Storing op de it-afdeling is de grootste angst van de ceo. Dat blijkt uit een poll van certificeerder van managementsystemen BSI onder 38 deelnemers van een bijeenkomst over business continuity management (bcm). BSI vroeg onder meer waarom zij bcm toe willen passen binnen de organisatie. Een grote meerderheid antwoordt hierop dat zij it-uitval en informatiebeveiliging te grote risicofactoren vinden. Ze vrezen vooral voor de financiële gevolgen ervan.
Bijna 45 procent van de ondervraagden beoordeelt zijn leveranciers of ze voorbereid zijn op risico’s. Nog eens 15 procent doet dit volgens de iso-norm 22301, die bcm vastlegt. Van de organisaties die zich al bezighouden met bcm onderzoekt 21 procent de toegevoegde waarde ervan, heeft 26 procent een risicoanalyse gemaakt, heeft 34 procent verschillende elementen van iso 22301 geïmplementeerd, heeft 11 procent de meeste elementen hiervan geïmplementeerd maar beschikt het nog niet over gesloten PDCA-cirkel en is 8 procent klaar voor certificering. De reden om tot bcm over te gaan is vooral om bedrijfscontinuïteit te waarborgen en risico’s te reduceren.
Een it-omgeving is het kloppend hart van de organisatie, maar niet elk onderdeel dat ondersteunt wordt door it is core business. Zo heeft een storing op de onderzoeks- en ontwikkelafdeling van een productiebedrijf minder impact dan een storing op de productieafdeling zelf. Met analyse worden alle processen goed onder de loep genomen, nog voordat er aan incidentmanagement kan worden begonnen. Impactanalyses voor de business kunnen het beste uitgevoerd worden op het moment dat het de minste impact op de business heeft.
Leuk artikel dat des te meer onderbouwing geeft om goed te testen. Risk Based testen gaat al jaren over het leggen van de juiste focus en het voorkomen van risico’s. Testen gaat immers niet alleen om het vinden van fouten, maar juist ook om een CEO inzicht te geven in de risico’s bij changes of projecten. Zonder klamme handjes in productie gaan en de continuïteit van het IT landschap borgen… dat is in ieder geval altijd mijn streven als Test manager.
Het is een illusie te geloven dat ICT (of elke andere vorm van techniek) nooit storingen zal hebben. Twee dingen zijn relevant:
1. Hoe veel je ook test of methoden gebruikt om op voorhand problemen te voorkomen, daar zit een prijs aan
2. Hoe dynamischer de markt waarin de techniek is (en de ICT is nog volledig gedomineerd door elkaar zwaar beconcurrerende ondernemingen) hoe meer kans er op storingen zullen zijn.
De balans tussen beiden vind je door je risico’s van je business case buiten de techniek (imago schade, weglopende klanten, etc…) goed af te wegen.
Ik wil hier even aangeven het toch wel een beetje intrappen van een open deur is. Als ik de teneur en de cijfers van het artikel belees kom ik een beetje tot de conclusie dat de CEO klaarblijkelijk nog steeds niet helemaal weet hoe de standaard IT procesmatig op te laten zetten en in te laten regelen.
Helaas heeft de praktijk uitgewezen blind te varen op de externe dienstenleveranciers niet altijd zaligmakend is en dan doel ik hier even op de kwalitatieve achteruitgang bij die diensten leveranciers door het vervangen van gedegen kennis professionals voor die zeer goedkope Young Upcoming Professionals. Het is uiteraard een keuze maar dit even in de marge.
E2E IT proces is basic kennis en kent een aantal stappen en inrichting waar veel IT-ers klaarblijkelijk niet eens weet van hebben. Daarvoor heeft men klaarblijkelijk weer een Itil consultant nodig om dat te doen die dan vervolgens door een non IT jurist nog eens kan/zal worden getoetst.
Wanneer de Youn Upcoming Professionals in de It hier niet eens de basale kennis toe bezit, laat staan de ervaring, is het wachten op problemen. Op welke wijze via welke ISO dan ook in papieren vast gelegd. Kijkende naar de grootschalige interrupties die we de laatste vijf jaar alleen aal hebben mogen zien, is het illustratief voor wat IT minnend NL nog zal staan te wachten. als je namelijk je IT kennis kern en ervaring wegbezuinigd, krijg je dat soort zaken.
De financiële zorgen en naam/reputatieschade zijn dan uiteindelijk zaken waar men goed naar moet kijken want niet voor niets zien we nog veel te veel zaken volkomen uit de bocht vliegen zoals bij KPN vs ‘een hacker, Vodafone en een brand in een kritisch station, EPD, C2000, of de DDos attacks op organisaties. De problemen die aanstaande zijn worden gesofisticeerder waar de Young en Upcoming IT Professional allerminst mee bezig is.
Dus ook de aloude wetmatigheid die opgeld doet. ‘If you pay peanuts, you’ll get monkeys.’
IT is een prachtig en voorspelbaar vehicle. Een artikel als deze toont eens te meer aan dat dat begrip nog steeds niet, zelfs niet na twee decennia KA, bij de CEO is geland. IT is automatiseren en op die wijze besparen. De praktijk? Dat ziet u weer terug in het artikel.
Fear still Sales.
