Is bedrijfscontinuïteit een zaak van de ICT-manager

1. Bedrijfscontinuïteit is meer dan ICT

Bedrijfscontinuïteit wordt  vaak gekoppeld aan ICT en daarmee aan de ICT-dienstverlening. Er is echter nog vrijwel nooit een bedrijf kapot gegaan door moeilijkheden met de ICT. Vaak  overschatten ICT’ers het belang van de ICT.
Het issue bedrijfscontinuïteit komt voor in de methodiek ITIL voor ICT-beheer. Veel ICT-managers voelen zich daarom geroepen om dit issue op te pakken. Meestal doet ook niemand anders dit en daarom is het op zich een goede zaak. Het moet echter wel duidelijk zijn dat de ICT in veel bedrijven niet het verschil uitmaakt tussen het al dan niet overleven van calamiteiten. (Zie ook ‘Business continuity in de industrie, groothandel en distributie’.) Soms richt de ICT-afdeling meer schade aan met haar bestrijding van calamiteiten dan dat ze goed doet. Niet de ICT-manager moet de belangrijkste stem hebben bij een calamiteit, maar de directie.
Laten we eerst een paar zaken op een rijtje zetten. Een calamiteit is niets meer en niets minder dan een incident dat de bedrijfsvoering dreigt te belemmeren. Als het gaat om een uitslaande brand, om een vliegtuig dat op je pand landt, om een terroristische aanslag of om een overstroming, dan is het evident dat er sprake is van een calamiteit. Als het echter gaat om gevelplaten die van je pand vallen of van dat van je buurman, dan moet je maar afwachten waar de politie de bekende rood-witte linten spant en of er nog iemand je pand in of uit kan, dus wat de gevolgen zullen zijn voor je bedrijfsvoering. En bij bijvoorbeeld een stroomstoring of een bommelding zul je zelf moeten bepalen of er alleen maar sprake is van een incident of dat je misschien bent getroffen door een calamiteit.
In veel gevallen treedt bij een calamiteit eerst het BHV-plan in werking. Als dan iedereen na een kwartier op veilige afstand staat, wordt doorgaans overgegaan op het Business Continuity Plan (BCP). Die overgang kan soms heel groot zijn. Het BHV-plan en de BHV’ers zijn namelijk mensgericht en het BCP en de ICT’ers veel meer zaakgericht. Daarbij komt dat een BCP binnen de ICT vaak wordt gezien als onderdeel van de informatiebeveiliging. Dat is uiteraard geen goede afbakening. Een goed crisisteam dat zijn verantwoordelijkheden neemt  is cruciaal. (Zie ook ‘Inpassing business continuity BCP in BHV-plan, ICT en algemeen beleid veiligheid‘.)

2. Business Continuity Management

We zien dat verantwoordelijkheden verschuiven. Het businessmanagement gaat zich steeds actiever bezighouden met de continuïteit van de IT-systemen  en de IT-manager wordt opdrachtnemer voor het uitvoeren van bedrijfscontinuïteitsmaatregelen. De werkzaamheden van de IT-managers komen hiermee onder druk te staan. Daarnaast stelt het businessmanagement ook steeds hogere eisen aan de continuïteit van de operationele bedrijfsprocessen. Hierbij gaat het aan de ene kant om het nemen van preventieve maatregelen om een calamiteit te voorkomen en aan de andere kant om correctieve maatregelen, inclusief het bijbehorende crisismanagement, om het effect van een calamiteit te minimaliseren.
Met name bij grotere organisaties pakt het businessmanagement deze verantwoordelijkheid op en gaat het de operationele continuïteit directer aansturen. Als de ICT-manager hierbij opdrachtnemer is, is dat een risico. Hij is al verantwoordelijk voor de ICT-service. Deze nieuwe verantwoordelijkheid krijgt hij er dan maar even bij, terwijl hij doorgaans maar een deel van de puzzel kan overzien, zoals duidelijk wordt uit onderstaande beschrijving van wat nu eigenlijk de hoofdzaken zijn van Business Continuity Management :

