2. Praat op een gemeenschappelijke manier over veerkracht en weerbaarheid
De afgelopen tien jaar hebben bedrijven veel tijd en energie gestoken in een gemeenschappelijke en bedrijfsbrede taal of terminologie. Toch zijn maar weinig daar helemaal in geslaagd. De meeste bedrijven beschikken weliswaar over verzamelingen terminologieën, maar die zijn stuk voor stuk ontwikkeld voor één specifieke toepassing: periodieke RCSA-processen (risk control self-assessment), operationele risico's, RRP's en derden . Ook is het voor veel bedrijven lastig de eindverantwoordelijkheid voor specifieke taken of afdelingen vast te leggen. Vaak worden inspanningen om tot procedureafspraken te komen beschouwd als iets wat de eerste lijn wordt opgelegd, niet iets wat bij de eerste lijn zelf vandaan komt. De eerste lijn ziet dit als iets wat controlegroepen moeten uitvoeren om hun werk te kunnen doen en klagen over de werkbaarheid als de tekst vanuit die controle is geschreven. Er zijn maar weinig managers in de eerste lijn die inzien dat dergelijke procedures cruciaal zijn voor operationele veerkracht en ze herkennen zich vaak niet in de manier waarop ze zijn geschreven.
3. Herken en beheer afhankelijkheden, single points of failure en de concentratie daarvan binnen en buiten het bedrijf
Alles in kaart brengen is niet genoeg. Het gaat er niet alleen om dat het bedrijf begrijpt hoe processen of gegevens lopen; minstens zo belangrijk is dat bekend is waar de knelpunten of concentratiegebieden zitten (bijv. de belangrijkste bedrijfsactiviteiten of -locaties). Denk aan IT-systemen of processen die een of meerdere cruciale stappen voor de levering van een dienst ondersteunen; aan een belangrijke afhankelijkheid upstream of downstream (iets wat vóór of na een specifiek proces plaatsvindt en de dienst tot stilstand zou brengen als het wegvalt); en zelfs aan belangrijke specialisten.
4. Zorg voor een strategie en bedrijfsmodel gericht op weerbaarheid van de hele organisatie
Steeds vaker zien bedrijven in dat hun inspanningen op het gebied van continuïteit en veerkracht te ver uit elkaar liggen. Zo kent een bedrijf vaak tal van activiteiten op het gebied van bedrijfscontinuïteit, rampenherstel, de respons op cyberaanvallen en crisismanagement. In veel gevallen bestaan er talloze crisis- en noodplannen voor de bedrijfsonderdelen, technologieën, personeelszaken en andere gebieden. Slechts enkele van die plannen zijn aan elkaar gekoppeld of consistent toegepast. En in maar weinig plannen zijn dezelfde of consistente triggers voor escalatie en besluitvorming ingebouwd. Bovendien hebben maar weinig bedrijven hun senior executives en/of bestuursraden voorbereid op een daadwerkelijke crisis. Het gevolg? Besluitvorming is in spannende tijden ondoeltreffend, foutgevoelig en traag.
5. Besteed aandacht aan preventie
Hoewel we snel geneigd zijn ons op respons en herstel te richten, moet er nog steeds veel aandacht zijn preventie om de kans op disruptie te verkleinen en de mogelijke gevolgen ervan beperken. Hier valt te denken aan de volgende strategieën:
- Segmenteer cruciale systemen, waaronder netwerken en systemen, en beperk het aantal aanvals- en toegangspunten
- Hanteer strengere toegangscontrole door gebruikersrechten te herbeoordelen, bijvoorbeeld wanneer iemand een andere functie gaat bekleden; met inbegrip van derden (vooral platforms die door klanten worden gehost)
- Pak verouderde IT aan om de afhankelijkheid van overbodige systemen te beperken; zorg dat verouderde IT-systemen geen kwetsbaarheden in cruciale processen vormen
- Ga effectief om met veranderingen veranderingen om de kans te verkleinen dat een matig uitgevoerde, slecht gecontroleerde of verkeerd getimede IT- of procesverandering resulteert in een disruptieve verandering
- Focus op veerkracht in het ontwerp — in plaats van veerkracht door herstel — zodat de weerbaarheidsprincipes meet af aan worden gevolgd bij het ontwerpen van nieuwe systemen of processen