Was kann uns die Technologiebranche über Business Continuity Planning und CEM lehren?
30. Januar 2023
·Blog
·Ryan Burrus
Einige Biologen sagen voraus, dass es immer wahrscheinlicher wird, dass Covid nicht die letzte Pandemie sein wird, die wir in unserem Leben erleben werden. Das ist nur einer von vielen Punkten, die Notfallplaner nachts wach halten, und ein weiterer Grund, warum Business Continuity Planning (BCP) fest in die Struktur unserer Organisationen integriert werden muss.
Jede Organisation ist jedoch einzigartig, und manche Risiken sind in bestimmten Sektoren oder Branchen stärker ausgeprägt. Ein Beispiel: Ein Zwischenfall in einer Fertigungshalle kann innerhalb weniger Minuten Verluste in Millionenhöhe verursachen. Für eine Universität oder eine Gesundheitseinrichtung ist dies jedoch nicht besonders relevant. Der Kontext spielt also eine wichtige Rolle.
Aus diesem Grund werden wir uns in den kommenden Wochen mit folgenden Themen befassen Critical Event Management (CEM) im Kontext bestimmter Branchen. Zum Auftakt dieser Diskussion über Geschäftskontinuität möchte ich unseren eigenen Ansatz beleuchten – als sicherheitsorientiertes Softwareunternehmen mit globaler Präsenz.
BCP im Technologiesektor
Wie organisiert ein Technologieunternehmen wie BlackBerry seine eigenen CEM ? Wie sorgen wir dafür, dass unsere Mitarbeiter in Krisen und Notfällen sicher und auf dem Laufenden bleiben? Und was sind die wichtigsten Teile imCEM , über die jedes Technologie- oder Softwareunternehmen verfügen muss?
Um Antworten zu erhalten, haben wir mit Laura Beattie, Director of Enterprise Business Continuity & Disaster Recovery Management bei BlackBerry, gesprochen. Laura verfügt über fast 20 Jahre Erfahrung in diesem Bereich und leitete die Reaktion von BlackBerry während einer Reihe von Notfällen, darunter auch die Pandemie.
Laura hat vier wichtige Punkte identifiziert, die Technologieunternehmen berücksichtigen müssen, um sich auf Katastrophen vorzubereiten. Diese stammen zwar aus ihrer Erfahrung in einem softwareorientierten Unternehmen, aber ihre Tipps lassen sich auch auf viele andere Organisationen übertragen.
Im Folgenden sind Lauras Kommentare aus meinem Gespräch mit ihr aufgeführt.
BCP-Thema 1: Vorbereitung auf Katastrophenfälle
„Wie viele Organisationen hatten vor COVID-19 regelmäßig ihren Pandemieplan geübt? Heute haben globale Technologieunternehmen mit einer Vielzahl unterschiedlicher Notfälle zu kämpfen, von Waldbränden über gewalttätige Proteste bis hin zu Sicherheitsverletzungen. Sie benötigen gut getestete Pläne, die bei unerwarteten Ereignissen schnell aktiviert werden können. Dazu gehören Krisenmanagement-, Notfall- und Geschäftskontinuitätspläne. Diese Dokumente im Regal zu haben, ist nicht sehr effektiv, wenn niemand mit ihnen vertraut ist.“
Üben Sie Ihre BCP-Pläne
„Durch regelmäßige Übungen können Sie Ihre Prozesse festigen und alle Beteiligten auf den Erfolg im Ernstfall vorbereiten. Auch wenn Ihre Prozesse noch nicht perfekt sind, sollten Sie sie testen und Tabletop-Übungen mit simulierten Szenarien durchführen. Stellen Sie sich folgende Situation vor: Was würden Sie tun, wenn ein verärgerter Mitarbeiter eines Ihrer Gebäude betreten und verkünden würde, dass er eine Bombe gelegt hat? Was wäre, wenn einige Ihrer „Single Points of Failure”-Mitarbeiter krank werden und für eine Weile ausfallen würden? Erstellen Sie Szenarien und lassen Sie wichtige Mitarbeiter ihre Reaktionen darauf diskutieren.“
BCP-Thema 2: Über die richtigen Ressourcen verfügen, um reagieren zu können
„Eine weitere Herausforderung für viele Technologieunternehmen besteht darin, dass sie nicht über dedizierte Ressourcen oder Fachwissen innerhalb ihrer Belegschaft verfügen. Dies erschwert die frühzeitige Entwicklung von Plänen und deren Umsetzung. In vielen Fällen übernehmen Mitarbeiter mehrere Aufgaben, und kleinere Softwareunternehmen verfügen seltener über rund um die Uhr verfügbare Betriebsteams, die globale Auswirkungen überwachen und betroffene Mitarbeiter identifizieren können – insbesondere jetzt, da Mitarbeiter von überall aus arbeiten.“
Wie man Teams für die Geschäftskontinuität aufbaut
„Der Schlüssel liegt darin, auf dem aufzubauen, was Sie bereits haben. Für Ihren Prozess zum Krisenmanagement bei Zwischenfällen verfügen Sie wahrscheinlich bereits über wichtige Ansprechpartner an jedem Standort oder in den Regionen, die Sie bei Zwischenfällen einbeziehen. Das können Ihre Notfallhelfer, Mitarbeiter der Personalabteilung, Sicherheitsbeauftragte usw. sein. Mit diesen wichtigen Ansprechpartnern sowie Führungskräften, die die in diesen Bereichen ansässigen Unternehmensgruppen vertreten, können Sie damit beginnen, lokale Teams für das Zwischenfallmanagement zusammenzustellen.
