Achtergrond

De kunst van business continuity: “Wat als?”

Van defecte koffiemachines tot ransomware: zes ervaringsdeskundigen delen hun visie op business continuity en alles daarrond op het Business Meets IT seminar van 16 november.

 

Het is dé vraag die je als bedrijf ooit moet stellen: wat als? Wat als je bedrijf overstroomt? Je datacenter wordt getroffen door een aardbeving? Een pandemie de helft van je werknemers wegvaagt? Er zijn duizenden dingen die impact kunnen hebben op IT. Dat weet Bart Stoffels, hoofdredacteur Smart Business en Twinkle Magazine. Hij leidde op 16 november het seminarie in met enkele opmerkelijke voorbeelden.

De aanslag op de WTC-torens bijvoorbeeld, mogelijk een van de grootste rampen die je bedrijf treffen. Dichter bij huis vinden we het Vlaamse Mediahuis dat onlangs nog kampte met een digitale ramp. Brussels Airport in Zaventem kreeg even later te maken met een IT-probleem waardoor de borden met de vluchtinformatie het lieten afweten. Bij zo’n rampen is een business continuity-plan je houvast om met zo weinig mogelijk kleerscheuren de situatie te verhelpen. Maar hoe begin je eraan?

Defecte koffiemachines

Vincent Bouhy legt uit dat een degelijk business continuity-plan een strikte voorbereiding vereist. Als business continuity-manager bij NRB, stond Bouhy aan de leiding van de implementatie van de ISO 22301-norm: een norm die fungeert als referentiekader voor het opzetten van een continuity-plan. Een business continuity-strategie begint bij analyse, aldus Bouhy. Allereerst moet een risicoanalyse worden gemaakt.

“Het bedrijf moet diverse risico’s overwegen: overstromingen, stakingen, pandemies, enzovoort.” Dat wil echter niet zeggen dat er moet worden voorbereid op elk mogelijk scenario: “Achterhaal de impact die het op je bedrijf zou hebben. Een koffiemachine kan defect zijn, maar is dat belangrijk?” Misschien nog belangrijker bij een continuity-strategie is de uitvoering ervan. Plannen zijn immers waardeloos als je ze niet kunt uitvoeren. “Houd daarom voldoende simulaties, trainingen of andere oefeningen,” raadt Bouhy aan.

 

Marta Sanfeliu, chief operation officer Olympics bij Atos: “Als Usain Bolt rent, is er geen mogelijkheid om te falen: dat kan gewoon niet.”

“Geen mogelijkheid om te falen”

Een heel andere sector is die van Marta Sanfeliu, chief operation officer Olympics bij Atos. Sanfeliu is verantwoordelijk voor de strategische en operationele kant van grote events, zoals de Olympische Spelen. “Als Usain Bolt rent, is er geen mogelijkheid om te falen: dat kan gewoon niet,” vertelt Sanfeliu. Oefening is ook volgens haar de sleutel tot een goed business continuity-plan. Zo wordt er voor de Spelen tweemaal een grootschalige test uitgevoerd waarbij systemen uitgeschakeld worden en wordt gemeten hoe goed het team de crisis onder controle krijgt.

“We hebben ook een gigantisch aantal mensen die meewerken. Vijf maanden voor de Spelen tellen we een 500-tal medewerkers. Tijdens de Spelen vermeerdert dat aantal explosief tot 3.500.” Dat werpt zijn vruchten af. In 2016 werden in Rio zo’n vierhonderd security-bedreigingen per seconde afgevuurd op de IT-systemen. “Maar geen enkele had een impact,” verzekert ze.

Communicatie als struikelblok

Bij constructiebedrijf BAM wordt er sinds 2015 gewerkt aan het BRIC-project: Backup, Restore and IT Continuity. Het project moet ervoor zorgen dat er een back-up wordt gemaakt van de volledige BAM-omgeving naar twee verschillende locaties en wordt een disaster recovery-plan opgesteld voor de businesstoepassingen. “We deden hiervoor een beroep op externe partijen, waaronder Sungard AS,” vertelt IT-projectmanager Fred Kaauw.

Het project is echter goed op weg en belooft eind 2016 vervolledigd te worden. In een terugblik duidt Kaauw aan wat de grootste struikelblokken vormden. “Een uitdaging was bijvoorbeeld communicatie. We werkten gedurende het project met BAM-teams over de hele wereld, wat zorgde voor de nodige taalbarrières. Bovendien werd het plan ook tijdens het project nog meermaals aangepast: een uitdaging om dan met meerdere partijen te werken.”

 

Eddy Willems, security-evangelist G-Data: “De AIDS-diskette uit 1989 was de allereerste vorm van ransomware: het vergrendelde het systeem en vroeg om geld te sturen naar een postbus in Panama.”

Ransomware voor je oven

Denken we aan IT-rampen, dan denken we aan malware. Vooral ransomware, de malware die de gegevens van een gebruiker versleutelt en losgeld vraagt, lijkt dit jaar vanuit het niets de kop op te steken. Is dat zo? “Ransomware is veel ouder dan velen denken,” laat Eddy Willems, security-evangelist bij G Data, weten. “De AIDS-diskette uit 1989 was eigenlijk de allereerste vorm van ransomware: het vergrendelde het systeem en vroeg om geld te sturen naar een postbus in Panama.”

Ondanks de hoge leeftijd van het concept blijft ransomware slachtoffers maken, met een torenhoge rekening of dataverlies als gevolg. Mogelijke oplossingen voor ransomware zijn nochtans even oud als de malware zelf. Zo kan ransomware voorkomen worden door bijvoorbeeld zo snel mogelijk updates uitvoeren, op de juiste manier back-ups maken of niet elke gebruiker met adminrechten laten aanmelden. De toekomst van ransomware ziet er overigens mogelijk nog erger uit. “Ransomware heeft het potentieel om véél verder te gaan,” waarschuwt de evangelist. “Denk aan ransomware voor een slimme oven. Wat als je een sms’je krijgt op vakantie: betaal binnen het kwartier of we zetten je huis in lichterlaaie?”

“Serieuze crash”

Systeembeheerder Roel Vandewalle ondervond aan den lijve hoe een IT-noodgeval faliekant kan uitpakken. Zo’n vijf jaar geleden kreeg vzw Levenslust te maken met een systeemcrash. “Het was een serieuze crash. We konden geen data herstellen, en verloren alles. De medewerkers konden zo’n vier tot zeven dagen niet verderwerken,” verklaart Vandewalle. “Dat was het punt waarop we besloten alles om te gooien en in te zetten op business continuity.” Er werd gekozen voor een back-upoplossing van Veeam. De omgeving werd volledig gevirtualiseerd, waardoor ook het disaster recovery plan vereenvoudigd werd.

“Daarna hebben we nog te maken gekregen met systeemcrashes, maar de data is altijd eenvoudig terug te herstellen,” besluit Roel Vandewalle. “We hebben minder downtime, een betere business continuity en een simpel disaster recovery-plan. Onze doelen zijn behaald.”

 

beveiligingbusinessbusiness continuitybusiness meets itdisaster recoveryevent reportransomwareseminar

Gerelateerde artikelen

Volg ons

Bespaar tot 83% op Surfshark One

Bespaar tot 83% op Surfshark One

Bekijk prijzen