‘Businesscontinuïteit’ beperken tot de eigen onderneming is een denkfout
Achtergrond
24 oktober 2008
Naast de voordelen die ICT-organisaties bieden, groeit het besef dat de afhankelijkheden en risico’s die daarbij horen, moeten worden afgedekt. Uit businessoverwegingen worden (kritieke) verbindingen aangegaan met ketenpartners: het datacenter en de (VoIP-)telefooncentrale zijn buitenshuis geplaatst, informatie wordt gedeeld met andere bedrijven, het gebruik van zaken als cloud computing en SaaS neemt toe en men wil ‘anytime, anyplace, anyhow’ beschikken over de juiste informatie. Als er problemen optreden met de verbindingen, de ‘cloud’ of externe opslag, dan worden de kernprocessen van de organisatie ernstig verstoord. Het denken over businesscontinuity beperken tot alleen de eigen organisatie is daarom niet meer afdoende.
ICT-uitval zal nooit volledig voorkomen kunnen worden. Toch is de huidige aanpak gericht op het afwenden van risico’s. Er worden barricades rond de organisatie opgeworpen door het gebruik van antivirusprogramma’s, firewalls, degelijkere software, dubbel uitgevoerde systemen, noodstroomvoorzieningen en een uitwijklocatie boven NAP. Het risico van deze aanpak is echter dat er zoveel geld en middelen worden gestoken in preventie, dat we ons zo goed beschermd gaan voelen, dat we ervan uitgaan dat we nooit te maken zullen krijgen met uitval. Zoals te zien aan de voorbeelden in het kader is dat helaas geen haalbare kaart. Al in het oude Griekenland wisten ze dat een dergelijke situatie niet bestaat: zelfs de ‘onoverwinnelijke’ Achilles had een zwakke plek. We doen er daarom goed aan om op basis van een goede risico-inschatting te investeren in zowel het voorkomen als het beperken van de effecten en de duur ervan.
In de praktijk bestaan twee valkuilen, waar veel organisaties in vallen. De eerste valkuil is het niet voorbereid zijn op een situatie waarbij sprake is van uitval, terwijl dit zo goed als zeker gaat plaatsvinden. Vergelijk dit bijvoorbeeld met de uitval van elektriciteit. In Nederland hebben we vaak geen alternatief en moeten we op zolder op zoek naar kaarsen of een zaklamp en kunnen we geen voedsel bereiden; in veel buitengebieden in het buitenland komt een dergelijke situatie vaker voor (en voor een langere duur) en is men erop voorbereid: men heeft bijvoorbeeld een dieselgenerator, gaslampen en een kooktoestel op gas.
Een van de oorzaken dat elke organisatie met ICT-uitval te maken gaat krijgen, is dat er steeds meer koppelingen worden aangegaan met ketenpartners. Veel bedrijven realiseren zich niet dat ze (sterk) afhankelijk zijn van directe én indirecte ketenpartners. Kan de andere partij de verwachtingen die we van haar hebben ook waarmaken in een situatie dat het niveau van dienstverlening sterk is beperkt?
Een tweede valkuil is het klakkeloos aannemen dat ketenpartners zelf ook aan businesscontinuity doen. De verantwoordelijken (of experts), zoals de CIO, COO, CTO, businesscontinuitymanager of de (technologie-)inkoopmanager, gaan daar maar al te vaak van uit, zonder daarover vragen te stellen en formele afspraken te maken. Men verwacht dat de ketenpartners (die een ((onder))deel van de kritische processen voor hun rekening nemen), zelf ook hebben geïnvesteerd in businesscontinuity en dus te allen tijde hun diensten kunnen blijven leveren op het overeengekomen niveau. In contracten staan vaak enkele paragrafen over de respons- en oplostijd bij kleine en veelvoorkomende problemen, maar wordt niets vermeld over de continuïteit van dienstverlening in het geval van (grootschalige) uitval. Dergelijke situaties worden al snel onder overmacht geschaard, zodat men de handen ervan af kan trekken en geen uitsluitsel hoeft te geven over hoe snel de dienst na een crisis weer wordt aangeboden op het gebruikelijke niveau. Bedenk daarbij dat in situaties van grootschalige uitval de beschikbaarheid van technici en experts zeer beperkt zal zijn door de grote vraag, waardoor de situatie wordt verergerd en langer zal duren dan verwacht.