Sobald Sie diese Gruppen für jeden Bereich gebildet haben, können Sie globale Verteilerlisten einrichten, sodass Sie im Falle eines Vorfalls über einen Kommunikationskanal mit dem lokalen Team verfügen und alle auf dem gleichen Stand sind. Diese Teams können dabei helfen, die Lage zu erfassen und Anweisungen zu geben.
Dann bilden Sie ein Krisenmanagementteam aus Ihren obersten Führungskräften. Sie leiten Informationen an dieses Team weiter, wenn schwerwiegendere Auswirkungen zu erwarten sind und wenn Sie allgemeine Anweisungen benötigen, beispielsweise eine Entscheidung darüber, ob alle Standorte aufgrund der Pandemie geschlossen werden sollen. Nun haben Sie eine klare Befehlskette eingerichtet und verfügen über einen Rahmen für Ihren Vorfall- und Krisenmanagementprozess.
BCP-Thema 3: Priorisierung von Risiken
„Bei so vielen Faktoren – wo soll man da den Fokus setzen? Haben Sie kritische Systeminfrastrukturen, die langsam in die Jahre kommen, und keine Ausfallpläne dafür? Wie viel Aufwand haben Sie in die Nachfolgeplanung oder das Cross-Training für Ihre Single Points of Failure gesteckt? Wie abhängig sind Sie von Ihren Drittanbietern? verfügen über Business-Continuity-Pläne? All dies sind potenzielle Risiken für Ihr Unternehmen.
Auch Technologieunternehmen müssen sich nun mit sich überschneidenden Notfällen auseinandersetzen. Viele von uns arbeiten von zu Hause aus, aber was passiert, wenn einige Ihrer Mitarbeiter, die von zu Hause aus arbeiten, aufgrund von Waldbränden oder Hurrikanen ihre Wohnung verlassen müssen? Dies macht die Planung der Geschäftskontinuität noch komplexer.
Wie man Prioritäten in der BCP-Planung setzt
„Wenn es darum geht, Ihre Risiken zu bewerten, müssen Sie die Auswirkungen verstehen und die notwendigen Pläne aufstellen. Setzen Sie Prioritäten, indem Sie mit dem beginnen, was Sie als das höchste Risiko für Ihr Unternehmen identifiziert haben. Aus Sicherheitsgründen haben Sie vielleicht Büros oder Mitarbeiter in Gebieten, in denen es häufig zu Überschwemmungen oder Tornados kommt. Aus Sicht der Geschäftskontinuität bewerten wir Risiken im Zusammenhang mit dem Verlust von Standorten, Mitarbeitern, Technologie und Dritten.“
BCP-Thema 4: Sicherstellung einer konsistenten, zeitnahen und genauen Kommunikation
„Wenn Ihre Notfallmeldungen verspätet eintreffen oder ungenaue Informationen enthalten, untergräbt dies die Glaubwürdigkeit Ihrer Kommunikation mit Ihren Mitarbeitern. Wenn Ihre Warnmeldung beispielsweise besagt, dass sich ein aktiver Angreifer in der Gegend befindet, diese Person jedoch bereits vor einer Stunde festgenommen wurde, ist Ihre Meldung nicht mehr relevant, und die Mitarbeiter werden sie ignorieren, da sie keinen Nutzen darin sehen.
Eine Sache, die ich in Bezug auf die Kommunikation in schwierigen Zeiten gelernt habe, ist, dass Mitarbeiter von ihren Arbeitgebern eher mehr als weniger erwarten. Sie möchten wissen, dass ihre Arbeitgeber sich um ihre Sicherheit und ihr Wohlergehen kümmern, dass sie über die aktuellen Ereignisse auf dem Laufenden sind und dass sie transparent kommunizieren, in welche Richtung sich das Unternehmen bewegt, um Kommunikationsherausforderungen zu bewältigen.
