Wat was de impact van 9/11 op de ICT-sector?

Het gebeuren van tien jaar geleden heeft niet alleen menselijk leed veroorzaakt. Nadat de eerste hulp was gegeven aan de vele slachtoffers, werden tientallen bedrijven pijnlijk acuut geconfronteerd met een meer dan levensgrote uitdaging rond ‘disaster recovery’ en ‘business continuity’.

Het gebeuren van tien jaar geleden heeft niet alleen menselijk leed veroorzaakt. Nadat de eerste hulp was gegeven aan de vele slachtoffers, werden tientallen bedrijven pijnlijk acuut geconfronteerd met een meer dan levensgrote uitdaging rond ‘disaster recovery’ en ‘business continuity’. Ict speelde daarin een bijzondere rol, aangezien het schier allemaal ‘services’-gerichte bedrijven betrof in de bancaire, verzekerings- of gerelateerde sectoren. Voor de meeste bedrijven vormde ict dan ook het fysieke onderdeel van hun productieomgeving.

Te licht bevonden Meteen bleek dat de business continuity-plannen vaak niet op de diepgang van de ramp waren voorbereid. Zo was er een bedrijf dat keurig zijn huiswerk had gedaan, met een primaire telecomleverancier en een andere leverancier als back-up. Helaas bleken allebei de leveranciers op hun beurt gebruik te maken van een zelfde switching installatie…. in één van de WTC torens. Een ander bedrijf had een aantal verwerkingscentra in die buurt, die onderling als fall-back faciliteit fungeerden. Een goede aanpak, ware het niet dat die dag al die centra in die buurt tegelijk onbeschikbaar werden.

Bovendien was het één klus om de verwerkingscapaciteit van het back-office te recreëren, maar nog een andere uitdaging om voor alle werknemers ook een end-point werkplek te voorzien. Niet makkelijk als daarvoor ruimte in andere vestigingen moest worden gevonden…en als die vestigingen ook niet meteen bereikbaar waren door de verstoring van het (vlieg)verkeer. Thuiswerken was natuurlijk een mogelijkheid, maar ook hier moesten aspecten als de nodige telecomcapaciteit, evenals beveiliging van de endpoints worden overwogen. Ook teleconferentie werd even erg populair, maar de beschikbare capaciteit en installaties waren beperkt, zodat niet meteen aan de plotse vraag kon worden voldaan.

Nog steeds te licht Je zou kunnen hopen dat in de 10 jaar sinds 9/11 de bedrijven een meer realistische en doordachte aanpak van ‘business continuity’ hebben nagestreefd. Ook al omdat doorheen de jaren er voldoende voorvallen op grote schaal waren die de nood aan een business continuity plan is de verf hebben gezet. We denken aan de hyperactieve vulkaan in IJsland, de recente aardbeving in Japan, maar ook de dreiging van de vogelgriep (die uiteindelijk en gelukkig geen werkelijkheid werd). Nog losstaande van de voorvallen waarin individuele bedrijven door een ramp, of een zware hacking aanval werden getroffen. We kunnen helaas slechts constateren dat voor al te veel bedrijven er niet echt veel vooruitgang is geboekt, met de perikelen van de kerncentrales in Fukushima slechts als meest recente orgelpunt.

Telkens weer blijkt dat bedrijven moeten leren hun risico-inschatting grondiger, met meer diepgang, uit te voeren. Dat business continuity meer is dan het voorzien in een nieuw stuk hardware en het installeren van een (hopelijk bruikbare) backup-copie. Je moet starten van processen, de bijhorende personen en de nodige (lees: voldoende) middelen, om te komen tot een scenario dat echt werkt. Een scenario dat leidt tot het verderzetten van de activiteit op het best mogelijke niveau, met oog voor alle noodzakelijke diensten en processen. Een ‘wat wil/moet/kan ik doen’ in verschillende omstandigheden en voor verschillende dreigingen. En van dat alles kan je slechts zeker zijn als je dat scenario ook in de praktijk test, steeds weer bijwerkt en telkens weer test!

Breed en diep nadenken 9/11 en de latere voorvallen leren dat externe rampen op grote schaal zich kunnen en zullen voordoen. Dat je het overleven van een bedrijf zo diep mogelijk in zoveel mogelijk aspecten moet doordenken. Voor ict betekent dat hardware, software, telecom, maar ook de toegang tot dat alles door de eigen medewerkers, inclusief het gebruik ervan door de rest van het ‘ecosysteem’ van het bedrijf, zoals leveranciers en klanten. Denk breed, zo breed en diep mogelijk, maar wel met een gezonde kosten/baten insteek. ‘Overkill’ is al even onzinnig als het veronachtzamen van business continuity.

Denk aan dat alles, als je bijvoorbeeld de overstap naar meer ‘cloud’ overweegt. Vraag de leveranciers ervan meer informatie dan enkel een mooie SLA-belofte op papier (met in het achterhoofd de bedenking dat alle grote cloudleveranciers al eens zwaar zijn ‘down’ gegaan). Leg hen op de rooster inzake hun operationele praktijken, hun eigen business continuity, hoe de ‘governance’- en ‘compliance’-noden van u, de klant, worden beschermd. Een overstap naar de cloud kan overigens helpen om een meer robuuste business continuity op te zetten, maar check toch maar even of je niet van de regen in de drup verzeilt.

En bovenal, laat u adviseren als je er niet meteen uitkomt tijdens het opstellen of bijwerken van een business continuity plan. Als je een verzekering afsluit, laat je een en ander toch ook eerst inschatten door een expert. Een goede business continuity kan het verschil maken tussen ‘even een moeilijke periode doormaken’ en een ‘plotse faling’. Reden te over om er toch even rustig en diepgaand over na te denken. 9/11 is heus een goede aanleiding om daar vandaag even bij te gaan zitten.