@ NumoQuest,
Helemaal eens! Thanks voor je reactie.
Dit is een redelijke open deur. Maar ik weet uit ervaring dat dit nog te vaak vergeten wordt ( lees geen budget )
Kwestie van tegen de CEO zeggen dat alle servers zijn uitgefikt en alles plat ligt. (AED in de buurt is aan te raden)
@NumoQuest & Ruud Mulder:
Is inderdaad nogal een open deur. Net als de oplossing trouwens…
Juist omdat IT zo voorspelbaar is, is het goed te automatiseren. En daaronder valt ook het signaleren, analyseren en (mogelijk) geautomatiseerd oplossen van incidenten.
Er zijn in de statistiek zelfs methodes beschikbaar om te voorspellen waar en wanneer de volgende storing optreedt. En dat in combinatie met een kansberekening. Dus zoiets als: voor de komende 3 maanden verwachten we in totaal 100 server incidenten die, naar verwachting, een oplostijd gaan hebben van tenminste 2 uur. De kans dat dit werkelijkheid wordt is minimaal 90%.
Maar helaas zijn dit soort methodes nog geen best practices in de hedendaagse helpdesk en monitoring tools. Daar wordt nog steeds gewerkt met SLA’s op basis waarvan achteraf vastgesteld wordt of er meer problemen zijn geweest dan verwacht. En waar dat aan gelegen kan hebben.
Maja – dan is het allemaal weer verleden tijd en te lang geleden om precies te achterhalen wat er aan de hand is geweest.
Waarbij ik me dan steeds afvraag: als besturen/managen vooruit kijken is, waarom bij SLA’s dan steeds de achteruit kijk spiegel gebruiken…
🙂
Ik mis in dit artikel de aandacht aan een onderwerp: Disaster Recovery!
Uitval is een deel van dit probleem en dat kun je ook met wat moeite herstellen. Wat naar mijn mening nog erger is, is het niet kunnen herstellen van (verloren)data na een uitval. Daarom noemen ze dat BC/DR [business continuity / disaster recovery]
Ik ontken de belang van het testen niet. Wel is het misschien handig om ook niet veel hoop op de positieve testresultaten te vestigen. De ict-keten wordt steeds langer en de componenten worden ingewikkelder. Deze ontwikkeling heeft effect op de kosten/werkwijze/betrouwbaarheid van de testactiviteiten. Heb je je test goed gedaan dan ben je met een goed terugwegscenario en herstelactiviteiten bijna veilig!
Is dit niet een beetje bang zijn voor het resultaat van eigen beslissingen uit het verleden.
In principe kan je een hardware infrastructuur opbouwen die enkele seconden per jaar niet beschikbaar is, alleen zit hier een kosten plaatje aan. Als je de High end systemen van bijvoorbeeld Sun en IBM bekijkt is dit geen enkel probleem en bovendien kan dit uit ervaring getoetst worden.
Hetzelfde geldt voor de software, alleen moet je dit al in je ontwikkelomgeving maatregelen nemen en procedures afspreken hoe je met fouten en onverwachte situaties moet omgaan, ook hier is een kostenplaatje aan en ook hier zijn er tal van voorbeelden die iedereen als vanzelfsprekend vind, denk maar eens aan Nuts bedrijven en begeleiding van lucht en scheepvaart.
Als je een CEO een spiegel voor houdt, wat kost U een storing en wat heeft U er voor over om dit risico te minimaliseren, krijg je steevast het verhaal, maar dan kan ik beter mijn zaak sluiten en wordt gekozen voor een zeker risico.
De eventuele kosten van een storing komen in geen enkel budget voor en zijn dus niet zichtbaar in de balans. En gebeurt er toch iets, dan vind je het terug in het volgende boekjaar als onvoorzien.
Omdat er Momenteel sterk gesneden wordt in de kosten, blijven onderhoud en vervanging van zowel de hardware als de software achter, hetgeen de risico’s weer vergroot. Ik twijfel eraan of men zich realiseert dat dit weleens de nekslag van een bedrijf kan veroorzaken, klanten worden steeds kritischer en deinzen er niet voor terug om verhaal te halen, hetgeen de dienstverlener over het algemeen een kostenpost is.
Als je als CEO bang gaat worden voor storingen, is het hoog tijd om een analyse uit te voeren, welk risico loop ik en wat zijn de financiële gevolgen, tegen wat kan ik verbeteren tegen welke kosten om dit risico te verlagen. Dit brengt mee dat men kosten moet gaan maken, wat nadelig is voor de winst en dus de bonus en zal niet licht genomen worden.
De realiteit die wij dagelijks zien (een Data Recovery Organisatie) is dat veel (kleine maar ook grote gerenormeerde) bedrijven er wel overnadenken maar niet alle benodigde acties ondernemen. Er wordt te veel verondersteld, onvoldoende getest/gecontroleerd en beslissingen worden vaak uitgesteld (bv vanwege budgetten) en er wordt te veel op externe partijen vertrouwd. Verlies van data of ICT infrastructuur kan dramatische gevolgen hebben en brengt veel bedrijven op de rand van de afgrond. Helaas zal dit altijd een issue blijven daar korte termijn targets voor veel bedrijven belangrijker dan zijn dan het uitsluiten van een mogelijk probleem in de toekomst.