Ondanks het belang van Business Continuity & Disaster Recovery (BC/DR) voor de hele onderneming, is het vaak alleen een onderwerp dat de aandacht van de automatiseringsafdeling trekt. De markt voor BC/DR zit wel in de lift, want uit recent onderzoek blijkt dat 65% van de IT-beslissers het upgraden van beveiliging en BC/DR capaciteiten tot de belangrijkste prioriteiten in 2007 vindt horen. Wij interviewden Forrester onderzoeker Bill Nagel over het aanpakken van Business Continuity & Disaster Recovery binnen de onderneming.
Kun je onze lezers uitleggen hoe Forrester aan hun voorspellingen en onderzoeken komt? Hoe kiezen jullie de doelgroep en hoe voeren jullie je onderzoeken uit?
Nagel: Er zijn verschillende onderzoeksmethodes die we gebruiken. We maken gebruik van reguliere ingeplande onderzoeken om gegevens te verzamelen over welke technologie en zakelijke onderwerpen belangrijk zijn voor consumenten, bestuurders en andere beslissers binnen ondernemingen en het MKB. We gebruiken ook briefings van vooraanstaande vendors zodat we up to date blijven wat betreft de nieuwste ontwikkelingen op IT gebied. Het belangrijkste is echter dat we naar onze klanten luisteren, onze doelgroep, hun vragen beantwoorden, hun interviewen om te ontdekken welk zakelijke en technische dingen hen problemen geven, en proberen om die problemen op te lossen. De meeste Forrester analisten hebben een lange ervaring in de onderwerpen waar ze over schrijven. Dit geeft ons een lange-termijnperspectief op de technologie markt en industrie.
De meeste MKB bedrijven doen niets aan BC/DR. Komt dit door een gebrek aan interesse of een krap budget en hoe kunnen bedrijven met een klein budget hun BC/DR eigenschappen verbeteren?
Nagel: Zelfs bedrijven met een klein budget hebben een verzekering nodig, en dat is in dit geval niet anders. Er zijn verschillende redenen: onwetendheid, onverschilligheid en een gebrek aan middelen spelen zeker een belangrijke rol. De meeste MKB bedrijven gaan ervan uit dat dit alleen een technisch (lees: duur) probleem is, maar dat is slechts gedeeltelijk waar. Het is ook een vraag van mensen en processen. Aan de technische kant zijn er managed service providers die bedrijven kunnen helpen met backuppen van gegevens en andere technische problemen. Het meest kost efficiënte dat bedrijven met een krap budget kunnen doen is dat ze systematisch en rationeel hun niveau van risico evalueren, hiervoor een plan en policies ontwikkelen, personeel trainen en het plan testen. Technologie is slechts een onderdeel.
RFID technologie is nog niet populair bij Europese bedrijven, en getuige het onderzoek van Forrester zullen veel bedrijven het niet in de nabije toekomst uitrollen. Kun je deze aversie tegen RFID uitleggen, omdat het juist een technologie met zoveel commerciële voordelen en toepassingen is?
Nagel: Uit onze gegevens blijkt dat bedrijven het uitrollen van RFID geen belangrijk IT onderwerp vinden, maar dat wil niet zeggen dat ze het niet zullen gebruiken. RFID een fantastische tool voor logistiek management, en ik ben er zeker van dat er nog veel meer toepassingen worden gevonden, maar ik ben geen expert op het logistiek gebied. Vanuit een beveiligingsperspectief denk ik dat bedrijven zich voornamelijk zorgen maken over de mogelijkheid om RFID tags te spoofen en zo fraude te plegen.
Op welke manier verschilt BC/DR van de normale beveiligingsomgeving. Zou BC/DR geen integraal onderdeel van de beveiligingsaanpak van een bedrijf moeten zijn?
Nagel: BC/DR is in feite een discipline die zich bevindt op de kruising tussen beveiliging en IT operations: Zorg ervoor dat je gegevens veilig en beschikbaar zijn is het security gedeelte, en ervoor zorgen dat een ramp of ander ongelukkig incident niet je IT diensten hindert is het gedeelte van de IT operations. Dus ja, BC/DR zou een integraal onderdeel van de beveiligingsaanpak moeten zijn, maar het is ook een integraal onderdeel van datacentrum strategie, IT operations, change management processen, en zakelijke processen en risk management strategieën.
