Het beschermen van informatie en informatiesystemen is in twee jaar tijd van de laatste naar de eerste plaats gestegen als het gaat om prioriteiten bij het handhaven van de continuïteit van organisaties.

Dit blijkt uit onderzoek van Siemens Nederland. De aandacht voor het beschermen van het productie- of operationele proces is daarmee naar de tweede plaats werd verdrongen. Opmerkelijk is dat een derde van de bedrijven nog steeds geen idee heeft wat het uitvallen van systemen, de zogenaamde downtime, hen kost.
Na een eerste onderzoek, uitgevoerd in 2012, heeft Siemens Building Technologies opnieuw onderzoek gedaan onder het management van Nederlandse organisaties naar hun structurele en planmatige aanpak van business continuity. Conclusie: het beschermen van informatie en informatiesystemen heeft topprioriteit. Het productie-, of operationele proces, het imago, compliancy en het beschermen van de assets nemen de tweede tot vijfde plaats in als gevraagd wordt waar de focus van de businesss continuity activiteiten binnen organisaties ligt. Deze focus geeft aan waar organisaties de grootste risico’s voor hun voortbestaan zien.
Positieve ontwikkeling is dat het belang van en de aandacht voor business continuity toe neemt. Waar twee jaar geleden nog 40% van de bedrijven zei dat het onderwerp niet structureel op de directieagenda stond, is dit nu gedaald tot 30%. Ook zegt 62% van de respondenten te beschikken over een plan dat voorziet in de continuïteit van de onderneming na een calamiteit. Bij het vorige onderzoek was dat nog 54%. Op de vraag of de eigen onderneming meer zou moeten doen om de bedrijfscontinuïteit te waarborgen is er nauwelijks verschil tussen nu en twee jaar geleden. Iets meer dan de helft vindt nog steeds van wel.
Een groot aantal respondenten moet het antwoord schuldig blijven op de vraag wat een dag downtime kost. Hoewel dit is afgenomen ten opzichte van 2012, toen iets meer dan de helft liet weten dat ze dat niet konden zeggen, heeft maar liefst één op de drie respondenten nog steeds geen idee. Terwijl kennis over de impact van een verstoring de basis vormt voor het nemen van maatregelen. Waardoor men een onderbouwde afweging kan maken van de maatregelen en investeringen om de business continuity te waarborgen. Zeventien procent van de organisaties geeft aan dat één dag downtime hun organisatie meer dan 1 miljoen euro kost.
Nieuw in dit onderzoek is de rol die de overheid wel of niet moet spelen bij continuïteitsmanagement. Over het algemeen vinden de respondenten niet dat de overheid zich met de continuïteit van organisaties moet bemoeien. Anders ligt dat voor organisaties in de vitale infrastructuur. Bijna driekwart van de respondenten wil dat de overheid daar bindende regelgeving oplegt. Ook de vitale infrastructuur zelf wil dat. En ruim zestig procent wil zelfs dat de overheid ook de verantwoording draagt. Waarmee men zich lijkt te keren tegen de privatisering. Erg opvallend is dat er, zoals eerder beschreven, voor vitale sectoren overduidelijk behoefte is aan sturing door de overheid, maar dat er nauwelijks behoefte is aan meer toezicht. Organisaties willen wel (bindende) richtlijnen, maar er vervolgens niet op worden gecontroleerd.
Parallel aan dit onderzoek werd ook gekeken naar de veranderende rol van de safety- en securitymanagers. Waar zij zich van nature veelal bezighouden met preventie, het voorkomen van een verstoring of incident, blijken zij steeds vaker een grote rol te spelen bij het beperken van de impact van een calamiteit en de gevraagde veerkracht van de organisatie. Om deze rol goed te kunnen invullen en de directie en operationele managers beter te ondersteunen bij het beheersen van risico’s, is het van belang dat safety- en securitymanagers zich meer in het organisatieproces bewegen. Dit betekent dat ze zich meer ‘business skills’ eigen moeten maken. “Safety en security verandert daarmee van ‘de afdeling die alles tegenhoudt’ in ‘de afdeling die business mogelijk maakt”, aldus Johan de Wit, die bij Siemens beide onderzoeken uitvoerde.
“Ik stel vast dat de aandacht voor business continuity in twee jaar tijd weliswaar aanzienlijk is toegenomen – een positieve ontwikkeling – maar dat helaas nog een derde van alle respondenten helemaal niet weet of beseft wat een dag downtime voor impact heeft op hun bedrijf”, zegt De Wit. “Daarnaast geeft het te denken dat in twee jaar tijd de focus bij het waarborgen van de bedrijfscontinuïteit is verschoven van het productie- of operationele proces, naar het beschermen van de informatie en informatiesystemen. Ofwel een verschuiving van prioriteit van het primaire proces naar een ondersteunend proces”. Tenslotte constateert hij dat men over het algemeen geen, maar voor de vitale infrastructuur wel regelgeving voor bedrijfscontinuïteit wil. De Wit: “De gevraagde rol van de overheid is dus duidelijk: wel sturen, niet betuttelen”.
Download: De status van Business Continuity Management in Nederland (pdf)