Veerkracht

 

Afbeelding via Pixabay

Amper bekomen van de Dag van het Wachtwoord, toont de kalender ons een campagne uit een aanpalend vakgebied: vanaf 16 mei is het Business Continuity Awareness Week. En omdat business continuity management (BCM) ongeveer net zo belangrijk is als informatiebeveiliging, verdient ook dit event aandacht in de Security (b)log.

BCM is het vakgebied dat zich – zoals de naam eigenlijk al verraadt – bezighoud met de continuïteit van de bedrijfsvoering, maar dan wat ze noemen ‘onder ongunstige omstandigheden’. Het woord calamiteit speelt daarbij een belangrijke rol. Die willen de BCM’ers namelijk voorkomen, en als er zich toch eens een keer eentje voordoet, dan willen ze ‘m zo goed mogelijk beheersen. Calamiteit wordt daarbij gedefinieerd als een onverwachte gebeurtenis met dusdanig negatieve gevolgen dat de reguliere probleemoplossende activiteiten onvoldoende zijn voor herstel van de normale situatie. Naast de continuïteit van het bedrijfsproces hebben ze ook oog voor de veiligheid van medewerkers en bezoekers en voor de reputatie van de organisatie.

De aankomende speciale week heeft als motto: ‘building resilience in the hybrid world’ (veerkracht opbouwen in de hybride wereld). Nou ben ik altijd een beetje huiverig voor motto’s van conferenties en andere activiteiten, want het klink al gauw pompeus terwijl het er uiteindelijk om gaat om het programma te vullen met zo aansprekend mogelijke bijdragen, die liefst ook nog een beetje leuk worden gepresenteerd. Maar goed, laten we dit motto toch maar eens afpellen.

Die hybride wereld uit het motto, dat is natuurlijk de wereld waarin wij leven sinds corona de wereld veroverde. Voordat de wereld voor ons kantoormensen hybride werd, was zij nagenoeg puur: we werkten standaard op kantoor, mensen met jonge kinderen hadden misschien een vaste thuiswerkdag, een enkele waaghals durfde het aan om zich op twee werkdagen niet op kantoor te vertonen. Je moest dat min of meer verdedigen tegenover je collega’s en je manager vond het misschien ook niet zo fijn. Tijdens de pandemie sloeg dit om in een situatie die nog puurder was dan de oude, maar dan helemaal aan de andere kant van de schaal: van de ene op de andere dag werkten we met z’n allen volledig thuis. In die twee jaar ben ik vijf keer op kantoor geweest, om dingen te doen die ook alleen maar daar gedaan konden worden. En dan had je nog toestemming nodig van je afdelingshoofd.

Toen het licht aan het einde van de covid-tunnel in zicht kwam, gingen we het omgekeerde doen van wat we vroeger deden: we gingen af en toe een keertje naar kantoor. En we bereidden ons voor op die nieuwe, hybride wereld, want een ding was zeker: we zouden nooit meer fulltime naar kantoor gaan. En dat doet iets met de manier waarop we tegen continuïteitsmanagement moeten aankijken. Dat is overigens een stelling, niet per se een feit.

Net buiten mijn woonwijk staat een datacenter. Ik kom daar af en toe langs en telkens staat er hooguit één auto binnen het hek. En zo hoort het in feite ook te zijn: er komt alleen een technicus langs als er iets mis is, of voor routine-onderhoud. Daarentegen hebben de complexen, die onze eigen datacentra huisvesten, tevens een kantoorfunctie. Een paar duizend medewerkers liepen er, pre-corona, dagelijks rond. In onze hybride wereld is dat drastisch veranderd. Op een willekeurige dag in de week werken meer collega’s thuis dan op kantoor. Wat betekent dat in het geval zich een calamiteit voordoet?

Enerzijds is dit een nadeel, omdat je veel minder snel de benodigde mensen bij elkaar hebt om de gebeurtenis het hoofd te bieden, gewoon omdat ze op dat moment niet op kantoor zijn. Maar ja, “bij elkaar” is tegenwoordig iets heel anders dan vroeger. We komen net zo gemakkelijk virtueel bij elkaar, al zal menigeen beamen dat je in bepaalde situaties soepeler kunt samenwerken als je in het echt bij elkaar bent. Ten tijde van een calamiteit mag je die soepelheid misschien als luxe beschouwen.

Anderzijds vormt dat thuiswerken een voordeel, om precies dezelfde reden: veel mensen zijn niet op kantoor. Als het een fysieke calamiteit is, zoals een brand, hoef je je niet druk te maken over collega’s die er niet zijn. Een ontruiming zal sneller kunnen worden afgerond en het aantal potentiële slachtoffers is kleiner. Verder hoef je, als door de calamiteit een deel van de kantoorwerkplekken niet langer beschikbaar is, niet naarstig op zoek naar een alternatieve locatie: de getroffen medewerkers moeten ‘gewoon’ weer een poosje continu thuis werken. Daar hoef je tegenwoordig geen technische hoogstandjes meer voor te verrichten, de benodigde infrastructuur is er al.

Alleen gaat de redenering in beide voorgaande alinea’s natuurlijk alleen op als de calamiteit de voor het thuiswerken benodigde infrastructuur niet heeft aangetast. Dáár moeten we de nodige veerkracht ontwikkelen, voor zover dat niet reeds is gebeurd. De rest van BCM is business as usual waarvoor in de hybride wereld amper iets verandert.

Het is vandaag trouwens vrijdag de 13^e. Een perfecte dag om het over calamiteiten te hebben.

 

En in de grote boze buitenwereld …

• slaan Apple, Google en Microsoft de handen ineen om een veilige, wachtwoordloze logins mogelijk te maken.
• mag je reclame niet vermommen als servicebericht.
• lagen gegevens over jou en jouw huis mogelijk op straat.
• geven bewindslieden een slecht voorbeeld met het gebruik van privémail en chat-apps.
• wil de Europese Commissie massasurveillance inzetten in de strijd tegen kinderporno.
• kunnen IT-diensten en -producten in Duitsland een veiligheidslabel krijgen van de overheid.
• zijn managed service providers vaak het doelwit van cyberdreigingen.
• lekken veel websites jouw e-mailadres en wachtwoord, vaak nog voordat je op verzenden hebt geklikt.
• krijgt Colonial Pipeline mogelijk een vette boete naar aanleiding van een ransomeware-aanval op het bedrijf.