ltstudiooo - Fotolia
Operational Resilience Frameworks: Silos hindern nur
Resilienz ist mehr als nur Business Continuity und Disaster Recovery. Operative Resilienz hängt von der Kommunikation zwischen vielen Geschäftsbereichen in einer Organisation ab.
Zusammenarbeit (Collaboration) und Wissensaustausch sind Schlüsselelemente eines Frameworks für operative Resilienz. Alle Produktions- und Liefereinheiten der Produkte und Dienstleistungen eines Unternehmens müssen miteinander kommunizieren, um Resilienz zu erreichen.
Jede Geschäftseinheit hat ein Interesse daran, dass sich das Unternehmen nach einer Störung erholen und den Betrieb wieder aufnehmen kann. Dies unterscheidet sich von den traditionellen, siloartigen Business Continuity- und Disaster Recovery (BC/DR)-Prozessen.
BC/DR-Teams arbeiten oft in einem Vakuum, insbesondere wenn sie sich auf die IT-Aspekte der Wiederherstellung konzentrieren. Diejenigen, die in BC/DR arbeiten, verpassen möglicherweise andere wichtige Aspekte dessen, was die Organisation braucht, um zum üblichen Geschäftsbetrieb zurückzukehren.
Alle Akteure in der Organisation sind in den Prozess der vollständigen Geschäftswiederherstellung eingebunden, wie in Abbildung 1 dargestellt.
Die Wiederherstellung kann unter anderem nach einer Naturkatastrophe, einem Ransomware-Angriff, einem Stromausfall oder einem Brand erfolgen. Unabhängig von der Krise schließt ein betriebliches Resilienz-Framework alle notwendigen Abteilungen ein.
In Abbildung 1 sind die Geschäftsfunktionen, die eng mit der Reaktion auf Betriebsunterbrechungen verbunden sind, alle miteinander verknüpft. Jede von ihnen hat einen Anteil an der Fähigkeit einer Organisation, sich von einem störenden Vorfall zu erholen. Diese Geschäftsaktivitäten sind die Arbeit der folgenden Teams:
- Geschäftskontinuität (Business Continuity). Sammelt Daten aus allen Geschäftsbereichen und versteht die Kritikalität der einzelnen Einheiten, die technologischen Anforderungen und die Rechtzeitigkeit der Wiederherstellungsaktivitäten.
- Disaster Recovery (DR). Koordiniert die Wiederherstellung und Wiederaufnahme aller IT-Systeme und zugehöriger Technologien nach einem Ereignis.
- Vorfall-Management (Incident Management). Führt die anfängliche Analyse eines potenziell störenden Ereignisses durch, trifft Entscheidungen bezüglich der Sicherheit der Mitarbeiter und kommuniziert mit Notfallteams, der Geschäftsleitung und den Leitern der Geschäftsbereiche über den anfänglichen Status des Ereignisses.
- Koordiniert die langfristigen Aktivitäten der Geschäftseinheiten, des oberen Managements, das Gesundheitsmanagement für verletzte Mitarbeiter, die Kommunikation mit externen Organisationen und Familien und bindet andere Teams ein.
- IT/Telekommunikationstechnik. Arbeitet mit dem DR-Team zusammen, um sicherzustellen, dass alle Hardware-, Software- und Netzwerkressourcen effektiv verwaltet und repariert werden.
- Gebäudemanagement. Schützt die physischen Einrichtungen des Unternehmens, wie Gebäude, HLK-Systeme (Heizung, Lüftung, Klimatechnik) sowie Strom- und Wasserversorgung.
- Management für physische Sicherheit. Stellt sicher, dass der physische Zugang zu den Unternehmensstandorten bewacht wird.
- Cybersecurity-Management. Schützt das Unternehmen vor externen oder internen Zugriffsverletzungen auf kritische Systeme, Netzwerke und Daten. Angriffe können über Hacker, Phishing-Methoden, Viren und Ransomware-Angriffe erfolgen.
Risiken für ein Team wirken sich auf die gesamte Resilienz-Bemühungen aus
Jede dieser Aktivitäten hat eine Risikokomponente, daher muss das Risikomanagementteam die Prozesse und die Koordination während eines Vorfalls als Teil der gesamten betrieblichen Resilienzinitiative analysieren. Sie koordinieren sich auch mit anderen Geschäftsbereichen, wie in Abbildung 1 dargestellt. Im Rahmen ihrer Untersuchungen und Datenerfassung müssen die Risikomanagementteams die Risiken der einzelnen Geschäftseinheiten verstehen und potenzielle Bedrohungen und Schwachstellen identifizieren, die sie im Vorfeld eines Vorfalls angehen und abmildern müssen.
Das Framework für operative Resilienz erfordert eine erhebliche Zusammenarbeit zwischen den Geschäftseinheiten und den Risiko- und Notfallteams. Dies ist die wichtigste Komponente des Frameworks; es sind nicht nur die Risikomanagement- und Notfallteams, die Informationen austauschen müssen. Alle Abteilungen müssen kommunizieren, um zusätzliche Risiken und Möglichkeiten zur Risikominderung zu identifizieren.
Ein multidisziplinärer Ansatz
Die Kommunikation zwischen den verschiedenen Notfalldisziplinen, Risikoteams und Geschäftseinheiten ist für die Entwicklung eines umfassenden Plans für die Reaktion auf einen Vorfall und für die Wiederherstellung unerlässlich. Die im Risikomanagement-Kasten in Abbildung 1 aufgelisteten Teams arbeiten in der Regel autonom und kommen nur dann zum Einsatz, wenn ein Ereignis eintritt, das die Arbeit mehrerer Teams erfordert.
Für viele Organisationen mag dieses Maß an gruppenübergreifender Kommunikation angesichts einer siloorientierten Kultur unangenehm sein, aber Unternehmen, die den Wert der operativen Resilienz erkennen, sollten aktiv daran arbeiten, die Silos aufzubrechen.
Ein weiterer wichtiger Aspekt eines Operational-Resilience-Frameworks ist ein größeres Engagement der obersten Führungsebene, da die gesamte Organisation in Operational-Resilience-Aktivitäten eingebunden wird.
Da mehrere Teams an einer Operational-Resilience-Initiative beteiligt sind, müssen Organisationen ihre Informationsabhängigkeiten verstehen. Organisationen, die mehr Zeit und Mühe investieren, um eine Reihe möglicher Szenarien zu identifizieren und zu simulieren, können Technologien organisieren, um auf Vorfälle zu reagieren, zu erkennen, wo Pläne versagen könnten, und Korrekturmaßnahmen im Vorfeld eines störenden Ereignisses zu implementieren.