Het is één van de vele onderzoeken die IT-bedrijven laten verrichten, maar het stemt wel tot nadenken. Als je 1750 kopstukken door heel Europa vraagt of ze zijn voorbereid op een echte ramp waarbij alle systemen onderuit gaan, reageert driekwart uiterst negatief.
Uit het onderzoek naar 'Disaster Recovery' dat EMC, specialist in data-opslag en cloud computing, heeft verricht naar de vraag hoe goed bedrijven zijn voorbereid op verlies van data en downtime van hun IT-systemen, blijkt dat driekwart van de bedrijven in Europa niet zeker is dat zij hun activiteiten kunnen hervatten na een ramp. Reden hiervan is dat zij niet in staat denken te zijn hun data en systemen te herstellen.
Het is enigszins een 'wc eend'-onderzoek, omdat EMC zelf disaster recovery-diensten aanbiedt, maar het bewijst toch hoe zeer we inmiddels afhankelijk zijn van IT systemen en de data die we steeds massaler rondsturen en opslaan.
Zeg nooit nooit
Zoals dat met alle risico's gaat, bereiden bedrijven en overheden zich vooral voor op 'reële' gevaren. Brand, stelende werknemers of stroomuitval; een natuurramp uitsluiten lijkt echter zelfs in Nederland niet verstandig. Volgens het World Risk Report van de Verenigde Naties is Nederland van alle Europese landen zelfs het meest blootgesteld aan een potentiële ramp: we wonen immers onder de zeespiegel. Alleen doordat we als goed georganiseerd en hoogontwikkeld land goed met de gevolgen kunnen omgaan, scoort Nederland uiteindelijk gemiddeld in de risico-analyse van de VN. Want risico, weten verzekeraars, is de kans dat een ramp zich voltrekt maal het effect dat die zou hebben.
Economische impact
Als systemen op zwart gaan, kan dat kostbare gevolgen hebben. Schade die het gevolg is van verlies aan productiviteit van medewerkers die even niets meer kunnen doen, omzetverlies doordat transacties wegvallen en de vertraging van productontwikkeling worden het vaakst genoemd in het EMC-onderzoek. Al met al schatten de Europese bedrijven in dat ze in 2010 een gemiddeld productiviteitsverlies hebben geleden van twee werkdagen. Dit staat voor een bedrijf met gemiddeld 2.000 medewerkers gelijk aan 28.391 manuren.
Grootste gevaar is het systeem zelf
Het is dus niet zo dat het bedrijfsleven spoken ziet. Er blijkt uitgebreide ervaring te bestaan met grote en kleinere rampen. Ruim de helft van de ondervraagden werd de afgelopen twaalf maanden getroffen door haperende IT, met als gevolg verlies van data. Het gevaar blijkt niet eens zozeer te schuilen in orkanen, een aardbeving of overstroming. Het leeuwendeel van de schade, 60 procent, werd veroorzaakt door hardware die niet deed wat hij moest doen, gevolgd door de uitval van elektriciteit (40 procent). Storingen door software zijn een goede derde met 35 procent. Nog een opmerkelijke oorzaak van incidenten: sabotage door medewerkers werd door 8 procent van de ondervraagden genoemd.
Hoe snel herstel je?
Een risicoanalyse hoef je er dus nauwelijks op los te laten: je bent vroeg of laat de klos als onderneming als het om IT-crashes gaat. Het is dus zaak goed voorbereid te zijn op kleine incidenten en grote rampen, met als ultieme doel: business continuity: de zaak moet zo goed en snel mogelijk weer opstarten en doordraaien. "Dat hebben we wel geleerd van de aanslagen in New York in 2001," zegt Hans Timmerman, cto van EMC Nederland. "Deutsche Bank had een tweede datacenter 150 mijl buiten Manhattan en daardoor lichtten de schermen binnen twee uur weer op. Er was een ander bedrijf dat voor zijn back-up vertrouwde op een systeem in de tweede toren. Dat bedrijf heeft de aanslag niet overleefd." Maar ook bedrijven die vertrouwden op extra capaciteit elders op Manhattan werden dubbel getroffen: hun personeel kon die backup-locatie niet bereiken doordat de autoriteiten het gebied hermetisch afsloten. "Zo zie je maar dat het een samenspel is van data, systemen en mensen."
Japan
Zodra je een natuurramp ziet aankomen, is er in de regel wel tijd om data snel te verplaatsen naar een veiliger plek. Bij voorkeur in een volstrekt andere regio, en zeker een die draait op een ander elektriciteitsnet. Maar voor dat 'leegtrekken' van een datacenter heb je wel werknemers nodig. "Wat bleek in Japan na de tsunami? Er lagen mooie plannen voor een dergelijke uitwijk, maar mensen lieten de IT-systemen in de steek: als je een ramp overkomt, wil je alleen maar bij je familie zijn. Dat heeft ons geleerd, dat je zoveel mogelijk van dergelijke veiligheidsprocessen moet automatiseren."
Investeren in rampenbestrijding
Het besef dat ondernemingen kwetsbaar zijn en steeds kwetsbaarder worden door de alomtegenwoordigheid van IT blijkt nogal laat door te dringen: 44 procent van de ondervraagde organisaties gaf aan dat zij hun procedures voor back-up en recovery hebben aangepast na een incident. Verder investeerde 27 procent van de bedrijven meer geld in back-up en recovery na een ramp. Nederland komt er wat dat betreft een beetje laks vanaf in het onderzoek. Europese bedrijven besteden ongeveer 10 procent van hun IT-budget aan het veilig wegzetten en bewaren van hun data, maar in de Benelux ligt dit op slechts 8 procent. "Het is in feite een verzekeringskwestie: je moet regelmatig een risicoanalyse loslaten op je business continuity en voldoende investeren om schade te voorkomen," zegt Timmerman. "Je business en de omgeving verandert immers voortdurend, en daarmee je kwestbaarheid. Retailers konden vroeger hun klanten nog wel even zoet houden als de logistiek het liet afweten, maar met webshops raken ze nu onherroepelijk klanten kwijt."
