Status en belang van Business Continuity in 8 branches
Tijdens de Coronacrisis hebben veel organisaties zich moeten aanpassen aan een nieuwe situatie, met alle gevolgen van dien. Kiveron beschrijft in een artikel van KPMG (Business Continuity Management in 2020) dat thuiswerken in de praktijk zorgt voor meer aandacht voor HR-management met de vraag naar nieuwe IT-oplossingen en daarbij horende security-maatregelen.
Dit komt doordat mensen het afgelopen jaar opeens thuis moesten werken (wat een nieuwe set risico’s met zich meegebracht) waarop organisaties niet altijd voldoende op hadden geanticipeerd. Denk bijvoorbeeld aan een onbeveiligd thuisnetwerk. Een belangrijk probleem dat in het artikel naar voren komt, is dat veel organisaties de kans op operationele “staart-risico’s”, ook wel bekend als “black swans” (onverwachte gebeurtenissen die niemand van tevoren heeft zien aankomen of voorspeld), onderschatten. Voorbereid zijn op het onverwachte begint een belangrijke factor te worden voor de risicoplanning.
Tevens viel ons op dat organisaties meer behoefte hebben aan een duidelijk, goed voorbereid en overzichtelijk continuïteitsplan voor hun kritieke processen. Om te leren en verifiëren wat de status van Business Continuity is en welk belang eraan gehecht wordt, heeft Meridion een onderzoek laten uitvoeren door Saxion studenten naar Business Continuity in acht verschillende branches:
- Zorg
- Gemeenten
- Woningcorporaties
- Automotive
- Aero
- Onderwijs
- Retail
- Logistiek
Doorgaans worden kritieke processen van een organisatie en de continuïteit hiervan beschreven in een Business Continuity Plan (BCP). Dit plan wordt tijdens een incident of verstoring geraadpleegd, met als doel adequate maatregelen te treffen om de impact op de kritieke processen te minimaliseren en de bedrijfscontinuïteit zoveel mogelijk te kunnen waarborgen.
De hoofdvraag van het onderzoek
De hoofdvraag is: waar moet op gelet worden bij het opstellen van een Business Continuity Plan en is dit voor verschillende branches anders?
Om de hoofdvraag van het onderzoek te kunnen beantwoorden, zijn eerst de verschillende branches vergeleken. Wat opviel is dat er per branche verschillen zijn als het gaat om de voorbereiding, geïnvesteerde tijd en kennis van (het belang van) Business Continuity. Ook is te zien dat de branches Gemeenten, Zorg, Onderwijs en Logistiek zich anders opstellen dan de andere branches wat betreft cybersecurity en/of het bewustzijn hiervan. Dit kan worden verbeterd. Er kwam namelijk naar voren dat dit het gevolg is van te weinig aandacht schenken aan cybersecurity of de negatieve ervaring rondom het (verder) integreren van IT-systemen. Echter, de onderwerpen cybersecurity en bewustzijn (het kennen en herkennen ervan) zijn belangrijk om in alle branches te borgen.
Tijdens het onderzoek viel ook op dat Business Continuity Management een gevoelig onderwerp is. Bedrijven praten er namelijk niet graag over. Misschien omdat het de zwakheden van een organisatie toont? Zonde, want zonder er periodiek en kritisch naar te kijken, wordt het ook niet verbeterd en kan een opgesteld Business Continuity Plan verouderd zijn (niet meer passen bij de organisatie).
Het onderzoek is na interviews, literatuuronderzoek en veel overleg afgerond, waardoor we de hoofdvraag kunnen beantwoorden.
Waar moet op gelet worden bij het opstellen van een Business Continuity Plan en is dit voor verschillende branches anders?
Bij het opstellen van een Business Continuity Plan en het implementeren en onderhouden van Business Continuity Management verdienen de volgende onderwerpen (meer) aandacht binnen organisaties:
1. Creëren van betrokkenheid bij management
Het is van belang dat het management betrokken is bij Business Continuity en toestemming geeft acties uit te laten voeren. Het management is uiteindelijk ook eindverantwoordelijk. Maatregelen kosten geld en tijd, die door het management gebudgeteerd moeten worden. Het is belangrijk dat het management de noodzaak erkent van Business Continuity Management in de organisatie.
2. Medewerkers bewust maken van cybersecurity
De wereld digitaliseert, wat nieuwe kansen, maar ook zeker risico’s met zich meebrengt. Medewerkers zijn zich hier niet altijd van bewust. Uit het literatuuronderzoek blijkt namelijk dat cybersecurity één van de grootste dreigingen is voor veel branches. Een aantal respondenten van de interviews benoemde specifiek dat zij verwachten dat cybersecurity de komende jaren steeds belangrijker voor hen wordt. In een artikel van Gompel uit 2020 vertelt Loren Roosendaal, directeur van het Center for Digital Transformation aan de Nyenrode Business University, dat 95% van alle hacks komt door medewerkers en dat slechts 5% te wijten is aan software- of beveiligingsfouten. Ook het onderzoek uit 2021 ‘How Health Care Providers Can Thwart Cyber Attacks’ van Boston Consulting Group, toonde aan dat 77% van de hacks binnen de zorg gevolg waren van menselijk falen. Het is dus belangrijk om personeel bewust te maken van cybersecurity.
3. Proactief risico’s identificeren voor specifieke processen en assets
Bepaal proactief welke bedrijfsprocessen en -middelen beschermd moeten worden. Alleen dan krijgt u een compleet beeld en kunt u met enige zekerheid zeggen welke risico’s relevant zijn om te mitigeren. Proactief risico’s identificeren voor specifieke processen en assets zorgt ervoor dat bedrijven niet achter de feiten aanlopen wanneer er verstoringen plaats vinden.
4. Risico’s in kaart brengen voor de hele supply chain
Organisaties zijn afhankelijk van hun leveranciers en ontwikkelingen in de supply chain, maar er is niet altijd een compleet beeld van hun risico’s. Als een leverancier een bepaald product, component of substraat niet kan leveren, heeft dit invloed op de rest van de leveringsketen. Het is daarom van belang dat organisaties inzicht hebben in risico’s over de gehele keten. Denk er bijvoorbeeld aan om een goede vervanger voor deze leverancier te selecteren voor in geval van nood.
Gerben den Dunnen
Heeft u nog vragen over de uitkomsten van het onderzoek of wilt u simpelweg hier een goed gesprek over voeren. Dan kunt u gerust contact opnemen met Gerben den Dunnen. Wij helpen u graag!