• In veel gevallen zijn preventieve maatregelen weggegooid geld, omdat de meeste calamiteiten zelden of nooit zullen voorkomen
• Er moet een draaiboek zijn voor het geval er een calamiteit optreedt. Er moet tevens een implementatieplan zijn, dat er voor zorgt dat dat draaiboek daadwerkelijk gaat werken. (Zie ook ‘Keuzes en aanpak voor je Business Continuity Plan BCP of calamiteitenplan‘.)
• Voor veel bedrijven is imagoschade een groot risico. Imagoschade echter is veel meer de verantwoordelijkheid van de afdeling communicatie dan van de ICT-afdeling. (Zie ook ‘Imagoschade bij calamiteiten veroorzaak je meestal zelf’.)
• Het risico dat een bedrijfspand voor klanten en medewerkers wordt afgesloten, neemt  door de wildgroei van preventieve acties door de politie en allerlei toezichthouders en door terreurdreigingen steeds meer toe. De oplossing voor dit probleem is echter niet het specialisme van de ICT-manager. (Zie ook ‘Casestudies Business Continuity Plan’.)

Traditioneel ligt de focus van Business Continuity Management op: hoe herstellen we onze informatiesystemen op systeemniveau? Tegenwoordig ligt dit minder voor de hand  en komen de drivers niet alleen meer vanuit het ICT-domein, maar uit meerdere hoeken tegelijk. Interne en externe risico’s nemen toe. De klant wil steeds meer en beter en organisaties die hun eigen operationele processen beter willen waarborgen vragen om hogere continuïteitsgaranties van hun leveranciers. En ook neemt de concurrentie toe. De media hebben steeds meer aandacht voor calamiteiten en crises en daardoor treedt imagoschade steeds eerder op. Wet- en regelgeving dwingen tot het verkleinen van de operationele risico’s en toezichthouders worden kritischer en eisen een bedrijfscontinuïteitsplan.  Bovendien nemen de dreigingen op zich toe en daarmee de continuïteitsrisico’s. Denk bijvoorbeeld aan terreurdreigingen en toenemende digitale aanvallen op systemen en netwerken. Al deze factoren met elkaar leiden tot een toenemend bewustzijn van de noodzaak van BCM in het algemeen en van crisismanagement in het bijzonder. Ook het businessmanagement zelf is zich bewust geworden van het feit dat het leveren van kwaliteit gepaard moet gaan met continuïteitsgaranties.
Om overzicht te houden, zullen we in de volgende hoofdstukken de verschillende aspecten van een BCP bekijken vanuit de optiek van de ICT-manager. We gaan daarbij tevens in op de risico’s die een organisatie loopt, wanneer de ICT-manager de eerst verantwoordelijke is en bij de inrichting van het continuïteitsmanagement niet wordt voldaan aan de eisen van het businessmanagement .

3. Verschuivingen

In het verleden heeft de ICT-manager zich vaak alleen op technisch niveau beziggehouden met continuïteit, waarbij we kunnen denken aan back-up, recovery en systeemuitwijk. Nu gaat zoals gezegd het businessmanagement een actieve rol spelen in de aansturing van de operationele continuïteit, inclusief de ICT-componenten daarin. De focus verschuift daarmee van systeemuitwijk en -herstel naar procesuitwijk en -herstel. Uiteraard heeft dit ook verschuivingen tot gevolg van verantwoordelijkheden en rollen tussen de businessmanager en de ICT-manager. Bij een calamiteit is voortaan de verantwoordelijke businessmanager leidend in de afhandeling. De uitwijk- en herstelwerkzaamheden bij een calamiteit worden vanuit de business gestuurd. Voorbeelden hiervan zijn dat het herstel van het afhandelen van orders, de afhandeling van klantvragen of het herstel van lijnafdelingen de hoofdprioriteit krijgt. Herstel van ICT-middelen staat in dienst van het herstel van de bedrijfprocessen.
ICT-uitwijk is dus niet meer leidend maar volgend. De IT-manager wordt opdrachtnemer voor het uitvoeren van bedrijfscontinuïteitsmaatregelen. Met de leidende rol van de businessmanagers wordt de IT-manager ook opdrachtnemer om te zorgen voor de noodzakelijke redundante ICT-voorzieningen en ICT-noodvoorzieningen, inclusief het beheer hiervan. Het behoeft geen betoog dat hiermee spanningsvelden voor de IT-manager worden gecreëerd. Hieronder noemen we een zestal.

