Home Thema's IT-Continuïteit

IT-Continuïteit

Wat is IT-continuïteit
Bedrijfsvoering in Nederland gebeurt in bijna altijd digitaal. Daarom is het voor de meeste bedrijven ondenkbaar dat zij zonder hun IT-omgeving zaken moeten doen en in het ergste geval helemaal geen zaken meer kunnen doen. Om te zorgen dat organisaties kunnen blijven opereren is het van cruciaal belang dat bedrijven hun IT-continuïteit op orde hebben. 
  1. De eindverantwoordelijke leiding van een organisatie maakt keuzes met betrekking tot de vereiste beschikbaarheid van IT-systemen.
  2. De gemaakt keuzes wordt afgestemd binnen de organisatie om te waarborgen dat de minimumvereisten worden uitgedragen, zowel binnen de interne (IT-)organisatie, met IT-leveranciers en outsource providers
  3. Periodiek wordt de mogelijkheid om uit te wijken naar een back-up systeem getest voor kritische systemen. 

Van een organisatie mag worden verwacht dat zij IT-continuïteit heeft geregeld:

01

Risico gebaseerde keuzes voor continuïteit door een organisatie

 

Een organisatie wil haar doelstellingen bereiken. Daarnaast wil een organisatie waarborgen dat er geen verstoringen zijn om deze doelstellingen te bereiken. Dit vraagt om risico gebaseerde aanpak. Een organisatie moet dan ook bewust zijn van de risico’s omtrent uitval van hun IT-systemen en de impact hiervan op de bedrijfsvoering. Een passend beheersingssysteem omtrent continuïteit wordt dan ook bepaald door de (financiële) impact op het gehele bedrijf. Het bedrijf moet overwegen hoe snel systemen weer online moeten zijn na

uitval (Recovery Time Objective; RTO) en welk niveau van dataverlies acceptabel is (Recovery Point Objective; RPO). 

Hierbij is het ook van belang zich bewust te zijn van relevante wet- en regelgeving, zoals Burgerlijk Wetboek 2, Artikel 393, Lid 4, waarin auditors in het kader van de jaarrekening worden geacht een uitspraak te doen over de continuïteit van de geautomatiseerde gegevensverwerking. 

Voorbeelden zijn de richtlijnen voor IT-continuïteit van de British Standards Institution (BSI) BS 25777:2008, “Information and Communications Technology Continuity Management.”

02

Afstemming van continuïteitdoelstellingen binnen én buiten de organisatie.

 
Een organisatie stelt op basis van de gemaakte risico-analyse de doelstellingen (RTO/RPO) op met betrekking tot de continuïteit. Deze doelstellingen moeten ook worden uitgedragen door de IT-afdeling en eventuele derde partijen die verantwoordelijk zijn voor een deel van de IT-systemen.

Toch zien we vaak bij bedrijven dat deze afstemming beperkt plaatsvindt, waardoor de interne IT-organisatie onvoldoende maatregelen treft voor de IT-systemen die zij onderhouden,

maar ook bij de selectie van IT-leveranciers die de hosting van de IT-systemen overneemt. Voor het waarborgen van de continuïteit is het daarom van belang dat verantwoordelijk management niet alleen doelstellingen definieert, maar ook controles inregelt om deze uit te rollen voor alle IT-systemen.

Voorbeelden van richtlijnen voor uitbesteding en beheersing van IT zijn de “Good practices beheersingrisico's bij uitbesteding van De Nederlands Bank”.
03

Scope bepaling van recovery/failover testing

 
Nadat de risico-analyse is gemaakt en er intern en extern afstemming is over de doelstellingen, moet periodiek getoetst worden of de organisatie in staat is IT-systemen binnen de gestelde doelstellingen operationeel te krijgen na een calamiteit. Dit wordt vastgesteld op basis van recovery en failover testing.

Bij het uitvoeren van deze testen is het belangrijk dat met de juiste scope getest wordt. Zo kan de organisatie prima in staat zijn om een enkel IT-systeem weer live te krijgen, maar behaalt het de doelstellingen niet als meerdere systemen tegelijk uitvallen.  

Ten slotte is het belangrijk om alle kritieke functionaliteit te testen. Dit bestaat niet alleen uit het testen van individuele componenten, maar het testen van de volledige keten binnen de processen die door de IT-systemen ondersteund worden. Hierdoor worden in het testen ook interfaces tussen IT-systemen meegenomen wanneer processen door meerdere IT-systemen ondersteund worden.