Om deze valkuilen te ontwijken, is het belangrijk om voor een omslag binnen de organisatie te zorgen. Bij businesscontinuity moet er niet alleen worden nagedacht over de eigen organisatie: als de blik wordt verbreed naar de gehele keten, kan een organisatie zich beter voorbereiden op crisissituaties.
Naast de voordelen op het gebied van betrouwbaarheid hebben de activiteiten die ons helpen bij het voorbereiden op en omgaan met uitvalsituaties (zie kader) ook effect op de concurrentiepositie. Als de concurrentie niet investeert in continuïteit en dat ook niet verwacht van haar ketenpartners, dan kan die keten goedkoper opereren. Dit feit alleen maakt het vaak al moeilijk om de investeringen in interne businesscontinuity te verantwoorden, laat staan om dergelijke activiteiten de keten op te leggen en zo de kosten nog verder te verhogen.
Daar staat tegenover dat geen organisatie het risico wil lopen om bij het minste of geringste niet meer te kunnen voldoen aan de eisen die in de contracten met klanten zijn opgenomen. Er zal altijd in meer of mindere mate aan businesscontinuity worden gedaan. Wat echter vaak wordt vergeten, is dat wanneer de ketenpartners niet voldoende hebben geïnvesteerd in businesscontinuity, de situatie kan ontstaan dat alleen de eigen organisatie blijft doordraaien, terwijl de rest van de keten uitvalt. Ondanks de goede voorbereiding van de eigen organisatie op uitval, kan er dan alsnog geen productie plaatsvinden. Een tweede punt voor het doen van investeringen is dat, met de huidige crisis in de bank- en hypotheeksector in het achterhoofd, vertrouwen in zakelijke relaties nog weleens een grote rol kan gaan spelen en dat dergelijke vereisten bij contractbesprekingen aan bod kunnen komen.
Erwin Bogaard (erwin.bogaard@mxi.nl) en Dick Kaas (dick.kaas@mxi.nl) zijn beiden werkzaam als adviseur bij M&I/Partners, Amersfoort. Zij beschikken over een ruime kennis en ervaring op de gebieden ICT en OOV.
ICT-uitval zal nooit volledig voorkomen kunnen worden. Toch is de huidige aanpak gericht op het afwenden van risico’s. Er worden barricades rond de organisatie opgeworpen door het gebruik van antivirusprogramma’s, firewalls, degelijkere software, dubbel uitgevoerde systemen, noodstroomvoorzieningen en een uitwijklocatie boven NAP. Het risico van deze aanpak is echter dat er zoveel geld en middelen worden gestoken in preventie, dat we ons zo goed beschermd gaan voelen, dat we ervan uitgaan dat we nooit te maken zullen krijgen met uitval. Zoals te zien aan de voorbeelden in het kader is dat helaas geen haalbare kaart. Al in het oude Griekenland wisten ze dat een dergelijke situatie niet bestaat: zelfs de ‘onoverwinnelijke’ Achilles had een zwakke plek. We doen er daarom goed aan om op basis van een goede risico-inschatting te investeren in zowel het voorkomen als het beperken van de effecten en de duur ervan.
In de praktijk bestaan twee valkuilen, waar veel organisaties in vallen. De eerste valkuil is het niet voorbereid zijn op een situatie waarbij sprake is van uitval, terwijl dit zo goed als zeker gaat plaatsvinden. Vergelijk dit bijvoorbeeld met de uitval van elektriciteit. In Nederland hebben we vaak geen alternatief en moeten we op zolder op zoek naar kaarsen of een zaklamp en kunnen we geen voedsel bereiden; in veel buitengebieden in het buitenland komt een dergelijke situatie vaker voor (en voor een langere duur) en is men erop voorbereid: men heeft bijvoorbeeld een dieselgenerator, gaslampen en een kooktoestel op gas.