4. Spanningsvelden

Ten eerste zijn de ICT-systemen slechts een onderdeel van de totale uitwijk, naast bijvoorbeeld mensen, gebouwen, overige apparatuur, werkplekken, organisatie en informatie. De mate waarin de operationele processen afhankelijk zijn van de ICT-systemen versus de afhankelijkheid van de andere bedrijfsmiddelen is bepalend voor de rol van de IT-manager in het uitwijk- en herstelproces. Deze rol zal er in veel gevallen toe leiden dat het door de IT-manager opgezette uitwijk- en herstelplan (ICT Services Continuity) op een aantal punten strijdig is met het vanuit de business opgestelde uitwijk- en herstelplan (Business Continuity Plan). Een voorbeeld is dat binnen ICT Services Continuity datacommunicatie als verantwoordelijkheidsgebied is uitgewerkt en in het Business Continuity Plan het call-center (spraakcommunicatie). Er ontbreekt een geïntegreerde calamiteitenaanpak.

In de tweede plaats moeten architecturen en onderliggende systemen en infrastructuren resilient (veerkrachtig) worden ingericht. Dat wil zeggen: zowel bestand tegen relevante bedreigingen (robuust) als flexibel om aan de verscheidenheid aan continuïteitseisen vanuit de business te kunnen voldoen. Businessmanagers kunnen voor hun systemen bijvoorbeeld kiezen tussen drie verschillende infrastructuren, die ieder een eigen niveau van continuïteit bieden, maar natuurlijk ook een eigen prijskaartje hebben. De IT-manager heeft uiteraard de kennis om alternatieven te vergelijken, maar als daarvan geen gebruik wordt gemaakt door de businessmanagers is een tweede spanningsveld geschapen. Daarnaast krijgt de IT-manager van verschillende businessmanagers verschillende continuïteitseisen aangeleverd. De IT-manager wordt dan geconfronteerd met het probleem: voor welke continuïteitseisen ga ik standaardvoorzieningen treffen en waar liggen de specials.
Ten derde moet de IT-manager middelen beschikbaar hebben om te sturen op crisismanagement en het zo veel mogelijk beperken van schade. Concreet betekent dit dat er bijvoorbeeld redundante netwerkvoorzieningen (preventie) en no-breakinstallaties moeten worden ingericht, maar ook extra werkplekken beschikbaar moeten zijn op verschillende gescheiden locaties. Hierdoor wordt een situatie van ‘overal werken’ geschapen, waarmee de basis aanwezig is om bij uitvallen van reguliere werkplekken de werkzaamheden elders te kunnen continueren. Een spanningsveld ontstaat, als men vanuit de operationele processen denkt, dat hiermee tegelijk uitwijkwerkplekken beschikbaar zijn, inclusief toegang tot de centrale systemen. Deze toegang is echter niet per definitie verzekerd en vereist ook continuïteitsmaatregelen voor de informatiesystemen met specifieke eisen aan gebruikersprofielen en autorisaties.

