Hoe veerkrachtig wilt u zijn?

Verschillende expertisegebieden optimaal laten samensmelten

Veel organisaties die een risico-, crisis-, IT- of Business Continuity Management Systeem hebben ­geïmplementeerd, doen dit door een enorme hoeveelheid Word- en Excel-bestanden te creëren, ­veelal ­ondersteund door data­bases, echter los van elkaar, zo leert de ervaring. Ze gebruiken daarbij nagenoeg altijd PowerPoint of andere ­office-software om de informatiestroom te ondersteunen. In sommige ­gevallen wordt ­SharePoint gebruikt om het systeem robuuster te maken en om een veilige omgeving te ­creëren voor het opslaan van documenten, berekeningen en andere gegevenscomponenten. Enkele grotere ­organisaties hebben eigen systemen of instrumenten gebouwd voor deze disciplines en hoewel deze in de ­meeste ­gevallen aan hun specifieke behoeften voldoen, zijn ze moeilijk te onderhouden, laat staan ­verder te ­ontwikkelen in een constant veranderende omgeving met ­nieuwe wet- en regelgeving, plus (klant) ­eisen. Een link tussen de verschillende disciplines is in slechts enkele gevallen voorzien. Creëren ze op deze wijze een veerkrachtig, flexibel overall beheersysteem dat op elk moment klaar is om te worden gebruikt ­wanneer dat nodig? Of is dit slechts de eenvoudigste en ‘slimste’ manier om te voldoen aan de vereisten met betrekking tot een ­documentmanagementsysteem?

Door Gert Kogenhop, bcm+

Elke organisatie wordt blootgesteld aan risico’s, zoals ICT-uitval, een bedrijfsbrand, problemen met energievoorziening of extreem weer. Andere risico’s zijn meer branchespecifiek: van de chemische industrie tot softwareontwikkelaar, van bouwbedrijf tot datacenter, van gemeente tot bakkerij. Ook waar organisaties gevestigd zijn maakt een verschil; in de buurt van een luchthaven of naast een rivier, dijk of dam of bijvoorbeeld naast een chemische fabriek of een olie-opslag of een distributiecentrum. Risk ­Management, organisational en operational, is een must voor de organisatie en over het algemeen wordt dit redelijk goed beheerst en beheerd ­(gemanaged): vooral in grotere organisaties waar het gebruik van bijvoorbeeld Integrated Risk Management (IRM) software gebruikelijk is. Deze aanpak bestaat uit een reeks processen en procedures die de besluit­vorming en prestaties ondersteunen en verbeteren. Het geeft een geïntegreerd beeld van hoe goed een organisatie haar specifieke risico-set managet. De wereld – en specifiek onze (zakelijke) omgeving – verandert in een steeds hoger tempo, dus we moeten allemaal voortdurend onze ogen op de bal houden. Voorbeelden zijn de gevolgen van klimaatverandering, de Brexit, de ­handelsoorlog VS versus China, het coronavirus en de ontwikkelingen op cyber security-gebied. Denk bij dat laatste maar eens aan de gebeurtenissen bij de universiteit van Maastricht en vele andere recente situaties.

Onvoorbereid zijn is niet ­acceptabel

Tegenwoordig is iedereen afhankelijk van informatietechnologie. Als gevolg daarvan zijn informatiebeveiliging en gegevensbescherming belangrijke elementen waar aandacht aan moet worden besteed. De EU-richtlijn ‘Concerning measures for a high common level of security of network and information systems across the Union’ en de ‘General Data Protection Regulation’ (GDPR) zijn belangrijke drijfveren voor alle ­IT-gerelateerde disciplines. IT-afhankelijkheid maakt organisaties kwetsbaar en daarom moet dit worden aangepakt en gemanaged. ­IT-uitval, niet alleen technisch falen, maar ook het niet beschikbaar zijn van applicaties, netwerken en ‘het internet’ als gevolg van cyber­criminaliteit veroorzaakt een enorme verstoring en kan voor veel ­organisaties zelfs fataal zijn.

De wereld – en specifiek onze (zakelijke) omgeving – verandert in een steeds hoger tempo, dus we moeten allemaal voortdurend onze ogen op de bal houden.

