Als een organisatie getroffen wordt door een crisis dan zal zij stappen ondernemen om de gevolgen van de crisis te minimaliseren, zodat de organisatie haar bedrijfsprocessen kan blijven uitvoeren met een minimale schade. In de media worden steeds vaak voorbeelden genoemd van organisaties die worden getroffen door bijvoorbeeld een wereldwijde pandemie, een digitale cyberaanval in de vorm een hack van het netwerk of Ransomware besmetting.
Het Business Continuity Plan (BCP) bevat vaak veel technische en organisatorische herstelacties en -maatregelen. Echter, de communicatie met stakeholders is net zo belangrijk. Als organisatie heb je bij een crisis te maken met bijvoorbeeld aandeelhouders, toezichthouders, media, klanten en medewerkers. Deze belanghebbenden hebben elk hun eigen redenen om bij een noodsituatie informatie te vergaren over o.a. de ernst van de crisis, de invloed van de crisis op het herstel van de diensten of de beschikbaarheid van de producten van de getroffen organisatie. Een BCP moet naast herstelacties ook aandacht geven aan het managen van een crisis. Communicatie is daar een belangrijk onderdeel van.
Ook in ISO 22301, de norm voor bedrijfscontinuïteit, is communicatie als onderdeel opgenomen bij het opstellen van plannen en procedures voor bedrijfscontinuïteit. De norm stelt dat de organisatie een reactie-structuur moet implementeren en onderhouden die tijdige waarschuwing en communicatie richting relevante belanghebbende mogelijk maakt (8.4.1). In paragraaf 8.4.3.1. is opgenomen dat de organisatie procedures moet documenteren en onderhouden om:
Het is essentieel om een communicatieplan op te stellen als onderdeel van het Business Continuity Plan. Een communicatieplan voorkomt dat belanghebbenden foutief of niet geïnformeerd worden. Het gevaar van ongecoördineerde, onduidelijke en foutieve informatie is dat de belanghebbenden conclusies kunnen trekken die onterecht zijn, met alle gevolgen van dien. Door de interne en externe communicatie vooraf te definiëren kun je een cisis snel en effectief managen en weten belanghebbenden wat er speelt en welke impact dit voor hen heeft. Het Crisis Management Team (CMT) speelt meestal een grote rol bij het opstellen en uitvoeren van het communicatieplan.
Het vormen van een Crisis Management Team (CMT) is de basis van het managen van een crisis. Door het topmanagement van een organisatie in het CMT op te nemen is het mandaat aanwezig om belangrijke besluiten, herstelacties en de communicatie op een correcte manier te laten verlopen. Belangrijk hierbij is dat het CMT gebruik kan maken van een communicatieplan dat eerder, in tijd van “vrede”, is opgesteld. Het CMT heeft een voorzitter, vaak de CEO of CISO, die de overleggen van het team efficiënt en kordaat laat verlopen. Het terugkeren naar de “normale” bedrijfsvoering met een zo laag mogelijke schade is het hoofddoel van het CMT. Hierbij is de informatievoorziening, het voorzien van het CMT van de juiste en tijdige informatie over de crisis cruciaal voor de efficiëntie van het CMT. Dit is dan ook vaak de grootste uitdaging. Een goede crisisorganisatie kan bijdragen aan de gewenste en efficiënte informatievoorziening voor het CMT. Op deze wijze kan het CMT de verschillende belanghebbenden gedurende de duur van de crisis voorzien van de juiste informatie.
Heeft jouw organisatie hulp nodig bij het in kaart brengen van de risico’s en het opstellen van een bedrijfscontinuïteitsplan? Onze ervaren Information Security Consultants helpen graag! Neem vrijblijvend contact met ons op en we vertellen je graag over de mogelijkheden.
Reduce Risk, Create Value!