Gevolgen van downtime worden nog steeds onderschat

Het beschermen van informatie en informatiesystemen is in twee jaar tijd van de laatste naar de eerste plaats gestegen op de lijst met prioriteiten rond het handhaven van de continuïteit van de dienstverlening. Desondanks weet een derde van de bedrijven nog steeds niet hoeveel downtime hen nou eigenlijk kost.

Dit blijkt uit onderzoek van Siemens. Na een eerste onderzoek, uitgevoerd in 2012, heeft Siemens Building Technologies opnieuw onderzoek gedaan onder het management van Nederlandse organisaties naar hun structurele en planmatige aanpak van business continuity. Uit dit nieuwe onderzoek blijkt dat het beschermen van informatie en informatiesystemen een topprioriteit heeft. Het productie-, of operationele proces, het imago, compliancy en het beschermen van de assets nemen de tweede tot vijfde plaats. Deze focus geeft aan waar organisaties de grootste risico’s voor hun voortbestaan zien.

Op de directieagenda
40% van de bedrijven gaf twee jaar geleden nog aan dat het onderwerp niet structureel op de directieagenda staat. Dit percentage is inmiddels gedaald tot 30%. 62% van de respondenten geeft aan een plan beschikbaar te hebben dat voorziet in de continuïteit van de onderneming na een calamiteit. Dit percentage lag twee jaar geleden nog op 54%. Op de vraag of de eigen onderneming meer zou moeten doen om de bedrijfscontinuïteit te waarborgen is er nauwelijks verschil tussen nu en twee jaar geleden. Iets meer dan de helft vindt nog steeds van wel.

Eén op de drie respondenten heeft geen idee hoeveel een dag downtime precies kost. Dit percentage is overigens wel lager dan twee jaar geleden, toen nog ruim de helft aangaf dit niet te weten. Terwijl kennis over de impact van een verstoring de basis vormt voor het nemen van maatregelen. Waardoor men een onderbouwde afweging kan maken van de maatregelen en investeringen om de business continuity te waarborgen. 17% van de organisaties geeft aan dat één dag downtime hun organisatie meer dan 1 miljoen euro kost.

Rol van de overheid
Nieuw in dit onderzoek is de rol die de overheid wel of niet moet spelen bij continuïteitsmanagement. Over het algemeen vinden de respondenten niet dat de overheid zich met de continuïteit van organisaties moet bemoeien. Anders ligt dat voor organisaties in de vitale infrastructuur. Bijna driekwart van de respondenten wil dat de overheid voor dit soort bedrijven bindende regelgeving oplegt. Ook de vitale infrastructuur zelf wil dat. Ruim 60% wil zelfs dat de overheid ook de verantwoording draagt, waarmee men zich lijkt te keren tegen de privatisering. Siemens noemt het erg opvallend dat er voor vitale sectoren wel overduidelijk behoefte is aan sturing door de overheid, maar dat nauwelijks behoefte aan meer toezicht. Organisaties willen wel (bindende) richtlijnen, maar hier mag vervolgens geen toezicht op worden gehouden.

Parallel aan dit onderzoek werd ook gekeken naar de veranderende rol van de safety- en securitymanagers. Waar zij zich van nature veelal bezighouden met preventie, het voorkomen van een verstoring of incident, blijken zij steeds vaker een grote rol te spelen bij het beperken van de impact van een calamiteit en de gevraagde veerkracht van de organisatie. Om deze rol goed te kunnen invullen en de directie en operationele managers beter te ondersteunen bij het beheersen van risico’s, is het van belang dat safety- en securitymanagers zich meer in het organisatieproces bewegen. Dit betekent dat ze zich meer ‘business skills’ eigen moeten maken. “Safety en security verandert daarmee van ‘de afdeling die alles tegenhoudt’ in ‘de afdeling die business mogelijk maakt”, aldus Johan de Wit, die bij Siemens beide onderzoeken uitvoerde.

Aandacht voor business continuity
“Ik stel vast dat de aandacht voor business continuity in twee jaar tijd weliswaar aanzienlijk is toegenomen - een positieve ontwikkeling - maar dat helaas nog een derde van alle respondenten helemaal niet weet of beseft wat een dag downtime voor impact heeft op hun bedrijf”, zegt De Wit. “Daarnaast geeft het te denken dat in twee jaar tijd de focus bij het waarborgen van de bedrijfscontinuïteit is verschoven van het productie- of operationele proces, naar het beschermen van de informatie en informatiesystemen. Ofwel een verschuiving van prioriteit van het primaire proces naar een ondersteunend proces”. Tenslotte constateert hij dat men over het algemeen geen, maar voor de vitale infrastructuur wel regelgeving voor bedrijfscontinuïteit wil. De Wit: “De gevraagde rol van de overheid is dus duidelijk: wel sturen, niet betuttelen”.