Een van de oorzaken dat elke organisatie met ICT-uitval te maken gaat krijgen, is dat er steeds meer koppelingen worden aangegaan met ketenpartners. Veel bedrijven realiseren zich niet dat ze (sterk) afhankelijk zijn van directe én indirecte ketenpartners. Kan de andere partij de verwachtingen die we van haar hebben ook waarmaken in een situatie dat het niveau van dienstverlening sterk is beperkt?
Een tweede valkuil is het klakkeloos aannemen dat ketenpartners zelf ook aan businesscontinuity doen. De verantwoordelijken (of experts), zoals de CIO, COO, CTO, businesscontinuitymanager of de (technologie-)inkoopmanager, gaan daar maar al te vaak van uit, zonder daarover vragen te stellen en formele afspraken te maken. Men verwacht dat de ketenpartners (die een ((onder))deel van de kritische processen voor hun rekening nemen), zelf ook hebben geïnvesteerd in businesscontinuity en dus te allen tijde hun diensten kunnen blijven leveren op het overeengekomen niveau. In contracten staan vaak enkele paragrafen over de respons- en oplostijd bij kleine en veelvoorkomende problemen, maar wordt niets vermeld over de continuïteit van dienstverlening in het geval van (grootschalige) uitval. Dergelijke situaties worden al snel onder overmacht geschaard, zodat men de handen ervan af kan trekken en geen uitsluitsel hoeft te geven over hoe snel de dienst na een crisis weer wordt aangeboden op het gebruikelijke niveau. Bedenk daarbij dat in situaties van grootschalige uitval de beschikbaarheid van technici en experts zeer beperkt zal zijn door de grote vraag, waardoor de situatie wordt verergerd en langer zal duren dan verwacht.
Om deze valkuilen te ontwijken, is het belangrijk om voor een omslag binnen de organisatie te zorgen. Bij businesscontinuity moet er niet alleen worden nagedacht over de eigen organisatie: als de blik wordt verbreed naar de gehele keten, kan een organisatie zich beter voorbereiden op crisissituaties.
Naast de voordelen op het gebied van betrouwbaarheid hebben de activiteiten die ons helpen bij het voorbereiden op en omgaan met uitvalsituaties (zie kader) ook effect op de concurrentiepositie. Als de concurrentie niet investeert in continuïteit en dat ook niet verwacht van haar ketenpartners, dan kan die keten goedkoper opereren. Dit feit alleen maakt het vaak al moeilijk om de investeringen in interne businesscontinuity te verantwoorden, laat staan om dergelijke activiteiten de keten op te leggen en zo de kosten nog verder te verhogen.
Daar staat tegenover dat geen organisatie het risico wil lopen om bij het minste of geringste niet meer te kunnen voldoen aan de eisen die in de contracten met klanten zijn opgenomen. Er zal altijd in meer of mindere mate aan businesscontinuity worden gedaan. Wat echter vaak wordt vergeten, is dat wanneer de ketenpartners niet voldoende hebben geïnvesteerd in businesscontinuity, de situatie kan ontstaan dat alleen de eigen organisatie blijft doordraaien, terwijl de rest van de keten uitvalt. Ondanks de goede voorbereiding van de eigen organisatie op uitval, kan er dan alsnog geen productie plaatsvinden. Een tweede punt voor het doen van investeringen is dat, met de huidige crisis in de bank- en hypotheeksector in het achterhoofd, vertrouwen in zakelijke relaties nog weleens een grote rol kan gaan spelen en dat dergelijke vereisten bij contractbesprekingen aan bod kunnen komen.
Erwin Bogaard (erwin.bogaard@mxi.nl) en Dick Kaas (dick.kaas@mxi.nl) zijn beiden werkzaam als adviseur bij M&I/Partners, Amersfoort. Zij beschikken over een ruime kennis en ervaring op de gebieden ICT en OOV.
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd.
Ben je nieuw bij AG Connect, registreer je dan gratis!
Registreren
- Direct toegang tot AGConnect.nl
- Dagelijks een AGConnect nieuwsbrief
- 30 dagen onbeperkte toegang tot AGConnect.nl
Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!