Allrisk of casco: hoe de CFO zijn bedrijfsdata moet verzekeren

Waarschijnlijk kunt u het zich nauwelijks meer voorstellen: papieren bankafschriften op de deurmat, een weekend zonder zakelijke e-mails of een krant kopen om in de trein de tijd te doden. Toch is het nog niet zo lang geleden dat deze zaken nog heel normaal waren. We zijn er inmiddels zo aan gewend om altijd online te zijn, dat het leven van vóór de smartphone en tablet eeuwen achter ons lijkt te liggen. We weten niet beter dan dat alles altijd werkt – en eisen dat zelfs. De Belastingdienst kon rekenen op een stortvloed aan negatieve reacties toen zijn server down was op het moment dat Nederland zijn aangifte wilde doen. Hoe groot is de schade eigenlijk voor bedrijven bij downtime? Hoelang kunnen ze zich veroorloven dat hun diensten niet beschikbaar zijn? Dat antwoord moet de CFO geven.

Door Ronald Ooms Het werkt toch?In zo’n vijftien jaar tijd is er veel veranderd. Vroeger kraaide er geen haan naar als een IT-omgeving op vrijdagavond uit de lucht was. Nu balen we als we niet nog even snel dat belangrijke document kunnen raadplegen. Of geen rijbewijsverlenging kunnen aanvragen. Of geen overboeking kunnen doen. Deze ontwikkeling heeft een enorme impact op de IT-manager. Nu moet hij de omgeving 24 uur per dag draaiende houden en zo altijd beschikbaarheid bieden. Het voorbeeld van de Belastingdienst toont aan dat niet bij elk bedrijf de bewustwording over beschikbaarheid even groot is. Denk hier daarentegen eens aan een retailer als bol.com, die zelfs in december hoofd weet te bieden aan de drukte op de site. Een ander voorbeeld is een cruiseschip, waarop steeds twee volledig identieke datacenters te vinden zijn. Alles op zo’n schip is immers computergestuurd: liften, beveiligingscamera’s, hutdeuren. Als daar iets misgaat, is er geen enkele service meer te verlenen – dat besef is duidelijk doorgedrongen tot de directie van de cruisemaatschappij. Een groot contrast in vergelijking tot bedrijven waar ‘hoezo, het werkt toch?’ het standaardantwoord is op verzoeken vanuit de IT-afdeling om de availability-oplossing uit te breiden. Risico versus kostenWaarom beschikken dan niet alle bedrijven over dat bewustzijn rondom beschikbaarheid? Dat heeft vaak te maken met de bedrijfscultuur die heerst op het gebied van IT. In middelgrote bedrijven heeft de IT-manager meestal geen plek in het management en IT wordt daar niet gezien als een productiemiddel maar als een kostenpost. De kredietcrisis – met zijn bevriezingen van IT-budgetten – heeft daar in negatieve zin aan bijgedragen. Beslissingen die de directie maakt, komen niet automatisch bij de IT-afdeling terecht, terwijl in dit digitale tijdperk élke verandering in het bedrijf consequenties heeft voor de IT-omgeving. En dat pijnlijke besef komt pas aan het licht als zich een calamiteit voordoet. Als bijvoorbeeld blijkt dat bedrijfskritische data pas na een dag terug te halen zijn, is de verontwaardiging groot.   CFO als kartrekkerHet wordt dus steeds belangrijker IT-doelen te stellen die in overeenstemming zijn met uw bedrijfsdoelen. Twee termen zijn daarbij belangrijk. Een Recovery Point Objective (RPO) geeft aan hoelang de periode tussen de laatste back-up en het moment van een mogelijke calamiteit mag duren, oftewel: hoeveel data het bedrijf zich kan veroorloven kwijt te raken. Daarnaast is er de Recovery Time Objective (RTO) die bepaalt hoeveel tijd er nodig is om weer te herstellen na een disaster. Door de RPO en RTO nauwkeurig vast te stellen, kunnen organisaties daar hun beleid voor back-up van data op afstemmen. Stel, een bedrijf wil maximaal vier uur aan opgeslagen data kwijt zijn na een calamiteit. Dan is een dagelijkse back-up al niet voldoende. Maar hoe bepaalt dat bedrijf nu wat geoorloofd is? De CFO moet hier degene zijn die de kar trekt. Niet alleen omdat hij of zij degene is die het geld beheert en garant staat voor IT-uitgaven, maar ook omdat de CFO als geen ander inzicht heeft in wat er gebeurt bij downtime. Staat dan de productie stil? Worden er klanten boos? Ontstaat er imagoschade? En hoe verhouden die gevolgen zich tot de kosten die een availability-oplossing met zich meebrengt? Het is zaak dat zo duidelijk mogelijk op een rij te krijgen in een risico-kostenanalyse. Vergelijk het met het afsluiten van een verzekering voor uw pas aangeschafte, gloednieuwe auto. Uw eerste reactie bij zo’n waardevol bezit zal misschien zijn: allrisk verzekeren. Dat betekent echter wel een hoge premie. De vraag is: staat dat forse maandbedrag in verhouding met het risico dat er ernstige schade ontstaat? De kans dat er een boom op uw bolide valt, is te verwaarlozen als u in een uitgestrekte polder woont, maar waarschijnlijker als u elke dag uw auto in het bos parkeert voor een wandeling met de hond.Wie betaalt, bepaaltDe beschikbaarheidsverzekering van een bedrijf zou op eenzelfde manier tot stand moeten komen. Hoe minder downtime, des te duurder de oplossing. De CFO van een retailorganisatie kan beginnen zich af te vragen hoeveel afhakende klanten hij heeft als het webshopsysteem crasht en hun bestelling niet is doorgekomen, en wat de financiële impact daarvan is voor het gehele bedrijf. Valt de schade te dekken uit eigen middelen of moet die gedekt worden? Hoe eenvoudig dergelijke vragen te beantwoorden zijn, hangt af van de aard van de organisatie. Een ziekenhuis draagt de verantwoordelijk over mensenlevens en kan zich 0,0 downtime permitteren. Is de webshop van de lokale schoenenwinkel enige tijd uit de lucht, dan heeft dat waarschijnlijk geen verstrekkende gevolgen. Het antwoord wordt complexer als een organisatie zich ergens tussen deze voorbeelden in bevindt. Bovendien doen zich constant veranderingen voor in een bedrijf: er wordt een nieuwe vestiging geopend, medewerkers gaan met tablets werken, enzovoort. Daarom moet die risicokostenanalyse voortdurend onder de loep gehouden worden en moet de CFO beoordelen of aanpassing van de beschikbaarheidsverzekering noodzakelijk is. Er is binnen bedrijven dus een omwenteling nodig: van praten vanuit de techniek naar praten vanuit de business. Nu nog neemt IT vaak de beslissing over de RPO. Maar dat is de omgekeerde wereld: alsof de autoverzekeraar voor u bepaalt welke verzekering u voor uw nieuwe aankoop krijgt. In de praktijk werkt dat ook niet, want dan ontstaat de eerder geschetste verontwaardiging over verloren data. De CFO is de aangewezen persoon om het gat tussen IT en management te overbruggen. Het is daarbij overigens niet noodzakelijk dat hij de IT-omgeving van het bedrijf volledig doorgrondt, maar hij moet wel weten wat de consequenties van managementbesluiten op IT zijn. Alleen dan kan hij de verzekeringsdiscussie aangaan en het bewustzijn over beschikbaarheid vergroten. Als Vice President North East EMEA bij Veeam Software helpt Ronald Ooms bedrijven met vraagstukken rondom business continuïteit