In de vierde plaats is het ook de taak van de IT-manager om afspraken met systeem- en telecommunicatieleveranciers te maken voor het geval er bijvoorbeeld verbindingen uitvallen en er herrouteringsafspraken moeten worden gemaakt. Een spanningsveld is aanwezig als de IT-manager dit te veel op eigen houtje doet zonder afstemming met de proceseigenaar.
Beide vorige punten betekenen dat de bij ICT berustende continuïteitsmaatregelen op gespannen voet kunnen komen te staan met ICT-activiteiten gericht op het verbeteren van de functionaliteit van de ICT-dienstverlening.
In de vijfde plaats zullen sommige businessmanagers aan de IT-manager de opdracht geven tot kwaliteitsverbeteringen van systemen (meer of betere functionaliteit), terwijl andere businessmanagers de betrouwbaarheid of continuïteit van de systemen willen laten verbeteren. Als niet van hogerhand prioriteiten worden gesteld komt de IT-manager tussen twee vuren te zitten, omdat zijn middelen beperkt zijn. De relevante vraag is dus: kies je voor extra continuïteit of voor extra functionaliteit en op basis waarvan bepaal je de juiste keuze?

De integrale aanpak die grotere organisaties nu kiezen voor het beheersen van hun operationele continuïteit leidt tot de noodzaak van een scherpere afbakening van de verantwoordelijkheidsgebieden van alle toeleveranciers van de operationele bedrijfsprocessen: interne ICT, externe ICT, facilitair bedrijf, externe toeleveranciers.
Het zesde en laatste spanningsveld voor de IT-manager is dat hij zorg moet dragen voor de juiste afspraken met alle partijen. De eisen vanuit de bedrijfsprocessen moeten worden opgelijnd met de mogelijkheden die interne en externe leveranciers van diensten bieden. Alle afspraken moeten vooraf zijn gemaakt zodat in geval van een calamiteit geen tijd wordt verspild met wachten op elkaar of tijdrovende overleggen.

5. Eisen Business Continuity Management

Deze zes spanningsvelden kunnen ervoor zorgen, dat de inrichting van het continuïteitsmanagement binnen een organisatie niet aan de eisen voldoet die het businessmanagement hieraan stelt. De IT-manager zal dus maatregelen moeten treffen om ervoor te zorgen dat hij kan (blijven) voldoen aan de continuïteitseisen die aan zijn systemen en processen worden gesteld.
In de eerste plaats zal de IT-manager zich meer de opdrachtnemersrol moeten toemeten dan de opdrachtgeversrol. Hij zal businessmanagers moeten begeleiden in het op zich nemen van de opdrachtgeversrol door hen bijvoorbeeld te begeleiden bij het vaststellen van de continuïteitsnormen van de bedrijfprocessen en het definiëren van de hieruit volgende continuïteitstrategieën. In dergelijke strategieën definieert het businessmanagement de maximale tijd dat informatiesystemen niet beschikbaar mogen zijn, het maximaal toelaatbare gegevensverlies en de volgorde waarin informatiesystemen moeten worden hersteld na het optreden van een calamiteit. Dit soort normen kan alleen door de eigenaren van de bedrijfsprocessen, oftewel het businessmanagement, worden gesteld, omdat zij het beste de impact kunnen inschatten van het niet beschikbaar zijn van informatiesystemen. Wanneer continuïteitstrategieën eenmaal zijn vastgesteld zal de IT-manager er samen met het businessmanagement voor moeten zorgen dat de strategieën worden vertaald in concrete afspraken die in SLA’s worden vastgelegd. Afspraken over beschikbaarheid worden standaard in SLA’s vastgelegd. Deze afspraken moeten worden uitgebreid met afspraken met betrekking tot continuïteit.

Om de implementatie van alle verschillende continuïteitseisen beheersbaar te houden zal de IT-manager een aantal standaardcontinuïteitsoplossingen bieden, waaruit businessmanagers kunnen kiezen en die in de SLA’s kunnen worden opgenomen. De diverse oplossingen kunnen worden ontwikkeld in de vorm van verschillende flexibele architecturen die bestand zijn tegen verstoringen (robuust) en die zowel procedureel als technisch meerdere niveaus van continuïteit kunnen bieden. Op procedureel niveau kan worden gedacht aan verschillende niveaus van reactietijden, verschillende niveaus van menselijke of geautomatiseerde monitoring en alarmering en verschillen in eisen aan piketdiensten. Op technisch niveau kunnen infrastructuren robuust worden gemaakt door bijvoorbeeld het inbouwen van redundantie in netwerkverbindingen of in servers. Ook kan gebruik worden gemaakt van technologieën zoals geautomatiseerde fall-back, clustering en server based computing.

