Business continuity management en het Hemelvaartsdagcriterium
NIS2 komt op ons af en Business Continuity Management (BCM) is een van de verplichtingen die het openbaar bestuur de komende jaren de nodige hoofdbrekens zal gaan kosten. Als je als vlijtige ambtenaar ‘BCM’ googelt, dan roep je vele adviseurs en instanties over je af die je bezorgdheid aanwakkeren.
Vaak worden een overstroming, een pandemie of ransomware als rampvoorbeelden gebruikt. Bent u daar wel tegen bestand? Zoals zo vaak gaat dit onderwerp gebukt onder onduidelijke definities en overeenkomstige afbakening, met als risico dat de aanpak uit de hand loopt en de verkeerde wegen inslaat.
Het Hemelvaartsdagcriterium
Dezelfde experts raden je aan om te beginnen de meest kritieke processen van een organisatie in kaart te brengen. Voor de hand ligt om het primaire proces te noemen als het meest kritische. Het primaire proces is de reden waarom we op aarde zijn en enorm belangrijk, maar is dat ook het meest tijdkritische proces? Ik stel het Hemelvaartsdagcriterium voor: als een organisatie zich kan veroorloven om op Hemelvaartsdag dicht te zijn is de crucialiteit betrekkelijk. Vergelijk dit met 24/7 diensten van het betalingsverkeer, telecom, een ziekenhuis of Schiphol. Deze zijn niet gesloten op Hemelvaartsdag, noch in het weekend. Kan mijn primaire proces zich een Hemelvaartsdag veroorloven? Als het antwoord ja is, dan zit je waarschijnlijk niet in de rode zone van de BCM- heat map en behoef je niet uit te sloven in maatregelen.
Contant geld achter de hand
Ook een vraag is wat te doen tijdens de verstoring? Is het misschien mogelijk om met kunst en vliegwerk het meest kritische proces van de organisatie toch te laten doorlopen? Een voorbeeld uit het dagelijks leven: met enige regelmaat is er een storing in de pinautomaat bij mijn warme bakker. Heel vervelend, maar gelukkig is daarvoor een wereldwijd aanwezige solide vangnet: contant geld. Met de jaren is de kans dat ik contant geld bij me heb weliswaar enorm afgenomen, maar gelukkig zijn er nog ouderwetse mensen die niet volledig leunen op bankpassen en smartphones. In het betalingsverkeer is het hebben van contant geld een uitstekende BCM-maatregel. Niet voor niets adviseert de overheid dat elk huishouden ergens 200 euro contant heeft liggen; met de toenemende digitale dreigingen een steeds beter advies. Maar als bij een uitvoeringsorganisatie de IT uitvalt, om wat voor reden dan ook, is er meestal geen ‘contant geld’ in omloop om de uren van uitval op papier, houtje-touwtje voort te zetten. We zijn volledig afhankelijk van IT. Ook van Schiphol vertrekt geen vliegtuig tijdens een stroomstoring, ook al vliegen we nog lang niet elektrisch.
Wèl een ICT-feestje
Capriolen uithalen om het kritische proces in de lucht te houden tijdens de crisis is kansloos. Er zit niets anders op dan de IT zo snel mogelijk te herstellen. De IT-organisatie moet uitwijkvoorzieningen en rampenplannen klaar hebben en die regelmatig testen. Natuurlijk zorg je voor telefoonlijsten voor een ransomware-crisis, maar verlies je niet in het inventariseren van ‘kritische’ processen en in scenario’s waarbij deze processen misschien met stoom en kokend water nog door kunnen lopen. Als er een meteoriet op het rekencentrum valt, zal de uitwijk als het goed is binnen een aantal uur de ondersteuning over kunnen nemen (controleer dit asjeblieft). Hoogstwaarschijnlijk valt dat aantal uur binnen de toleranties voor uitval van vermeend kritische processen. Menig column heeft als motto “dit en dat is géén ICT-feestje”. Goed, BCM is ook niet alleen een ICT-feestje, maar toch wel voor een groot deel.
