De impact van een incident, hoe ga je daar mee om?

Heel veel ondernemingen realiseren zich niet wat het (op IT-gebied) voor impact kan hebben als er een incident plaatsvindt, laat staan dat ze een plan hebben om negatieve gevolgen te voorkomen. Het spreekt natuurlijk voor zich dat ik iedereen adviseer hier zo snel mogelijk mee aan de slag te gaan. In deze blog ga ik dieper in op het uitvoeren van een BIA (Business Impact Analysis), die mogelijke incidenten en gevolgen in kaart brengt.

Bij het onderzoeken van de risico’s die je loopt als onderneming, kun je onderscheid maken in oorzaken waar je vooraf over na kunt denken en oorzaken die je simpelweg niet had kunnen voorzien. Een voorbeeld van een oorzaak die je niet had kunnen voorzien, is een aardbeving (althans, in Nederland). Hoewel dit vandaag de dag iets vaker aan de hand is, had niemand in Groningen er pakweg 15 jaar geleden bij stil gestaan dat het kon gebeuren, laat staan dat men een plan van aanpak had voor de gevolgen van dit probleem.

Ontruiming
Een meer voor de hand liggend voorbeeld is wateroverlast. Nederland is een heel waterrijk land. Daarom is overstromingsgevaar een calamiteit waar zeker rekening mee gehouden dient te worden. Maar zelfs voor gebieden in de omgeving van een dijk is het lastig inschatten of er iets mis kan gaan en hoe groot het gebied is dat daar last van ondervindt. In 1995 was de situatie bijvoorbeeld zo nijpend, dat de gemeente Culemborg tot ontruiming overging, een groot bedrijf als het Centraal Boekhuis zal dat waarschijnlijk niet van te voren bedacht hebben. Hetzelfde geldt voor andere bedrijven in de regio die hun deuren tijdelijk moesten sluiten en risico liepen op waterschade aan het pand en alles dat zich daarin bevond.

Als er iets misgaat
Het voorbeeld van de evacuatie laat zien dat voorzorgsmaatregelen van belang zijn. Maar hoe te reageren als er daadwerkelijk iets misgaat? Recent nog hebben we in Amsterdam een breuk gehad van een waterleiding, wat tot een totale evacuatie van het VUmc leidde. In korte tijd is er snel opgeschaald en zijn er diverse leveranciers betrokken geweest bij de hulpverlening.

waterschade       waterschade
Het ziekenhuis moest twee weken dicht, nadat een breuk in een waterleiding voor enorme schade zorgde. Door de wateroverlast moest het VUmc op dinsdag 8 september alle (meer dan driehonderd) patiënten evacueren. Die zijn naar andere ziekenhuizen gebracht en in de twee weken dat het ziekenhuis gesloten was, werkte men met man en macht om de zaken te herstellen. Daarbij moest er aandacht zijn voor allerlei zaken, waaronder ook de IT-infrastructuur.  Alle technische voorzieningen in het ziekenhuis werden opgestart en uitvoerig getest. Toen dat proces werd afgerond gaf de raad van bestuur het groene licht om het ziekenhuis weer te openen.

Noodvoorzieningen
In een ziekenhuis is het natuurlijk van groot belang dat noodvoorzieningen werken. Het VUmc testte na de wateroverlast tussentijdse, tijdelijke voorzieningen, die er voor moeten zorgen dat de infrastructuur in het ziekenhuis optimaal werkt en blijft werken. Het gaat hier dan om onder andere de watervoorziening, behalve koud en warm stromend water is bij de behandeling van patiënten ook stoom en gezuiverd water nodig. Ook test VUmc alle elektrische apparatuur en liften, die tijdens de sluiting enkele dagen geheel uitgeschakeld zijn geweest

Business Impact Analysis
Het voorbeeld laat zien dat het inschatten van de kosten om een calamiteit te voorkomen dan wel op te lossen nooit een makkelijke taak zal zijn. Het accepteren van de risico’s of zelfs een verzekering daarvoor af te nemen is een overweging. Er bestaan hiervoor 2 erkende methodes. Eén waarbij op basis van ervaring een inschatting gemaakt wordt en een andere methode die alle assets benoemt, indexeert en op basis van statistieken een waarde koppelt. Ik vind het overigens getuigen van daadkrachtig optreden van het VUMC om zo snel te evacueren en de situatie verder op te lossen.

Ik denk dat het een goede ontwikkeling is als organisaties zich voorbereiden op dit soort business impact-gerelateerde issues, want in de toekomst gaat dit vaker voorkomen. Je kunt de keuze maken om dit in overeenkomsten met leveranciers en derden vast te leggen, verzekeringen af te nemen of zelf te zorgen dat er capaciteit is om migratie neer te zetten. De manier waarop, daarover kun je van mening verschillen. Het is in ieder noodzaak dat er een doordacht aanvalsplan wordt opgesteld.