Een kwestie van overleven
Het zal mijn bedrijf niet overkomen, denkt u wel eens. Toch komen branden, cybercriminaliteit of ander onheil meer voor dan u denkt. “We hadden een noodplan, al zaten er gaten in”, klinkt het bij Veritas dat zijn hoofkantoor zag afbranden.
Nieuwe technologieën, van de cloud tot wearables en het internet der dingen, spelen een steeds grotere rol. Ook bedrijven zijn zich bewust van de gevolgen van die digitalisering: volgens onderzoek van IDC vorig jaar had 55 procent van de Europese organisaties een zware reorganisatie doorgevoerd in de afgelopen 12 maanden, specifiek om die digitale evolutie op te vangen.
IT is een prioriteit, business continuity niet meteen. Uit recent onderzoek van Smart Business blijkt dat het onderhouden van plannen voor disaster recovery en business continuity pas op de negende plaats prijkt in het lijstje IT-prioriteiten – en dat, zo bleek uit de diverse keynotes op het Business Meets IT-seminarie rond Business Continuity, is een probleem.
Terug naar de essentie
Er zijn in feite maar een paar vragen die een bedrijf zichzelf moet stellen bij het opstellen van een disaster recovery-plan, zegt Alex Vanzegbroek, project manager bij Beltug. “Het belangrijkste is een doorgedreven pragmatische aanpak: een naslagwerk van honderden bladzijden leveren immers niets op.” Hij stelt ook vast dat het essentieel is om de belangrijkste risico’s te bepalen, en vervolgens te selecteren tegen welke daarvan u zichzelf zal wapenen. “Tegen die rampen die minder waarschijnlijk zijn, of waarvoor de kost van het zelf indekken te hoog ligt, kan u zich laten verzekeren – sommige verzekeringen geven bedrijven met een sterk business continuity-plan zelfs kortingen.”
Voor de maatregelen die uw bedrijf wel in-house neemt, zijn er voor Vanzegbroek twee parameters echt van belang. “Alles komt neer op de RTO en RPO van uw bedrijf. RPO is het recovery point objective: wanneer moet mijn laatste functionerende back-up gemaakt zijn om meteen weer van start te kunnen gaan? RTO is dan weer uw recovery time objective: de tijd die uw bedrijf buiten strijd ‘mag’ blijven.” Die parameters zijn volgens Vanzegbroek de pijlers van elk geslaagd business continuity-plan.
Vanzegbroek haalde een aantal pakkende cijfers aan om het belang van goed geïmplementeerde business continuity te benadrukken: het verlies – in reputatie, geld, tijd – van acht uur downtime heeft een periode van drie jaar nodig om weer hersteld te worden. Als u geluk hebt, want 93 procent van de bedrijven die een zwaar dataverlies doormaken verdwijnt binnen de vijf jaar.
In vlammen op
Bij de sprekers was ook Johan De Witte van Veritas. Het hoofdgebouw van het bedrijf viel op een zaterdag in 2013 ten prooi aan een zware brand, en werd daarbij volledig vernield. Exact het soort scenario waar disaster recovery en business continuity beproefd worden. Het bedrijf kwam de ramp te boven, en De Witte leerde een aantal belangrijke lessen. “Allereerst werd al snel duidelijk dat de aanwezige plannen veel te erg waren toegespitst op ICT en infrastructuur, en te weinig op een aantal praktische maar noodzakelijke problemen.” Zo gingen ongeveer de helft van de bedrijfscomputers in vlammen op, en was niet meteen een nieuwe machine voorzien voor alle belangrijke werknemers. Ook aan een alternatieve en voldoende grote locatie was niet echt gedacht. “Daarnaast kwamen we nog een aantal onverwachte problemen tegen: er waren bijvoorbeeld adequate backups gemaakt, die zich op tape in een brandkoffer in het gebouw bevonden. De tapes bleken inderdaad onbeschadigd, maar desalniettemin nutteloos: het duurde weken voor de koffer van onder het puin kon worden gehaald.”
