Nog maar weinig kleine bedrijven hebben een business continuity plan. Dat blijkt uit het Business Continuity Management Rapport 2017 van Siemens Building Technologies (BT) dat binnenkort verschijnt.

Tijdens een gezamenlijk event van het Business Continuity Institute (BCI) en Siemens BT in Zoetermeer gaf Johan de Wit, Solution Manager Enterprise Security bij Siemens BT, onlangs een preview van het rapport. Een van de conclusies: hoe kleiner organisaties zijn, hoe kleiner de kans is dat ze een business continuity plan hebben. De meeste bedrijven zijn echter voor hun continuïteit afhankelijk van andere organisaties. Niet zelden werken hele grote ondernemingen samen met kleine bedrijven die hun business continuïteit niet (goed) geregeld hebben.

Beschikbaarheid

Het Business Continuity Management Rapport van Siemens BT brengt in kaart wat de focusgebieden zijn binnen het business continuity-beleid van bedrijven. Op CEO-niveau wil men met name juridische problemen en compliance-verstoringen voorkomen. Op operationeel niveau focussen bedrijven op het beschikbaar houden van de productie en operationele processen, de beschikbaarheid van assets en het imago.

IT steeds belangrijker

Het beveiligen van de IT speelt een steeds grotere rol bij het borgen van de business continuïteit. Alleszins denken bedrijven hierbij vooral aan kantoorsoftware. Dat ze daarnaast ook een Proces Control Systeem hebben – voor brandveiligheid, beveiliging en klimaatbeheersing – realiseren ze zich onvoldoende. Industriële Controle Systemen (ICS) en Office IT zijn volgens Johan de Wit in veel bedrijven twee gescheiden werelden. ICS-medewerkers zien zichzelf niet als IT’ers en vinden beschikbaarheid vaak belangrijker dan beveiliging van systemen. De IT-afdeling, die wél op beveiliging focust, is vaak niet vertrouwd met de beperkingen en bijzonderheden van ICS. Dit kan ertoe leiden dat Industriële Controle Systemen onbeveiligd blijven, waardoor cybercriminelen alsnog toegang krijgen tot het doorgaans goed beveiligde office-netwerk van bedrijven. Medewerkers sensibiliseren dat er naast kantoor-IT ook andere IT-systemen zijn, is volgens De Wit dringend nodig.

Terroristische dreiging

Afhankelijk van de branche waarin ze actief zijn, zien bedrijven terrorisme wel of niet als een bedreiging voor de continuïteit van hun business. Onder meer evenementenorganisaties en openbaar vervoersbedrijven maken zich hier zorgen over. Ze zitten in een zoektocht wat ze als bedrijf zélf moeten regelen en wat de overheid doet. Volgens De Wit zouden meer bedrijven moeten nadenken over de risico’s van terrorisme voor hun activiteiten: “Organisaties hebben de plek waar hun kroonjuwelen liggen doorgaans goed beveiligd. Dat is echter niet de locatie die terroristen opzoeken om een aanslag te plegen. Men moet ook aan de buren denken: misschien ben je als bedrijf geen doelwit voor terroristen, maar bedrijven of organisaties in de buurt kunnen dat wel zijn. Wat als er in het pand naast je een incident plaatsvindt? Wat als een medewerker slachtoffer wordt van een aanslag of zelf de dader is? Welke gevolgen heeft dit voor je imago? Terrorisme heeft een aantal aspecten die het noodzakelijk maken om anders na te denken over business continuïteit.”