Bedrijfscontinuïteit in het tijdperk van het nieuwe Coronavirus

De wereldwijde pandemie COVID-19 veroorzaakt een enorme hoeveelheid zorgen, stress en ongerustheid bij zowel werknemers als bedrijven. Het leven gaat moeizaam verder terwijl miljoenen mensen het bevel krijgen om thuis te blijven, en te midden van de pandemie moeten organisaties proberen om hun activiteiten voort te zetten en een bedrijfscontinuïteitsplan uit te voeren dat niemand had gepland. Afhankelijk van hoe het leven wordt hervat - of het weer normaal wordt of een "nieuw normaal" bereikt - zal dat deels te danken zijn aan bedrijfscontinuïteitsplanning.

Ik sprak met bedrijfscontinuïteitsexpert Ross Jackson, VP Organizational Resilience van Mimecast, om uit te zoeken hoe veerkrachtig de wereldeconomie tot dusver is gebleken te midden van deze ongeëvenaarde gezondheidscrisis. Hier zijn bewerkte fragmenten:

MA: Vanuit het oogpunt van bedrijfscontinuïteit lijkt de nieuwe pandemie met het coronavirus zo nieuw dat ik me afvraag of het bedrijfscontinuïteitsplan van een organisatie hierop was voorbereid. Zou in het bedrijfscontinuïteitsplan van een organisatie rekening worden gehouden met een dergelijke gebeurtenis?

RJ: Ik denk waarschijnlijk slechts 15-20%, ruwweg, verdeeld over twee zeer verschillende soorten organisaties. Ten eerste, zeer grote organisaties die beschikken over volwassen incident response en business continuity teams hadden moeten nadenken over besmettelijke ziektes. Niet noodzakelijkerwijs in deze omvang, maar wat als de mazelen of een plaatselijke griepuitbraak een bepaald team binnen een regio zou uitschakelen? Dat zou een onderdeel van hun planning moeten zijn. Deze plannen moeten antwoorden bevatten op de vraag: "Hoe verdelen we de taken? Hoe zorgen we ervoor dat we dekking hebben?" "Wat zijn de problemen met telewerken ? Niet veel bedrijven zullen al hebben nagedacht over 'Wat doen we op wereldschaal?' Maar je zou verwachten dat er op teamniveau wordt nagedacht over besmettelijke ziekten.

Ten tweede zijn er de SaaS-bedrijven van de nieuwe wereld. Kleinere SaaS-bedrijven zijn gewend om diensten virtueel en op afstand te leveren, wat natuurlijk leidt tot een over het algemeen hoger veerkrachtperspectief. Ze hebben waarschijnlijk op zijn minst nagedacht over infectieziekteplanning, over wat er zou gebeuren als 'mijn team X' tijdelijk niet inzetbaar zou zijn of in quarantaine zou gaan.

MA: Wat zijn de kenmerken van de bedrijfscontinuïteitsplannen van die organisaties die hen onderscheiden en helpen het bedrijf draaiende te houden?

RJ: De meeste bedrijven zullen natuurlijk niet publiekelijk praten over de details van hun bedrijfscontinuïteitsplannen, vooral de delen die uiteindelijk niet werkten. Maar voor het grootste deel doen mensen relatief hetzelfde-er is een behoorlijke hoeveelheid informatie en begeleiding over het coronavirus/COVID-19 van betrouwbare bronnen zoals de Wereldgezondheidsorganisatie of de CDC [US Centers for Disease Control and Prevention] De Johns Hopkins coronavirus tracking website wordt natuurlijk door iedereen gebombardeerd, en Worldometer's vergelijkbare site is een zeer nuttige site om dieper in te gaan op de impact op regionaal niveau.

Bedrijfscontinuïteits- en incidentbestrijdingsteams bekijken deze locaties om inzicht te krijgen in de mogelijke gevolgen voor hun bedrijfsactiviteiten, met name de gezondheidsrisico's voor de werknemers. Je moet je richten op je zorgplicht en zorg voor werknemers, natuurlijk vanuit menselijk oogpunt, maar ook vanuit het oogpunt van bedrijfscontinuïteit, want dat is belangrijker dan de technologie. Een effectieve bedrijfscontinuïteit omvat back-up, overflow en repetitieve technologische oplossingen. Als een videoconferentie-oplossing missiekritisch is en het lukt niet om normaal te functioneren, dan heeft u een of meer andere videoconferentie- of samenwerkingsoplossingen paraat. Als uw hele engineering- of klantenserviceteam niet beschikbaar is omdat ze ziek zijn, is dat een veel groter probleem omdat er geen backup-engineering- of klantenserviceteam is. De bescherming van werknemers wordt van het grootste belang.