Organisaties kunnen dus steeds vaker worden geconfronteerd met een crisissituatie als gevolg van een ernstige verstoring. Crisis­management en Business Continuity Management zijn voorwaarden voor een goed gemanagede organisatie en in sommige landen zelfs verplicht. ­Onvoorbereid zijn is niet acceptabel en ‘we zullen handelen wanneer het gebeurt’ is onverantwoordelijk en wordt zeker niet beschouwd als een ‘good business practice’.

Weerbaarheid en veerkracht

Organisaties moeten stabiel, robuust en tegelijkertijd ­veerkrachtig (resilient) en wendbaar (agile) zijn. Enige tijd geleden is de term ­Organisational Resilience geïntroduceerd, hoewel er nog geen overeenstemming is over hoe deze te definiëren. Gezien de complexiteit van het verband tussen onder meer resilience, risico en Business Continuity Management is het verstandig om met resilience te beginnen, omdat dit een overkoepelend karakter heeft. Als het gaat over resilience – weerstandsvermogen (weerbaarheid) en veerkracht – dan moet deze wel in de juiste context geplaatst worden. Hierna een aantal definities die voor het behoud van originaliteit in het Engels zijn.

Psychological resilience is the ability to mentally or emotionally cope with a crisis or to return to pre-crisis status quickly.

Computer networking resilience is the ability to provide and maintain an acceptable level of service in the face of faults and challenges to normal operation.

Material science resilience is the ability of a material to absorb energy when it is deformed elastically, and release that energy upon unloading. 

Organizational resilience (ISO 22316:2017) is the ability of an ­organization to absorb and adapt in a changing environment.

Organisational resilience (BS 65000:2014) is the ability of an ­organization to anticipate, prepare for, respond and adapt to ­incremental change and sudden disruptions in order to survive and prosper.

Als we vertrekken vanuit de laatste definitie, die iets specifieker is dan de ISO 22316, dan is nog niet geheel duidelijk waar risico en Business ­Continuity Management passen. Het Security and Continuity (SECO) Institute heeft hieraan een vervolg gegeven en een aantal disciplines samengebracht in wat zij noemen Business Resilience. De definitie ­daarvan, voortbordurend op de British Standard luidt:

Business Resilience is the ability of an organisation to anticipate, ­prepare for, detect, respond and adapt to substantial change and sudden ­disruptions in order to survive and prosper by integrating management systems that build resilience, and develop capabilities for an effective risk response that safeguards the interests of key interested parties and ­restores the organization’s capabilities.

Business Resilience is de integratie van een aantal disciplines of ­expertisegebieden, gecombineerd in een gezamenlijke inspanning om de toekomst van een organisatie veilig te stellen in de continu veranderende omgeving waarin deze opereert: de veerkracht van uw organisatie op het moment van een ernstige verstoring. Het gaat hier over het combineren van Risk Management (RM), Information Security en Data Protection (IS & DP), Business Continuity Management (BCM) en Crisis Management (CM) op het juiste niveau, met als doel een optimale uitvoering van de elementen te garanderen. 

Het is absoluut een uitdaging om de verschillende expertisegebieden optimaal te laten samensmelten, terwijl elk nog steeds in staat moet zijn onafhankelijk te werken. Wie is vervolgens de eigenaar van dit proces? Voor veel organisaties is dit onbekend terrein. Er moet aandacht worden besteed aan samenwerking, informatie-uitwisseling en het juiste niveau van (systeem)integratie.

Deze definitie van Business Resilience is essentieel voor het opbouwen van een veerkrachtige organisatie, want wat de doelen en doelstellingen ook zijn, dit is de kern van elk bedrijf. ‘Hoe’- en ‘Waarom’-elementen werden toegevoegd aan de British Standard definitie en de belangrijke term ‘detect’ werd toegevoegd, daar dit een ‘must have’ is voor mensen die werkzaam zijn in Information Security. Bij SECO Institute werd het woord ‘substantial’ in dit geval als een betere match ervaren dan ‘incremental’.

De belangrijkste redenen voor het combi­neren van deze vijf expertise­gebieden zijn:

  • Deze gecombineerde gebieden hebben al een gemeenschappelijke doelstelling: het beschermen van de activa van de organisatie en het veiligstellen van de toekomst.   
  • Het koppelen van de inspanningen is een kwestie van consistentie en coördinatie door afstemming, met tal van ­synergiemogelijkheden. 
  • De professionals die werkzaam zijn in deze vijf expertisegebieden zullen veel effectiever en efficiënter kunnen functioneren, terwijl zij nog steeds in staat zijn om onafhankelijk te werken en hun onpartijdigheid kunnen behouden voor die zaken waarvoor dit vereist is.

