Edward Roozenburg: Bedrijfscontinuïteit is meer dan IT
Door Edward Roozenburg, Senior Risk Management Consultant, Probability & Partners
Bij een cyberincident vragen bestuurders vaak als eerste: ‘Werkt alles nog? Kunnen klanten inloggen? Kunnen betalingen doorgaan? Zijn de kernapplicaties beschikbaar?’ Het zijn logische vragen. Maar ze zijn niet genoeg.
Continuïteit gaat namelijk niet alleen over systemen. Het gaat over de vraag of een organisatie onder druk haar belofte aan klanten, deelnemers of polishouders kan blijven waarmaken. Die vraag is breder dan IT en vaak ook moeilijker te beantwoorden.
Neem een fictieve verzekeraar. Laten we haar BestAssurance noemen.
BestAssurance heeft de IT op orde. De polisadministratie draait stabiel. Het schadeplatform is beschikbaar. Het klantportaal werkt. De telefonie doet het. De uitwijkomgeving is getest. In rapportages staat dat de belangrijkste processen zijn geborgd. Op papier lijkt de continuïteit goed geregeld.
Dan ontstaat er een incident. Geen ransomware. Geen systeemuitval. Geen versleutelde bestanden. Een externe dienstverlener die klantcommunicatie verwerkt, blijkt slachtoffer van een datalek. Het gaat om namen, contactgegevens, polisnummers en enkele klantkenmerken. Juridisch is het incident beheersbaar. Technisch is er geen verstoring. Alle systemen van BestAssurance draaien door.
Maar… Binnen enkele uren komen de eerste vragen binnen. Klanten willen weten of zij geraakt zijn. Sommigen vragen welke gegevens precies zijn gelekt. Anderen willen woedend hun polis opzeggen. De klantenservice kan de eerste dag nog goed reageren. Daarna loopt de werkvoorraad snel op. Niet omdat medewerkers hun werk niet doen, maar omdat het gewone werk blijft liggen terwijl het incidentwerk erbij komt.
Nieuwe schadeclaims worden nog steeds geregistreerd, maar de beoordeling duurt langer. Niet door een applicatieprobleem, maar door capaciteitsschaarste. Communicatie werkt aan klantbrieven en interne instructies. Juridische zaken beoordeelt formuleringen. Compliance vraagt om aantoonbaarheid. Riskmanagement wil een feitenrelaas. De directie wil updates. De toezichthouder stelt aanvullende vragen. De externe dienstverlener kan nog niet alle details geven.
Ondertussen functioneren de applicaties nog steeds. Het IT-dashboard kleurt groen.
De werkvoorraad bij klantcontact is inmiddels verdubbeld. Klachten blijven langer liggen. Medewerkers krijgen boze klanten aan de lijn en worden voorzichtiger in hun antwoorden. Daardoor duren gesprekken langer. De wachttijd loopt verder op. Op sociale media verschijnen berichten dat BestAssurance te traag en te vaag communiceert. Een consumentenprogramma vraagt om een reactie.
Het probleem is niet de haperende IT. Het probleem is evenmin dat BestAssurance geen continuïteitsplan heeft. Het probleem is dat het plan vooral is geschreven voor technische verstoringen. Het bevat scenario’s voor uitval van het schadeplatform, onbeschikbaarheid van het kantoor en problemen bij de cloudprovider. Er staat in wie de crisismanager is en welke applicaties prioriteit hebben bij herstel.
Maar het plan geeft nauwelijks antwoord op andere vragen. En dat overkomt ook instellingen in de echte wereld. Business Impact Analyses en businesscontinuïteitsplannen regelen in de praktijk heel goed de activiteiten om de continuïteit van systemen te borgen. Maar vragen als welke processen kritiek worden als de klantvraag plotseling verdrievoudigt, welke werkzaamheden tijdelijk mogen worden afgeschaald, welke medewerkers vrijgemaakt kunnen worden zonder nieuwe risico’s te creëren en wanneer reputatieschade een continuïteitsrisico wordt komen niet of maar beperkt aan bod. Juist deze zaken raken de kern van wat er werkelijk gebeurt als een organisatie onder druk komt te staan.
Een incident hoeft geen proces stil te leggen om de organisatie te ontregelen. Het kan voldoende zijn dat klantcontact, communicatie, juridische beoordeling en bestuurlijke besluitvorming tegelijk onder druk komen te staan.
Bij BestAssurance ontstaat de echte continuïteitsdreiging dus niet op de server. Zij ontstaat in de werkvoorraad. In de wachtrij. In het verschil tussen wat klanten verwachten en wat de organisatie op dat moment betrouwbaar kan leveren. En in reputatieschade die ontstaat doordat de organisatie wel werkt, maar niet zichtbaar genoeg handelt.
Dat vraagt om een andere manier van kijken naar BIA en businesscontinuïteitsplanning. Niet alleen: welke applicatie ondersteunt welk proces? Maar ook: welke belofte doen wij aan klanten? Welke capaciteit is nodig om die belofte onder druk waar te maken? Welke externe afhankelijkheden kunnen een incident veroorzaken zonder dat onze eigen systemen falen? Welke signalen vertellen ons dat continuïteit onder druk staat, voordat het bestuur het merkt aan klachten, media of toezicht?
Natuurlijk blijft de klassieke continuïteitsvraag relevant. Hoe snel kunnen wij herstellen? Maar daar moet een tweede vraag naast staan. Hoe lang kunnen wij verantwoord blijven functioneren als alles technisch werkt, maar de organisatie bestuurlijk, operationeel en communicatief overbelast raakt?
Financiële instellingen worden niet alleen beoordeeld op beschikbaarheid van systemen. Zij worden beoordeeld op vertrouwen, zorgvuldigheid en voorspelbaarheid wanneer het spannend wordt. Continuïteit eindigt dus niet bij de constatering dat de systemen beschikbaar zijn. Daar begint zij pas.