In het BC/DR rapport van Forrester wordt gesteld dat managers realistische eisen moeten stellen in plaats van brede generalisaties zoals “geen dataverlies” of “geen onbeschikbaarheid”, maar is het niet de taak van een manager om een hoge uptime te eisen? Het schiet niet op als je realistische eisen stelt, zoals een uptime van 98% en de dingen gaan mis, en IT zegt: ‘sorry, dit is onderdeel van onze verwachte 2% downtime’
Nagel: De sleutel hier is het laten aansluiten van de verwachtingen op de IT competentie. Als een bedrijf veel geld verliest vanwege downtime van haar systemen of dataverlies, dan is het zinvol om veel geld aan een goede oplossing uit te geven . Dit is echter niet voor de meeste bedrijven het geval. Wij adviseren bedrijven om eerst te bekijken hoeveel ze dan verliezen en hoeveel downtime ze zich kunnen veroorloven, bekeken per systeem, per service en per proces.
Om een eenvoudig voorbeeld te geven, stel dat een bedrijf een eCommerce systeem heeft dat alle inkomsten genereert en een ander systeem voor interne taken heeft. Het eerste systeem eist een uptime van bijna 100% en dataverlies van 0%. Het tweede systeem kan 2% downtime hebben en ook af en toe dataverlies. Het is dus zinvoller om het eerste dan het tweede systeem te beschermen. We raden bedrijven aan om bewuste, rationele risk assessments te maken, en dan hun oplossing hier op af te stemmen.
Forrester zegt dat het verkrijgen van budget voor IT beveiliging met feiten en niet met FUD gedaan moet worden, maar hoe denk je een budget te krijgen als het management in de eerste plaats het belang van BC/DR niet eens inziet?
Nagel: Wat we proberen te doen is het ontwikkelen van een framework van best practices. Natuurlijk, de beste intenties en best practices kunnen niet altijd geïmplementeerd worden. Het is niet eenvoudig om het bewustzijn te verhogen en ervoor te zorgen dat mensen de ernst van het probleem begrijpen zonder ze bedreigd te laten voelen. In sommige gevallen is het nodig om het management bang te maken zodat ze BC/DR implementeren, omdat iets beter is dan niets. Goed bekeken zal de FUD aanpak vroeger of later terugslaan, en systemen zullen dan vanwege een gebrek aan ondersteuning en budget verslechteren, omdat het bestuur en beslissers niet meer bang zijn.
Kun je iets vertellen over bedrijven die geen BC/DR strategie hadden. Hoe gingen zij met een incident om?
Nagel: Voor dit onderzoek spraken we alleen met bedrijven die een BC/DR strategie hadden. Maar als de data verdwenen is, is die ook echt weg, en je kunt downtime niet altijd goed maken. Bedrijven die voldoende middelen hadden om de financiële gevolgen hiervan op te vangen, zullen uiteindelijk terugkomen, maar het kan een lang en moeilijk proces zijn. Kleinere bedrijven met minder middelen zijn vaak helemaal niet in staat om te herstellen.
Veel bedrijven praten over BC/DR, maar weten niet hoeveel het hen kost als ze met een incident te maken krijgen. Zou dit niet de eerste stap moeten zijn in het bepalen van de nodige stappen om BC/DR te implementeren?
Nagel: Absoluut! Zoals we in het onderzoek aangeven, is dit de eerste stap om het proces in de juiste kant op te sturen, en het uiteindelijk een succes te maken. Als je niet weet waar je data is, wat het doet, en hoeveel het waard is, dan kan je het probleem niet op de juiste manier aanpakken.
Hoe kun je ervoor zorgen dat IT BC/DR niet als een saai, verplicht onderdeel van de job ziet, maar als een leuke en interessante ervaring?
Nagel: Helaas kunnen onze banen niet altijd leuk en interessant zijn. Het patchen van systemen is ook saai, maar moet wel gedaan worden. Hoewel BC/DR een verplicht ding is om te doen en het lastig kan zijn, ben ik het er niet mee eens dat het per definitie saai is. Je moet juist de mensen vinden die graag risico’s analyseren, een strategie willen uitstippelen en problemen willen oplossen.
Deze posting is gelocked. Reageren is niet meer mogelijk.