Een veerkrachtige organisatie

Uiteraard kunnen er andere elementen aan Business Resilience worden toegevoegd, bijvoorbeeld op basis van het feit dat organisaties zich in een specifieke branche bevinden. Zo moeten bijvoorbeeld banken rekening houden met specifieke wet- en regelgeving en eisen vanuit De Nederlandsche Bank en andere toezichthouders (bijvoorbeeld EU-­regelgeving en Bazel-akkoorden). Twee belangrijke elementen die ‘naar voren zijn gekomen’ (als gevolg van de Sarbanes-Oxley Act van 2002) naast het reeds behandelde element van Risicomanagement zijn ­Governance and Compliance. Deze twee moeten ook worden opgenomen, wanneer ze van toepassing zijn. In de voedselindustrie zijn er specifieke kwaliteit en ‘food safety manu­facturing’ regelingen (bijvoorbeeld BRC, IFS en ISO 22000) en ‘product fraud’ elementen die kunnen worden toegevoegd voor een optimale invulling. In de chemiesector zijn er veel lokale eisen en bijvoorbeeld OSHA-eisen. 

Vanuit dit perspectief kan Business Resilience gezien worden als een soort ‘Joint Crisis Fighter’, zoals de JSF, de nieuwe ‘Joint Strike Fighter’ (de F-35), die informatie sneller kan verzamelen én delen dan welk ander vliegtuig dan ook. Vanzelfsprekend dien je voorzichtig om te gaan met vergelijkingen, maar het verzamelen en delen van informatie is wel de kern van een veerkrachtige organisatie. 

Samenwerken, informatie delen en integratie 

Het verzamelen en delen van informatie tijdens bijvoorbeeld een cyber­incident, de samenwerking van inspanningen tussen het Crisis Management Team (CMT), het Cyber Security Incident Response Team (CSIRT) en het Business Continuity Management Team (BCMT), is cruciaal en van het grootste belang, net als tijdens elke andere vorm van ver­storing die van invloed is op de levering van geprioriteerde producten en diensten. In de ISO 22301:2019 Business Continuity Management Systems – Requirements (hoofdstuk 8.3.4) standaard is een lijst opgenomen van soorten benodigde middelen, die ten minste moeten worden bepaald om geselecteerde strategieën te kunnen implementeren. Dit zijn in ieder geval:

  1. mensen;
  2. informatie en gegevens;
  3. fysieke infrastructuur zoals gebouwen, werkplekken of andere ­faciliteiten en bijbehorende voorzieningen;
  4. uitrusting en verbruiksmaterialen;
  5. systemen voor informatie en ­communicatietechnologie (ICT);
  6. transport en logistiek;
  7. financiën;
  8. partners en leveranciers.

In het geval van een cyberincident zijn er nog een aantal specifieke ­elementen die op z’n minst ook aandacht verdienen. Dit zijn:

  1. beveiliging van (persoonlijke) informatie/gegevens;
  2. wet- en regelgeving;
  3. merk en reputatie; en
  4. communicatie met belanghebbenden en de media.

Bij het over elkaar leggen van deze elementen en daaraan gerelateerde activiteiten over de drie teams die betrokken zijn bij een cyberincident – CMT, CSIRT en BCMT – is het duidelijk dat er elementen en middelen zijn die teamspecifiek zijn. Zo worden merk en reputatie en communicatie met belanghebbenden en media beheerd door de CMT en beveiliging van (persoonlijke) informatie/gegevens door de CSIRT. Aan middelen ­gerelateerde activiteiten met betrekking tot de fysieke infrastructuur, zoals ­gebouwen, werkplekken of andere faciliteiten en bijbehorende voorzieningen, uitrusting en verbruiksmaterialen plus transport en logistiek worden beheerd door de BCMT. Alles in overeenstemming met hetgeen hiervoor vermeld aangaande de behoefte – en vaak een vereiste – om zelfstandig, onafhankelijk en onpartijdig zaken uit te kunnen voeren. 

Het artikel gaat door op de volgende pagina

- advertentie -