De rampen van de afgelopen periode hebben mij in ieder geval weer even aan het nadenken gezet. Interessant zijn de reacties van de betrokken, de oplossingen van de specialisten en het plaatsen van het onderwerp op de vele agenda's.
De natuurrampen in Azië blijven natuurlijk in hun ernst en leed onverstelbaar. De impact, reactie van de overheid en hulpverlening (als die al wordt toegestaan) geven weer hoe mensen (overheden en systemen) in nood kunnen reageren. Neem de nieuwe openheid (tv-beelden, etc.) in China versus de reactie in Birma. Daarnaast blijkt maar weer dat een aardbeving of een storm voor je het weet hele gezinnen, dorpen en steden raken. Interessant voor dit verhaal is de impact van een ramp op het functioneren van een organisatie.
Wat doe je in een dergelijk geval met de businesscontinuïteit?. Kan het rekencentrum nog benaderd worden? Is er überhaupt nog informatie beschikbaar? Welke maatregelen zijn interessant? Kan het hier in Nederland of Europa ook gebeuren? Kansen op rampen van het Aziatische kaliber zijn misschien nihil, maar overstromingen, pandemie, stroomuitval diefstal bedrijfsgeheimen, sabotage en cybercrime zijn wellicht relevanter en bedreigend voor het voortbestaan (direct / indirect) van de organisatie.
Neem de brand bij de faculteit bouwkunde van de TU Delft. Hoe kan een simpele lekkage van een koffiezet apparaat/machine zulke fatale gevolgen hebben?
• Waarom is deze lekkage zo laat ontdekt? Studenten en docenten hebben rondgelopen in de gangen toen deze al blank stonden. Waarom heeft niemand adequaat gereageerd?
• Waarom zijn de bouwkundige maatregelen niet voldoende geweest om de brand te vertragen?
• Waarom is de elektra en het gas niet afgesloten. Waarom is de elektra niet automatisch afgeschakeld?
• Waar was de gebouwenbeheerder? Is deze gecentraliseerd en/of wegbezuinigd? Of misschien een atv-dagje en even geen vervanger aanwezig? Vergeten te bellen of zoiets?
• Wie had überhaupt de leiding tijdens deze calamiteit? Getuigenverklaringen zeggen dat niemand in eerste instantie actie ondernam. Niemand doorzag de ernst van de situatie. Ik herinner me nog de brand in een museum waar iedereen keek maar niemand de hulpdienst(en) belde.
• Waarom blijven mensen passief bij dit soort calamiteiten? Welke maatregelen zijn er dan nodig om die de passieve mens wel te activeren tot gewenst gedrag?
• Maar ook welke (digitale) informatie is er verloren gegaan?
• Had het voorkomen kunnen worden of is er ooit wel een risicoanalyse uitgevoerd?
Gezien deze gebeurtenis kan zelfs een adviesorgaan voor bouwkunde en veiligheid getroffen worden door een brand. Het is zoiets als brand bij de brandweer, diefstal bij de politie en lekkage bij de loodgieter.
Gelukkig iedereen is goed en veilig geëvacueerd. Het veiligstellen van mensen is een eerste prioriteit. Ook qua digitale informatie heeft de TU Delft de ramp redelijk kunnen overleven, daar het rekencentrum in een ander pand is gevestigd.
Toch is er veel informatie verloren gegaan, de bibliotheek, maquettes van (ex) studenten, afstudeerwerken, etc. Er zijn organisaties failliet gegaan na dit soort rampen. Denk aan de kosten van verlies en/of herstel van gebouwen, productieprocessen, administraties (ook papieren) en computergegevens. De directe brandschade is meestal wel verzekerd, maar het verlies van omzet, het doorbetalen van salaris en de extra kosten van (ict-)noodvoorzieningen vaak niet.
Is uw bedrijf wel voorbereid op een ramp? Wat gebeurd er als uw rekencentrum wordt getroffen door een calamiteit? Of hoe gaat uw ict-dienstverlener om met calamiteiten? Welke afspraken heeft u gemaakt? U bent niet de enige klant bij deze dienstverlener. Krijgt u voorrang of staat u achter in de rij bij de herstelwerkzaamheden van rekencapaciteit? En als u aan de beurt bent heeft u dan nog genoeg liquide om te overleven? Immers, geen factuursysteem is geen inkomsten. Op zijn minst dienen deze afspraken schriftelijk te zijn vastgelegd.
Door gebrek aan kennis of managementaandacht zie je dat veel bedrijven hier onvoldoende tijd en geld in willen investeren. Het uitzoeken van de risico's en het implementeren van de maatregelen kosten alleen maar geld. Wat levert het op? Het is immers geen core business.
De stelling is dan ook dat bij 90 procent van de organisaties onvoldoende maatregelen zijn genomen om calamiteiten, welk dan ook, te benoemen en te voorzien van adequate maatregelen.
Hoe dit verder op te pakken laat ik aan U over, maar door de vragen te stellen, zullen de reacties en antwoorden wel komen. Welke risico's gelden voor uw onderneming? Welke rampen beteken einde van uw organisatie? Welke informatie heeft u nodig om voort te blijven bestaan? Wordt uw belangrijke informatie (back-ups) wel op een geografisch andere locatie bewaard? Welke maatregelen zijn er noodzakelijk en hoe werken de maatregelen als ze aanwezig zijn? Zijn de maatregelen wel getest? U zult niet de eerste zijn waar de back-uptape geen data bevatte, maar vooral weet ieder zijn of haar rol tijdens een calamiteit?
Voor meer informatie, zoek maar eens op internet op de woorden BCM, Pas56, BS25999, sprint, Cramm, etc. Zinvol voorbereiden kan nooit slecht zijn toch?
Nog even dit, Ik ben benieuwd naar de antwoorden op mijn vragen. Deel ze en wie weet verminderen we daarmee de gevolgen voor de volgende calamiteit.
Het is een kwestie van tijd. De beveiliging schiet vaak tekort en soms al op basis zaken zoals bescherming tegen computervirussen. Maar zoals zoveel andere belangrijke zaken, beschikbare tijd en budget bepalen wat er gebeurt. En gebreken in de beveiliging worden vaak pas onderkend nadat het incident heeft plaatsgevonden. We hebben kritische computersystemen gehad die niet meer functioneerden, overheids sites die uitgeschakeld werden, veiligheidssystemen die niet meer functioneerden, productieprocessen die niet verder konden, lozingen in het milieu, instrumentatiekelders die vol water liepen, etc, etc. Vroeg of laat ontstaat er een situatie waarbij het niet meer om economische schade gaat. Het wordt inderdaad hoog tijd dat we in een steeds complexere wereld beveiliging steeds opnieuw serieus blijven nemen.