Ook onderschat was de hoeveelheid documenten en administratie die zich enkel op papier bevond, en dus met de brand letterlijk in rook opging. Daarom raadt De Witte dan ook aan eens eerlijk te onderzoeken in hoeverre papier een rol speelt in essentiële bedrijfsprocessen.
Waar zijn uw back-ups?
Paul Fonteyn voegt daar nog een extra aspect aan toe: veel bedrijven hebben een functionerend back-upsysteem, maar daarbij wordt één aspect erg vaak vergeten. Tot 50 procent van de data van een bedrijf staat lokaal opgeslagen op de pc’s van de werknemers, en nooit geback-upt.
Pepijn Palmans van Housingcenter focuste op zijn beurt op de voordelen van gehuurde infrastructuur bij het opmaken van een business continuity-schema. “Vaak wordt bij cloud-diensten vooral aandacht besteedt aan de flexibliteit en de lagere onderhoudskosten die ze met zich meebrengen, maar zeker bij rampsituaties bewijzen ze hun nut. Wie z’n eigen servers heeft draaien, kan volledig buiten strijd gesteld worden door een eenvoudige overstroming; wie werkt met een partner in de cloud, kan op hen vertrouwen als er iets misloopt.”
Ook De Witte breekt een lans voor cloud-infrastructuur en op z’n minst offsite back-ups: “Als Veritas niet zeer kort voor de brand de overstap van interne infrastructuur naar de cloud had gemaakt, had de recuperatie veel meer tijd in beslag genomen en waren de gevolgen waarschijnlijk veel zwaarder geweest.”
Iedereen aan boord
Een ander veel voorkomend probleem is dat vaak ten onrechte enkel van de IT-afdeling van een bedrijf verwacht dat er aandacht besteed wordt aan deze maatregelen, terwijl de zakelijke kant van de onderneming z’n handen wast in onschuld. Een kapitale fout, zo benadrukken alle sprekers. “Alle stakeholders moeten weten wat het plan is bij een rampscenario: de IT-afdeling, het management, en de belangrijkste werknemers. Niemand kan het zich vandaag de dag permitteren een 24/7-bedrijf te runnen en geen aandacht te hebben voor risicomanagement”, stelt Alex Vanzegbroek.
Johan De Witte beaamt dat volmondig: “Veritas had een noodplan, voornamelijk vanuit IT, met een heel aantal gaten in. Als er helemaal geen coherente voorbereidende maatregelen getroffen waren, dan was de brand een potentieel onoverkomelijke catastrofe geweest.”
Natuurkrachten of kwaad opzet
Een natuurramp is echter niet de enige categorie catastrofes waar uw business continuity-plannen op voorbereid moeten zijn. Ook cybercriminaliteit zit helaas in de lift, en een aanval kan minstens even desastreuze effecten hebben als een overstroming of brand. Koen Druyts van Cybercontract: “Zeker KMO’s worden vaak geviseerd door hackers: zij hebben de nodige kennis van beveiliging meestal niet in huis en zijn daarom kwetsbaar.”
Druyts waarschuwt dan ook dat er net bij die bedrijven een mentaliteitswijziging nodig is: “Kleinere ondernemingen gaan er te vaak van uit dat zij niet groot of belangrijk genoeg zijn om het doelwit te worden van cybercriminaliteit. Niets is minder waar, en een succesvolle hack van uw bedrijf kan zware financiële én emotionele schade aanrichten. Het verlies van geloofwaardigheid en imago is in vele gevallen onherstelbaar.”
Hij pleit dan ook voor een verbetering van de verzekeringen tegen dit soort aanvallen. “Vandaag is de digitale data van een bedrijf specifiek niet inbegrepen in de aanwezige polissen. Terwijl de aansprakelijkheid voor de schade door een datalek wel degelijk bij de databeheerder ligt.” Het is dan ook van groot belang dat bedrijven cybercriminaliteit op hun agenda zetten, besluit hij.
Meer informatie over onze seminars vindt u op www.businessmeetsit.be