Wie man die Kommunikation bei kritischen Ereignissen verbessert
„Der Einsatz von Technologie trägt wirklich dazu bei, den manuellen Aufwand zu reduzieren. Bei BlackBerry konnten wir während der jüngsten Hurrikane umgehend eine Warnmeldung über verschiedene Kanäle wie SMS, E-Mail und App versenden. Diese enthielten Antwortoptionen wie „Ich bin in Sicherheit“, „Ich brauche Hilfe“ oder „Ich befinde mich nicht im betroffenen Gebiet“, um die Sicherheit unserer Mitarbeiter zu bestätigen. Wir konnten schnell Antworten erhalten. Hier ist die Sicherheit von Informationen von entscheidender Bedeutung. Man möchte die Gewissheit haben, dass die Informationen, die man intern weitergibt und von seinen Mitarbeitern sammelt, geschützt sind.“
Erstellen IhrerCEM Checkliste
Mit Blick auf die Zukunft deuten bestimmte Faktoren auf eine positive Veränderung der Denkweise seit der Pandemie hin. Beispiele hierfür sind eine erneute Fokussierung auf Vorsorge und die zunehmende Zahl von„Resilienzbeauftragten“, die einen Platz in der Führungsetage einnehmen.
Lauras Ratschläge sollten Ihnen dabei helfen, Ihre BCP-Pläne weiterzuentwickeln und eventuell fehlende Elemente hinzuzufügen, wie beispielsweise eine spezielle CEM mit bidirektionaler Kommunikation.
Bei BlackBerry haben wir festgestellt, dass Funktionen, die uns bei der Planung helfen, wie Schritt-für-Schritt-Anleitungen und integrierte Überprüfungszyklen, sowie Statusaktualisierungen in Echtzeit und die Möglichkeit, den Status von Empfängern und Beteiligten während eines kritischen Ereignisses zu verfolgen und zu melden, von unschätzbarem Wert sind.
Mit kontinuierlichen Überprüfungen, Proben und sicherer Kommunikation sind Sie für alles gewappnet, was als Nächstes kommt.
Was kann uns die Technologiebranche über Business Continuity Planning und CEM lehren?
30. Januar 2023
·Blog
·Ryan Burrus
Einige Biologen sagen voraus, dass es immer wahrscheinlicher wird, dass Covid nicht die letzte Pandemie sein wird, die wir in unserem Leben erleben werden. Das ist nur einer von vielen Punkten, die Notfallplaner nachts wach halten, und ein weiterer Grund, warum Business Continuity Planning (BCP) fest in die Struktur unserer Organisationen integriert werden muss.
Jede Organisation ist jedoch einzigartig, und manche Risiken sind in bestimmten Sektoren oder Branchen stärker ausgeprägt. Ein Beispiel: Ein Zwischenfall in einer Fertigungshalle kann innerhalb weniger Minuten Verluste in Millionenhöhe verursachen. Für eine Universität oder eine Gesundheitseinrichtung ist dies jedoch nicht besonders relevant. Der Kontext spielt also eine wichtige Rolle.
Aus diesem Grund werden wir uns in den kommenden Wochen mit folgenden Themen befassen Critical Event Management (CEM) im Kontext bestimmter Branchen. Zum Auftakt dieser Diskussion über Geschäftskontinuität möchte ich unseren eigenen Ansatz beleuchten – als sicherheitsorientiertes Softwareunternehmen mit globaler Präsenz.
BCP im Technologiesektor
Wie organisiert ein Technologieunternehmen wie BlackBerry seine eigenen CEM ? Wie sorgen wir dafür, dass unsere Mitarbeiter in Krisen und Notfällen sicher und auf dem Laufenden bleiben? Und was sind die wichtigsten Teile imCEM , über die jedes Technologie- oder Softwareunternehmen verfügen muss?
Um Antworten zu erhalten, haben wir mit Laura Beattie, Director of Enterprise Business Continuity & Disaster Recovery Management bei BlackBerry, gesprochen. Laura verfügt über fast 20 Jahre Erfahrung in diesem Bereich und leitete die Reaktion von BlackBerry während einer Reihe von Notfällen, darunter auch die Pandemie.
Laura hat vier wichtige Punkte identifiziert, die Technologieunternehmen berücksichtigen müssen, um sich auf Katastrophen vorzubereiten. Diese stammen zwar aus ihrer Erfahrung in einem softwareorientierten Unternehmen, aber ihre Tipps lassen sich auch auf viele andere Organisationen übertragen.