Dan, en ik kan dit niet genoeg benadrukken, is communicatie de sleutel, zoals altijd. Er is zoveel ongerustheid ontstaan als gevolg van de hoeveelheid nieuws en het onbekende, dat mensen er terecht bang van worden. Er zijn te veel informatiebronnen, waarvan sommige onbetrouwbaar zijn, en veel mensen delen geruchten met elkaar. Organisaties moeten dat voorblijven, ten eerste door frequente en consistente bedrijfsberichten en ten tweede door hun werknemers te wijzen op goede, officiële bronnen - niet per se proberen de bron te zijn voor hun gezondheidsadvies, maar hen helpen de officiële bron te vinden. Bedrijfsberichten zijn bijzonder belangrijk, d.w.z. consistente en transparante berichten die uit één bron komen en werknemers naar één plaats verwijzen, zoals een intranetpagina, die hun vertelt: "Dit is wat we doen, dit is hoe we het aanpakken, dit is wat u uw klanten kunt vertellen of aan uw personeel kunt vertellen". Het bedrijfscontinuïteitsteam is misschien gewend om te gaan met de hoge druk van dingen die misgaan en de stukken weer op te rapen, maar alle anderen proberen eigenlijk uit te vinden hoe ze hun dagelijkse werk in een nieuwe omgeving moeten doen, terwijl ze zich zorgen maken over wat er met hun kinderen gebeurt of wat er met hun bejaarde ouders gebeurt. Die communicatiestroom in stand houden helpt om het vertrouwen te versterken.

MA: Hoe zit het met middelgrote en kleinere bedrijven? Hoe houden zij zich staande in deze crisis en wat stelt hen in staat zich staande te houden als dat zo is?

RJ: Eerst volgen ze, net als grotere bedrijven, de gezondheidsrichtlijnen van de WHO en CDC en hun regionale overheden om te doen wat ze kunnen om de gezondheid van hun werknemers te beschermen. Daarna gaat het allemaal om de verschuiving naar werken op afstand. Voor een doorsnee middelgrote klant van Mimecast betekent bedrijfscontinuïteit waarschijnlijk dat ze zich moeten buigen over de vraag wie eigenlijk kritiek is, wie er op kantoor moet zijn. Ze proberen hun werknemers te verdelen in 'bedrijfskritisch kan op afstand werken' en 'bedrijfskritisch kan niet'. Dat is de focus voor kleinere bedrijven: Uitzoeken welke mensen nog toegang moeten hebben tot het fysieke kantoor, om welke reden dan ook, en welke niet, en focussen op de juiste infrastructuur en beveiliging om indien nodig op afstand te kunnen werken.

MA: Op welke manieren heeft u gezien dat slechte actoren misbruik proberen te maken van het coronavirus om exploits uit te voeren?

RJ: We zien malware campagnes, we zien nep oplossingen voor het virus, we zien straight redirects, we zien domein overnames. Er is nogal wat aan de hand. Aanvallers spelen in op de angsten, zenuwen en het verlangen van mensen om het laatste nieuws te zien. [Lees voor meer "Pas op voor snel evoluerende Coronavirus e-mail phishing-aanvallen."]

MA: Welke nieuwe problemen stelt deze massale en uitgebreide situatie van telewerken veiligheidsprofessionals? Hoe moeten zij anders denken over het waarborgen van de integriteit van bedrijfsnetwerken?

RJ: Lokale veiligheid is een grote uitdaging. Terwijl veel mensen één dag hier of daar, of één of twee dagen per week thuis werken, vragen we nu mensen die normaal vijf dagen op kantoor zijn om elke dag thuis te werken. We kennen de beveiliging van hun WiFi niet, en weten niet of ze zelfs WPA2 gebruiken. Zo ja, is het een sterk wachtwoord? Met wie hebben ze hun wachtwoord gedeeld, hun vrienden en buren? En dan zijn er nog problemen zoals het niet vergrendeld achterlaten van je laptop en zelfs zoiets simpels als vertrouwelijke informatie die je huisgenoot niet mag zien; en dan heb je nog de kleine vingers van kinderen die thuis zijn terwijl de scholen dichtgaan. Al dit werk op afstand brengt een hele reeks nieuwe veiligheidsproblemen met zich mee.

MA: Zijn bedrijfsnetwerken erop voorbereid dat alle werknemers van thuis uit kunnen "VPN-en"?

RJ: Sommige organisaties hebben misschien niet genoeg VPN-gebruikerslicenties, maar dat wordt verzacht door een paar factoren. Binnen een typische organisatie zullen er veel mensen zijn die puur online producten gebruiken, zoals video conferencing tools en online ERP of CRM oplossingen zoals Salesforce, Hubspot, of Netsuite. Voor 9 van de 10 toepassingen hoeft u geen VPN te gebruiken, u surft gewoon op het internet en het is er. Dus u belast uw kantooromgeving of uw kantoorhardware of het VPN-apparaat niet extra.

Als je bij interne schijven of apps moet komen, dan moet je weer VPN-en. Over het algemeen is het een firewall die de VPN terminator is, en je moet er een aantal licenties voor hebben. Maar er zijn een paar providers, en ik denk dat er meer zullen volgen, die organisaties toestaan automatisch op te barsten tot een hoger niveau dan waar ze voor betalen. Stel, u bent een organisatie met 1000 zitplaatsen en 200 VPN-licenties. SonicWALL, bijvoorbeeld, heeft gezegd: "Maak je geen zorgen, we laten je hoger barsten dan dat. Dus als er een plotselinge toename is omdat iedereen thuis werkt en op een gedeelde harde schijf moet komen, kunnen ze gewoon doorwerken.