Om de continuïteit van de bedrijfsprocessen te waarborgen zal de IT-manager moeten leren integraal te denken. Hij moet de betekenis en het belang van de ICT-dienstverlening voor de operationele bedrijfprocessen herkennen en businessmanagers adviseren bij het inschatten van hun continuïteitsrisico’s en over de continuïteitsmaatregelen die zij moeten treffen. Wanneer hij vervolgens ook de juiste architecturen invoert en de afspraken met de business goed beheert is de organisatie een heel eind op weg naar continuïteit. Het is evident dat hiermee de taak van de ICT-manager aanzienlijk complexer is geworden en dat zijn werkzaamheden behoorlijk onder druk zijn komen te staan.

6. Bedrijfscontinuïteit in de praktijk

In de praktijk komt Business Continuity Management (BCM) samengevat neer op het volgende:

• De doelstelling van Business Continuity Management (BCM) is, het voorkomen van ernstige onderbrekingen in de bedrijfsvoering en het beschermen van kritieke bedrijfsprocessen tegen gevolgen van omvangrijke (ver)storingen of calamiteiten.
• Het definiëren van de continuïteitsnormen voor bedrijfsprocessen en informatiesystemen is de verantwoordelijkheid van het businessmanagement.
• Het ligt niet langer voor de hand Business Continuity te beleggen bij de ICT-afdeling en de ICT-manager de eerst verantwoordelijke te maken. Van oudsher werd dit wel gedaan. Gezien echter enerzijds de betrouwbaarheid van de ICT-infrastructuur en anderzijds de opkomende andere risico’s, waarvan met name imagoschade voor veel bedrijven een steeds groter risico wordt, is dit niet meer een voor de hand liggende keuze. De enige reden is vaak nog, dat de ICT-afdeling voldoende ervaring heeft met projectmatig werken, zodat zij gemakkelijk in staat is zo’n project, dat uitbesteed wordt, aan te sturen namens de organisatie.
• Als je als organisatie goed om wilt gaan met bedrijfscontinuïteit, zult je projectmatig moeten komen tot een Business Continuity Plan (BCP), maar zal het beheer hiervan in de organisatie belegd moeten worden, opdat het draaiboek ook daadwerkelijk werkt in geval van een calamiteit.
• Uit onderzoek blijkt dat drie op de vier organisaties die aandacht besteden aan BCM, hiervoor een directe aanleiding (incident of druk van een toezichthouder) nodig hebben gehad. Slechts één op de drie ondernemingen heeft een beheerproces ingericht voor haar continuïteitsplannen. En de meeste ondernemingen ten slotte voeren geen enkele controle uit op de afspraken die zij maken met derde partijen op het gebied van continuïteit.
• Cruciaal is de rol van het crisisteam; in veel gevallen geldt, dat een calamiteit pas een calamiteit is als het crisisteam hier het stempel van calamiteit op zet. Zo geldt voor de meeste echecs in de afgelopen jaren met een voor een bedrijf dodelijke afloop, dat de belangrijkste oorzaak was, dat niet tijdig werd onderkend dat een incident een calamiteit was. Zorgt je er daarom vooral ook voor dat, onafhankelijk van waar leden van het crisisteam zich bevinden, crisisberaad altijd kan plaatsvinden.
• Wees bedacht op calamiteiten die je niet hebt voorzien, maar die je bedrijf wel te gronde helpen richten. Het gaat daarbij meestal niet om directe schade, maar om indirecte schade.