Datum: 13 januari 2025

In het kader van:
- [Opdracht DAK](Opdracht%20DAK.md)

Gebaseerd op:
- [BIA Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/BIA%20Workshop.md)

[Slide Deck](Presentatie%20BIA%20voor%20DAK%20Kindercentra%2013%20januari%202025.key)

Resultaten:
- [BIA resultaat in MIRO](BIA%20resultaat%20MIRO.pdf)
- [Maximum Down Time systemen per proces](../Humankind/BIA%20resultaten%20Humankind.numbers)
- [Rapportage in Word](250128%20Business%20Impact%20Analyse%20DAK.docx)

## Deelnemers
* Arjan Helmes – Medewerker facilitaire zaken (beheer Topdesk)
* Arthur van Straaten – Senior medewerker debiteurenbeheer
* Christien Lakwijk – Unit manager
* Ellen de Jong – Manager HR, Pedagogiek en kwaliteit
* Marianne van Heezik – Senior medewerker HR
* Arjan van Gameren - Projectleider IT
* Leon van Heijningen - Kwaliteitsadviseur
* Patricia Danckaerts - Functioneel Beheer
* Fasco Siebelink - IT
* Bert van Heuvel - IT
* Afwezig wegens ziek: Sander Donkers - mgr bedrijfsvoering a.i.

## Uitnodiging

Beste collega’s,

IT-security is een van de pijlers onder onze bedrijfsvoering. In een wereld waarin technologie een steeds grotere rol speelt, is het essentieel dat wij voorbereid zijn op eventuele verstoringen en weten hoe we onze organisatie veerkrachtig kunnen houden. Het komende jaar richten we ons op een belangrijke stap in onze IT-strategie: het ontwikkelen van een Incident Response Plan. Dit plan is meer dan een document – het is onze blauwdruk voor het omgaan met onvoorziene IT-incidenten, zoals systeemuitval, datalekken of cyberaanvallen. Het helpt ons niet alleen de impact te minimaliseren, maar zorgt er ook voor dat we snel, effectief en gecoördineerd kunnen handelen.

Om dit proces tot een succes te maken, starten we met twee interactieve workshops onder leiding van Richard Kranendonk, een expert op het gebied van IT-security en crisismanagement. Deze workshops bieden een unieke kans om gezamenlijk de fundering te leggen voor een sterk Incident Response Plan dat aansluit bij de behoeften en uitdagingen van Dak kindercentra.

Om deze workshops goed te laten verlopen, hebben we jullie inzichten, expertise en praktijkervaring nodig. Het is cruciaal dat we vanuit verschillende invalshoeken een compleet beeld krijgen van onze behoeften en uitdagingen.

Ik hoop dat iedereen kan en wil deelnemen. Alvast dank daarvoor!

Groet, Sander

## Aanpak
- Voorstelrondje
### Mondelinge introductie

**Waarom een workshop BIA?**
De kans op ernstige verstoringen is groter dan een aantal jaren geleden:
- statelijke actoren die aanvallen plegen op de infrastructuur (internetkabels onder zee)
- ransomware aanvallen (gemiddelde duur 16 dagen)
- grillig politiek en commercieel lands hap
- wetgever en toezichthouders willen een bedrijfscontinuïteitsplan zien
- voor het stellen van prioriteiten tav noodmaatregelen en herstel is het belangrijk te weten waar de prioriteiten moeten liggen – dat doe je met een BIA

**Waarom jullie?**
- continuïteit is een business probleem, dat je vanuit verschillende perspectieven moet bekijken. IT kan dat niet voor jullie bepalen.

**Aanpak**
- In deze sessie gaan we vanuit 2 hoofdprocessen ([reis van de medewerker](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Employee%20Journey%20KOV.md) en [reis van het kind](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Customer%20Journey%20KOV.md)[Customer Journey KOV](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Customer%20Journey%20KOV.md)) de afhankelijkheid van systemen bekijken, en de impact op de processen wanneer deze systemen wegvallen. Aan de hand daarvan kunnen we prioriteiten gaan bepalen.
- In de volgende sessie gaan we kijken naar noodmaatregelen en herstel, en hoe we daarvoor voorbereidingen kunnen treffen.

### Instructie
- Op het canvas zien jullie de processtappen, we lopen er doorheen om te kijken of het herkenbaar is en of jullie iets missen.
- We gaan nu per processtap kijken welke systemen uit de [lijst](Hulplijst%20systemen%20voor%20DAK%20kindercentra.md) belangrijk zijn op dat proces uit te voeren.
- Die systemen zetten we onder de processtap, in de verticale baan
- We gaan vervolgens kijken hoe lang die systemen gemist kunnen worden: een uur, een dag, een week of een maand
- Hieruit kunnen we dan 2 dingen afleiden: 
	- de meest kwetsbare bedrijfsfuncties: dit is voor de business een maat voor de prioriteit van het *activeren* van noodmaatregelen (en wanneer het systemen betreft die alleen die bedrijfsfunctie ondersteunen, voor IT in de prioriteit van herstelmaatregelen)
	- de meest kritische systemen:  dit is voor IT een maat voor de prioriteit van het preventief treffen van uitwijkmogelijkheden en het activeren van herstelmaatregelen.


### Verwerking
1. In Excel een matrix gemaakt van processtappen en systemen
2. in de cellen een MTD gezet in dagen (1 uur = 0.125 dag)
3. Geclassificeerd als: 1 uur is Rood, 1 tot 2 dagen is Oranje, een week tot een maand is Groen 
4. als je er een grafiek van wil maken, kun je de waarde in de cel vervangen door 1/x, dus 1 uur wordt 8 en 1 maand wordt 0.03 – dit is dan een maat voor urgentie
	- Score 8 is Rood, score 0.5-1.0 is Oranje, 0.03-0.14 is Groen 

## Evaluatie van de workshop
- Blinde vlekken / ontbrekende personen:
	- De pedagogisch coaches maken gebruik van documenten op de fileservers, die zijn nu niet betrokken. Ze vallen onder de unit-coördinatoren. Leon en Christien kunnen met hen schakelen.
	- Voor het bedenken van noodoplossingen in de volgende workshop, is het handig om ook Miriam Eggermond van de boekhouding en Teamleider klantadvies Charlotte van der Weijde te betrekken (voor het kind-deel)
	- Wendy Zuiderwijk doet de salarisverwerking.- Handig om de volgende workshop (DRP) te splitsen in een kind-deel en een medewerkers-deel. Verschillende deelnemers geven aan graag bij beide delen aanwezig te willen zijn.
- Er waren teveel processtappen: wel benoemen maar clusteren in minder verticale banen
- De verticale banen waren te lang/hoog, dat geeft veel gescroll. Die hoogte was gedaan, om primaire systemen, secundaire systemen en randvoorwaarden te onderscheiden, maar dat is te ingewikkeld.
- De  IT-beheersystemen en platforms zijn niet aan de orde gekomen. Dat is niet iets om in een business workshop te bespreken.
- De personen als SPOF zijn niet aan de orde gekomen
- Van de categorieën voor uitvaltijd (uur, dag, week, maand) schoot dag/week soms te kort: medewerkers wilden dan  2 dagen of 3 dagen toekennen.
- Het is belangrijk het onderscheid te benadrukken tussen 'heel erg onhandig' vs. 'schadelijk voor de organisatie' – bij het toekennen van de uitvaltijd gaat het om dat laatste.