MA: Dus eigenlijk komt de technologie-industrie samen om ieders bedrijfscontinuïteit te ondersteunen?

RJ: Ja. We zien een echt gevoel van, 'We zijn ons bewust van wat er aan de hand is, we weten wat je doormaakt en we gaan proberen met je samen te werken.' Dat zie je terug in de mogelijkheid om een VPN-licentie af te geven. Of het begrip dat je langzamere rapportages krijgt omdat mensen zich meer zorgen maken over het feit dat je kernfunctionaliteit up is. Er is begrip voor het feit dat iedereen op de een of andere manier onder druk wordt gezet, en dat je niet per se die leuke dingen aan de randen hoeft te verwachten. Laten we ons concentreren op de kern.

MA: Hoe zit het met de bandbreedte van het wereldnetwerk? Hoe houdt die zich, nu de hele ontwikkelde wereld de afgelopen twee weken is overgestapt op werken op afstand?

RJ: De grote ISP's hebben gezegd, ja, we zitten goed, we kunnen het aan, we hebben genoeg capaciteit hier. Maar binnenkort zullen we wat spanningen zien bij de kleinere providers. Als we meer en meer mensen offsite hebben, zullen ISP's wellicht bandbreedte moeten gaan afknijpen. We gaan problemen zien waar je videogesprekken een beetje hakkeriger gaan worden omdat plots je hele straat probeert een videogesprek te voeren op hetzelfde moment. We hebben al gezien dat YouTube en Netflix de streamingkwaliteit in Europa verminderen om het bandbreedtegebruik te helpen verminderen.

MA: Moet de rest van de bedrijfswereld, afgezien van de 15-20% van de organisaties die zeer rijp zijn vanuit het oogpunt van bedrijfscontinuïteit, zich herbezinnen op bedrijfscontinuïteit na COVID-19?

RJ: Ik denk dat ze dat natuurlijk zullen doen. Ze zijn allemaal bezig met een inhaalslag, nu, dus de COVID-19 pandemie zal helpen om de zichtbaarheid van business continuity issues te vergroten. De mensen in je IT team die hunkeren naar die high-availability firewall of die secundaire server, die krijgen misschien ineens wat meer budget. Tot nu toe vroegen ze zich af: "Hoeveel wil ik voor de verzekering betalen als ik die toch nooit ga gebruiken? Dit evenement schijnt een licht op die plek, en ik denk dat de budgetten een beetje open gaan, dat mensen gaan nadenken over het maken van een tablet of het uitvoeren van een volledige simulatie tegen een aantal van die scenario's die ze nu hebben overwogen.

MA: Als het vijf of zes maanden duurt voordat de mensen naar hun kantoor kunnen terugkeren, hoe verandert dat dan de manier waarop organisaties over bedrijfscontinuïteit denken?

RJ: Ik weet niet of het vijf of zes maanden zal zijn, de menselijke natuur zit voor die tijd in de weg, maar zes tot acht weken is een mogelijk scenario, en je hebt absoluut gelijk dat niemand echt gepland heeft voor zelfs maar zes weken van op afstand werken. Al die plannen waren veel kleinschaliger, zoals een week of 10 dagen, zoals bij noodweer. Als kantoor 'X' niet beschikbaar is door een terroristische aanval of een gasstoring of wat dan ook, zou de veronderstelling zijn om uit te wijken naar een beheerd kantoor waar je gewoon een ander kantoor kunt vinden. Met dit scenario kunnen we dat natuurlijk niet doen.

Er zal dus heel wat aan de plannen moeten worden gesleuteld, teruggrijpend naar het punt dat het een uitbreiding is van het plan voor besmettelijke ziekten, waarbij je kijkt naar een bedrijfscontinuïteitsuitdaging op team- of afdelingsniveau, en dat vervolgens opschaalt naar een scenario voor de hele stad, het hele land of de hele staat. Veel bedrijfscontinuïteitsplannen zullen moeten worden bijgesteld en bijgesteld als we door deze langdurige volksgezondheidscrisis heen gaan.

Juist. Welke belangrijke kwestie hebben we nog niet aangesneden?

RJ: Ik denk dat het enige andere ding vanuit een organisatorisch perspectief is om ervoor te zorgen dat je een cross-functionele groep hebt die samen met jou naar dit alles kijkt. Zorg ervoor dat je mensen hebt van afdelingen die niet gewend zijn om van thuis uit te werken, dus of het nu financiën zijn of faciliteiten of een klantgericht team, zorg ervoor dat je hun cross-functionele vertegenwoordiging hebt zodat je denkt aan het bedrijf als een geheel, niet alleen je gebruikelijke business continuity team. Maar voor de rest hebben we de belangrijkste bedrijfscontinuïteitsthema's behandeld die mensen moeten kennen.