Gewapende conflicten, klimaatverandering, verschillende crises: instabiliteit sluipt in bedrijven en hun IT-afdelingen. Om dit aan te pakken, maakt het VUCA-model geleidelijk plaats voor de BANI-strategie. Een woordje uitleg.
Acroniemen als VUCA worden gebruikt in leiderschapscursussen om de wereld te omschrijven. VUCA ontstond in 1987 in een wereld na de koude oorlog. Het begrip beschrijft een omgeving die wordt gekenmerkt door – in het Engels – ‘Volatility’ (snelle en onvoorspelbare veranderingen), ‘Uncertainty’ (de moeilijkheid om toekomstige gebeurtenissen te voorspellen), ‘Complexity’ (de onderlinge afhankelijkheid tussen gebeurtenissen en de explosie aan informatie) en Ambiguity (het is schier onmogelijk om de massa aan beschikbare informatie en regelgeving te interpreteren).
Maar dat begrip is ondertussen achterhaald, zo zegt Christian De Boeck, manager bij Synergit en BCI Chapter Leader voor België: ‘Wie had zich de impact van de oorlog in Oekraïne op de toeleveringsketen of de explosie van douanetarieven opgelegd door Trump kunnen voorstellen, om nog maar te zwijgen van de inzet van artificiële intelligentie om de massa aan informatie die we tot onze beschikking hebben te beheren zonder te begrijpen hoe het werkt.’ Het BCI of Business Continuity Institute brengt professionals samen om over continuïteit en veerkracht na te denken.
BANI als antwoord
Geconfronteerd met een opeenvolging van crisissen met meerdere dimensies (in de logistiek, sociale sfeer, energie, milieu en zelfs geopolitiek), lijkt het VUCA-model niet langer toereikend. De oorzaak is het ontstaan van situaties die niet langer alleen instabiel, maar zelfs chaotisch zijn. Vandaar de opkomst van het BANI-concept: B voor ‘brittle’ (broos of fragiel), wetende dat systemen en structuren steeds instabieler en precairder worden; A voor ‘anxious’ (angstig) voor zover onzekerheden angst en nervositeit met zich meebrengen; N staat voor ‘non linear’, omdat niets meer zeker of vooraf inschatbaar is, met oorzaak-gevolgrelaties die onduidelijk zijn; en I staat voor ‘incomprehensible’, waarbij gebeurtenissen logica missen of moeilijk te verklaren zijn.
‘Het gebruik van de term VUCA om de realiteit te beschrijven, wordt steeds irrelevanter’, concludeert Jamais Cascio, lid van het Institut du Futur. ‘Een systeem volatiel of dubbelzinnig verklaren leert ons niets nieuws. Situaties zijn niet langer alleen instabiel, maar chaotisch.’
Van bedrijfscontinuïteit naar operationele veerkracht
Voor de IT-afdeling betekent het managen van deze chaotische situaties de overstap van een bedrijfscontinuïteitsstrategie (BC) naar een aanpak van operationele veerkracht. ‘We moeten het idee van disaster recovery loslaten om ons voor te bereiden op elk type situatie, met name een aanval’, vervolgt Christian De Boeck. Vandaar een strategie gebaseerd op teamwork en cross-functionaliteit, met een drieledige aanpak: retrospectief, perspectief en prospectief.
Om de IT-afdeling en het management te helpen bij het maken van hun keuzes, zijn er diverse wetten en regels ontstaan, met name op Europees niveau. Deze omvatten de DORA (Digital Operational Resilience Act), de CRA (CyberResilience Act), de NIS-2 (Network and Information Systems), de CER (Critical Enterprise Resilience), de AI Act, de Cloud Act, de ISO- en CSRD-normen en de Sustainable Development Goals van de VN (over duurzaamheid).
Een verontrustende realiteit
In zijn rapport uit 2024 over cyberweerbaarheid merkt het BCI op dat bedrijven nog steeds vaak worden blootgesteld aan cyberrisico’s. Zo’n 21,8% van hen geeft toe ‘slechts’ 1 tot 5 cyberincidenten te hebben gedetecteerd in de afgelopen 12 maanden. Maar 13,9% detecteert jaarlijks meer dan 1.000 incidenten! En nog zorgwekkender is dat 25,7% zegt het aantal aanvallen dat ze hebben ondergaan niet te kunnen kwantificeren. 36,7% bevestigt echter een aanzienlijke toename van het aantal cyberaanvallen te hebben geregistreerd en 37,8% een ‘zekere toename’.
Bovendien geeft het BCI Crisis Management Report 2024 aan dat extreme weersomstandigheden voor 38,5% van de bedrijven een groot risico vormen, terwijl 27,6% een fout van derden (met name in de toeleveringsketen) noemt. 27,6% ziet een groot risico in een cyberaanval, 19% in een gewapend conflict, vandalisme of activisme, 14,4% in een natuurramp en 14,4% in een datalek.
Kortom, anticipatie wordt steeds belangrijker…