels- und Transportwesen exponential vernetzt - das gilt auch für computerisierte/digitale Steuerungsprozesse und/oder Abläufe in Produktion und Serviceleistungen. Dominoeffekte und die daraus resultierenden negativen Auswirkungen wären gravierend. Unsere Fallbeispiele (E.ON, Katrina) demonstrieren die komplexen Zusammenhänge und die Notwendigkeit, Krisensituationen rasch und flexibel entgegenzutreten indem Businesses-nfrastrukturunternehmen-Behörden-Organisationen widerstandsfähig gehalten werden.
Wichtig für die österreichische Wirtschaft ist es daher, sich rechtzeitig einzustellen und zu adaptieren - BEVOR ein Krisenfall eintritt. In dem Moment in dem man sich in der EU anschickt, Schwachstellen zu identifizieren und die Wettbewerbsfähigkeit zu stärken, erfüllt das Konzept „strategisches BCP-Programm“ genau jene Zielsetzungen, wie sie im EU Critical Infrastructure Protection Program (EU-CIP) formuliert werden: roadmaps & benchmarks für einheitliche Risikobewertung und capability building mit dem Ziel einer systematische Erhöhung der organisatorischen Widerstandsfähigkeit, sowie interoperabe Notfallsplanung und Kommunikationsmodi, und Flexibilität im Krisenfall. Es ist eine unvermeidbare Notwendigkeit, sich anzupassen.
.

Structural Differences Between Avian Flu and Other Events
Blog by Tony Gill, Oct 18, 2006.

There's much discussion these days about how business should go about addressing avian flu, should a global pandemic break out. More often than not, business continuity planners continue to lump avian flu with a number of other events of mass disruption. I think, however, that avian flu should be approached differently. In fact the dynamics of avian flu are completely different than the dynamics of most other events, regardless of their impact. Consider the following illustration:



This chart shows that avian flu differentiates itself from an other type of event based upon two criteria: event duration (whereas other events can unfold in a moment or a day, allowing recovery to take place when the event is over, the duration of an event such as avian flu can continue for weeks or months; receovery cannot take place until after the event is over), and the way in which anxiety levels of people which are usually at their highest point during a more "traditional" event and gradually decrease over time will actually increase over time.

The chart is fairly self-explanatory. Take a look at it and make sure your planners understand this dynamic and calibrate their planning strategies accordingly.