Burgers en bedrijven voelen zich in enige mate bedreigd door – toenemende – terreur en cybermisdaad. Dit leidt bij overheden tot maatregelen, of in ieder geval intenties. Bedrijven zien zich geconfronteerd met nieuwe regelgeving en moeten ook iets.
De technische aanpak van backup en beveiliging domineert plannen voor bedrijfscontinuïteit en -herstel, luidt één van de conclusies in IDC’s nieuwe ‘Business continuity benchmark’. Die overheersing is geen goede zaak, stelt analist Peter Vermeulen.
Het aanstaande IDC-rapport, dat op 20 september wordt gepresenteerd op het Business Continuity Summit 2005 te Amsterdam, behandelt de Nederlandse markt. Het onderzoeksbureau heeft algemeen en it-management van 246 Nederlandse ondernemingen met meer dan honderd werknemers ondervraagd. “De timing van het onderzoek was toevallig erg goed; net na de aanslagen in Londen”, vertelt Vermeulen.
Ondanks de verwachting dat de aandacht voor bedrijfscontinuïteit het komende jaar toeneemt, gebeurt dat nog te weinig vanuit serieuze overweging. “De belangrijkste drijfveren om meer aandacht te geven aan bedrijfscontinuïteit zijn volgens de benchmark echter het beperken van financiële risico’s en het voldoen aan regelgeving”, concludeert Vermeulen.
Hij legt uit dat continuïteit bestaat uit twee elementen: Het voorkomen van uitval en het beperken van de schade indien er toch uitval is. Beide hebben een technisch én een organisatorisch aspect. “Je kunt it niet afzonderen van bedrijfsprocessen en vice versa. Veel bedrijven doen dat nog wel”, aldus de IDC-analist.
Afspraken en procedures
Ondernemingen dienen incidenten en calamiteiten in te schatten. Eerstgenoemde heeft een grotere kans, maar valt relatief makkelijk aan te pakken. “Incidenten kunnen namelijk enige regelmaat hebben en zijn dus met technologie redelijk te voorkomen of te beperken.”
Het tweede heeft een grotere impact, maar is moeilijker vooraf in te schatten, laat staan te voorkomen. “Daar draait het meer om afspraken, procedures. Bijvoorbeeld met toeleveranciers. Bedrijven nemen hun toeleveringsketen (supply chain) vaak niet mee in hun risico-analyse en -management. Ze kijken wel naar hun interne keten, maar niet daarbuiten.”
Daarbij moeten plannen voor bedrijfscontinuïteit niet alleen opgesteld, maar ook getest worden. “Dus niet het uitvallen van alleen één servertje simuleren. Echt testen is erg moeilijk én kan kostbaar zijn. Veel bedrijven hebben dat er in de praktijk niet voor over, want testen brengt ook risico’s voor de bedrijfsvoering met zich mee.”
E-business versus risico’s
Vermeulen merkt op dat de toenemende afhankelijkheid van technologie de mate van kwetsbaarheid vergroot. “E-business staat eigenlijk tegenover risico-management. Het eerste bespaart op mensen en levert meer efficiëntie op, maar dat neemt tegelijk ook eventuele buffers weg die je nodig hebt om problemen op te vangen.”
De IDC-analist stelt dat er tot op heden nog maar heel weinig risico-analyse is losgelaten op e-business. “Terwijl we nu wel beter zouden moeten weten. We zijn nu zo’n vijf jaar serieus bezig met e-business, in eerste instantie vanuit de internet-hype.” Veel van de huidige aandacht gaat naar alleen beveiliging, wat een veelal technische kwestie is die dan ook met technische middelen wordt aangepakt. “Helaas gaat de beveiligingsindustrie ook van incident naar incident, ze hollen er achter aan.”
Een basisprobleem hierbij is volgens Vermeulen het ontbreken van een overkoepelende visie en beleid bij bedrijven. “Vaak komt het van onderuit; vanuit de it-afdeling of de bedrijfseenheid en die zijn niet bezig met risicomanagement. Dat wordt gezien als een blok aan het been, een kostenpost.” Hij spreekt tegen dat dit te wijten is aan het Europese ‘ontbreken’ van de cio-functie. “Dit zou een taak voor de chief security officer moeten zijn.”