Overslaan en naar de inhoud gaan
Achtergrond PRO
9 november 2007 leestijd 4 minuten 0 reacties

Standaard vereist aanpassingen IT

Nieuwe Britse standaard Business Continuity Management is twee stappen vooruit en één achteruit
Jacques Cazemier
Jacques CazemierMeer van deze auteur
Dick Leegwater
Dick LeegwaterMeer van deze auteur
Business
Shutterstock
Shutterstock

De continuïteit van operationele bedrijfsprocessen krijgt steeds meer aandacht van het businessmanagement tot op het niveau van de raden van bestuur (bedrijfsleven) en bestuursraden (overheid). Dit als gevolg van de toenemende complexiteit van de inrichting van processen door de steeds grotere rol van ICT, de toename van continuïteitsrisico’s en recentelijk de druk van buitenaf (regelgeving en eisen van de klant ten aanzien van aantoonbaarheid van Business Continuity Management, BCM). Moderne wet- en regelgeving (ROB, SOX, code-Tabaksblat) leiden tot meer aandacht voor governance en daarmee direct of indirect ook voor BCM.
In diverse sectoren zijn ingrijpende procesveranderingen gaande die extra versterkend werken. Voorbeelden zijn het invoeren van kortere zorgtrajecten in ziekenhuizen, het gebruik van Kennisnet voor ondersteuning van het onderwijs, de globalisering van logistieke ketens en het invoeren van ketendossiers en gemeenschappelijke basisregistraties op overheidsgebied.

De focus verschuift van systeemuitwijk en -herstel naar procesuitwijk en -herstel, voorafgegaan door het beschermen van mensen. Hierbij is een juiste prioriteitsstelling (welke processen het eerst weer operationeel?) essentieel. Dit betekent ook verschuivingen van verantwoordelijkheden en rollen van de diverse spelers. De genoemde wet- en regelgeving – maar ook de commerciële betekenis van een goed Business Continuïteits Plan (BCP) – zorgt ervoor dat BCM op de bestuurstafel terechtkomt.

Het toenemend belang van BCM wordt weerspiegeld door het verschijnen van de eerste Britse standaard BS 25999 op dit gebied (begin december 2006). Deze standaard biedt vele bruikbare richtlijnen (best practices) om continuïteitsrisico’s vanuit business- danwel dienstverleningsperspectief het hoofd te kunnen bieden.
De BS 25999 biedt een aantal voordelen ten opzichte van zijn voorganger: PAS56. Nieuwe inzichten zijn verwerkt, verantwoordelijkheden zijn scherper gesteld en er is ruimte voor het toepassen van eigen technieken. Desalniettemin is er sprake van een Echternach-effect: twee stappen vooruit en één stap achteruit (zie kader). Ook ontbreken verschillende zaken (evenals in PAS56), te weten:

• het verschil tussen grote en kleine organisaties (holdings versus MKB) – schaalbaarheid;
• het bepalen van een goede continuïteitstrategie wordt onderbelicht: onder meer het afwegen van maatregelen die een continuïteitsrisico kunnen voorkomen (bijvoorbeeld een overstromingsvrije locatie) en maatregelen die een continuïteitsrisico qua kans en/of impact kunnen verkleinen (bijvoorbeeld een dubbel uitgevoerde datacommunicatielijn of inrichting van een uitwijklocatie);
• het meenemen van reeds genomen maatregelen in het bepalen van de gewenste continuïteitstrategie;
• het benadrukken van een crisisregime versus ‘business as usual’; ‘Wanneer is een crisis een crisis?’ is daarbij een essentiële vraag;
• een duidelijke beschrijving van de competenties van de BCM-spelers’ (zie kader).

Het verschijnen van de BS 25999 op zich en de getoonde belangstelling zijn echter hoopgevend voor een meer efficiënte en effectieve inrichting van Business Continuity Management. Om dit laatste te bereiken, is het noodzakelijk om het IT-management en de IT-processen aan te passen. Het is nodig om hier en daar de Britse flegmatische houding te vervangen door een pragmatische en om vooral oog te hebben voor een goed implementatieplan: hoe voer je de best practices in. Ten slotte moeten organisaties zo ingericht worden dat een calamiteit op de meest efficiënte en effectieve manier het hoofd geboden kan worden.

Het toepassen van de BS 25999 houdt in dat het IT-management en de IT-processen, daar waar het gaat om continuïteitsnormen (voor systemen, infrastructuur en gegevensverlies), configuratiemanagement, incidentmanagement (escalatieprocedure) en changemanagement, ondergeschikt worden aan BCM en het BCP.
Het IT-management krijgt een belangrijke adviserende rol bij het bepalen van de optimale uitwijkoptie voor ICT-voorzieningen en bij het vaststellen van de robuustheid van nieuwe producten/diensten tegen continuïteitsbedreigingen. Ook voor een haalbaarheidsonderzoek van continuïteitsnormen is het technisch inzicht van de IT-afdeling van toenemend belang gezien de grotere afhankelijkheid en complexiteit van de te leveren IT-diensten.
De organisatie wordt onnodig kwetsbaar als het leveranciersmanagement van IT-diensten, waaronder outsourcing en outtasking, onvoldoende wordt bestuurd. Het IT-management heeft de zorg voor releasemanagement (continuïteitsrisico) en voor een volwaardige SLA met een continuïteitsparagraaf, waarin continuïteitseisen zijn opgenomen, met name voor crisissituaties. Ten slotte krijgt het IT-management een belangrijke taak in crisis-/calamiteitenmanagement (het herstellen van de processen alsmede het inzetten van communicatiemiddelen tijdens een crisis) en het inrichten van de daarvoor noodzakelijke processen.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in