Im Folgenden sind Lauras Kommentare aus meinem Gespräch mit ihr aufgeführt.
BCP-Thema 1: Vorbereitung auf Katastrophenfälle
„Wie viele Organisationen hatten vor COVID-19 regelmäßig ihren Pandemieplan geübt? Heute haben globale Technologieunternehmen mit einer Vielzahl unterschiedlicher Notfälle zu kämpfen, von Waldbränden über gewalttätige Proteste bis hin zu Sicherheitsverletzungen. Sie benötigen gut getestete Pläne, die bei unerwarteten Ereignissen schnell aktiviert werden können. Dazu gehören Krisenmanagement-, Notfall- und Geschäftskontinuitätspläne. Diese Dokumente im Regal zu haben, ist nicht sehr effektiv, wenn niemand mit ihnen vertraut ist.“
Üben Sie Ihre BCP-Pläne
„Durch regelmäßige Übungen können Sie Ihre Prozesse festigen und alle Beteiligten auf den Erfolg im Ernstfall vorbereiten. Auch wenn Ihre Prozesse noch nicht perfekt sind, sollten Sie sie testen und Tabletop-Übungen mit simulierten Szenarien durchführen. Stellen Sie sich folgende Situation vor: Was würden Sie tun, wenn ein verärgerter Mitarbeiter eines Ihrer Gebäude betreten und verkünden würde, dass er eine Bombe gelegt hat? Was wäre, wenn einige Ihrer „Single Points of Failure”-Mitarbeiter krank werden und für eine Weile ausfallen würden? Erstellen Sie Szenarien und lassen Sie wichtige Mitarbeiter ihre Reaktionen darauf diskutieren.“
BCP-Thema 2: Über die richtigen Ressourcen verfügen, um reagieren zu können
„Eine weitere Herausforderung für viele Technologieunternehmen besteht darin, dass sie nicht über dedizierte Ressourcen oder Fachwissen innerhalb ihrer Belegschaft verfügen. Dies erschwert die frühzeitige Entwicklung von Plänen und deren Umsetzung. In vielen Fällen übernehmen Mitarbeiter mehrere Aufgaben, und kleinere Softwareunternehmen verfügen seltener über rund um die Uhr verfügbare Betriebsteams, die globale Auswirkungen überwachen und betroffene Mitarbeiter identifizieren können – insbesondere jetzt, da Mitarbeiter von überall aus arbeiten.“
Wie man Teams für die Geschäftskontinuität aufbaut
„Der Schlüssel liegt darin, auf dem aufzubauen, was Sie bereits haben. Für Ihren Prozess zum Krisenmanagement bei Zwischenfällen verfügen Sie wahrscheinlich bereits über wichtige Ansprechpartner an jedem Standort oder in den Regionen, die Sie bei Zwischenfällen einbeziehen. Das können Ihre Notfallhelfer, Mitarbeiter der Personalabteilung, Sicherheitsbeauftragte usw. sein. Mit diesen wichtigen Ansprechpartnern sowie Führungskräften, die die in diesen Bereichen ansässigen Unternehmensgruppen vertreten, können Sie damit beginnen, lokale Teams für das Zwischenfallmanagement zusammenzustellen.
Sobald Sie diese Gruppen für jeden Bereich gebildet haben, können Sie globale Verteilerlisten einrichten, sodass Sie im Falle eines Vorfalls über einen Kommunikationskanal mit dem lokalen Team verfügen und alle auf dem gleichen Stand sind. Diese Teams können dabei helfen, die Lage zu erfassen und Anweisungen zu geben.
Dann bilden Sie ein Krisenmanagementteam aus Ihren obersten Führungskräften. Sie leiten Informationen an dieses Team weiter, wenn schwerwiegendere Auswirkungen zu erwarten sind und wenn Sie allgemeine Anweisungen benötigen, beispielsweise eine Entscheidung darüber, ob alle Standorte aufgrund der Pandemie geschlossen werden sollen. Nun haben Sie eine klare Befehlskette eingerichtet und verfügen über einen Rahmen für Ihren Vorfall- und Krisenmanagementprozess.
BCP-Thema 3: Priorisierung von Risiken
„Bei so vielen Faktoren – wo soll man da den Fokus setzen? Haben Sie kritische Systeminfrastrukturen, die langsam in die Jahre kommen, und keine Ausfallpläne dafür? Wie viel Aufwand haben Sie in die Nachfolgeplanung oder das Cross-Training für Ihre Single Points of Failure gesteckt? Wie abhängig sind Sie von Ihren Drittanbietern? verfügen über Business-Continuity-Pläne? All dies sind potenzielle Risiken für Ihr Unternehmen.
Auch Technologieunternehmen müssen sich nun mit sich überschneidenden Notfällen auseinandersetzen. Viele von uns arbeiten von zu Hause aus, aber was passiert, wenn einige Ihrer Mitarbeiter, die von zu Hause aus arbeiten, aufgrund von Waldbränden oder Hurrikanen ihre Wohnung verlassen müssen? Dies macht die Planung der Geschäftskontinuität noch komplexer.
Wie man Prioritäten in der BCP-Planung setzt
„Wenn es darum geht, Ihre Risiken zu bewerten, müssen Sie die Auswirkungen verstehen und die notwendigen Pläne aufstellen. Setzen Sie Prioritäten, indem Sie mit dem beginnen, was Sie als das höchste Risiko für Ihr Unternehmen identifiziert haben. Aus Sicherheitsgründen haben Sie vielleicht Büros oder Mitarbeiter in Gebieten, in denen es häufig zu Überschwemmungen oder Tornados kommt. Aus Sicht der Geschäftskontinuität bewerten wir Risiken im Zusammenhang mit dem Verlust von Standorten, Mitarbeitern, Technologie und Dritten.“
BCP-Thema 4: Sicherstellung einer konsistenten, zeitnahen und genauen Kommunikation
„Wenn Ihre Notfallmeldungen verspätet eintreffen oder ungenaue Informationen enthalten, untergräbt dies die Glaubwürdigkeit Ihrer Kommunikation mit Ihren Mitarbeitern. Wenn Ihre Warnmeldung beispielsweise besagt, dass sich ein aktiver Angreifer in der Gegend befindet, diese Person jedoch bereits vor einer Stunde festgenommen wurde, ist Ihre Meldung nicht mehr relevant, und die Mitarbeiter werden sie ignorieren, da sie keinen Nutzen darin sehen.
Eine Sache, die ich in Bezug auf die Kommunikation in schwierigen Zeiten gelernt habe, ist, dass Mitarbeiter von ihren Arbeitgebern eher mehr als weniger erwarten. Sie möchten wissen, dass ihre Arbeitgeber sich um ihre Sicherheit und ihr Wohlergehen kümmern, dass sie über die aktuellen Ereignisse auf dem Laufenden sind und dass sie transparent kommunizieren, in welche Richtung sich das Unternehmen bewegt, um Kommunikationsherausforderungen zu bewältigen.
Wie man die Kommunikation bei kritischen Ereignissen verbessert
„Der Einsatz von Technologie trägt wirklich dazu bei, den manuellen Aufwand zu reduzieren. Bei BlackBerry konnten wir während der jüngsten Hurrikane umgehend eine Warnmeldung über verschiedene Kanäle wie SMS, E-Mail und App versenden. Diese enthielten Antwortoptionen wie „Ich bin in Sicherheit“, „Ich brauche Hilfe“ oder „Ich befinde mich nicht im betroffenen Gebiet“, um die Sicherheit unserer Mitarbeiter zu bestätigen. Wir konnten schnell Antworten erhalten. Hier ist die Sicherheit von Informationen von entscheidender Bedeutung. Man möchte die Gewissheit haben, dass die Informationen, die man intern weitergibt und von seinen Mitarbeitern sammelt, geschützt sind.“
Erstellen IhrerCEM Checkliste
Mit Blick auf die Zukunft deuten bestimmte Faktoren auf eine positive Veränderung der Denkweise seit der Pandemie hin. Beispiele hierfür sind eine erneute Fokussierung auf Vorsorge und die zunehmende Zahl von„Resilienzbeauftragten“, die einen Platz in der Führungsetage einnehmen.
Lauras Ratschläge sollten Ihnen dabei helfen, Ihre BCP-Pläne weiterzuentwickeln und eventuell fehlende Elemente hinzuzufügen, wie beispielsweise eine spezielle CEM mit bidirektionaler Kommunikation.
Bei BlackBerry haben wir festgestellt, dass Funktionen, die uns bei der Planung helfen, wie Schritt-für-Schritt-Anleitungen und integrierte Überprüfungszyklen, sowie Statusaktualisierungen in Echtzeit und die Möglichkeit, den Status von Empfängern und Beteiligten während eines kritischen Ereignisses zu verfolgen und zu melden, von unschätzbarem Wert sind.
Mit kontinuierlichen Überprüfungen, Proben und sicherer Kommunikation sind Sie für alles gewappnet, was als Nächstes kommt.