Hoe kunnen CIO’s en CISO’s IT-veerkracht demonstreren

Voor IT-leiders zijn dit soort gebeurtenissen geen uitzonderingen meer. Of ze nu worden veroorzaakt door cyberaanvallen, extreem weer, veranderingen in de supply chain, sabotage of geopolitieke instabiliteit: onverwachte uitval komt steeds vaker en ernstiger voor. Besturen stellen terecht vragen over of hun organisaties wel voorbereid zijn op grote verstoringen. CIO’s en CISO’s moeten deze vragen met duidelijkheid, vertrouwen en bewijs kunnen beantwoorden. Hoe werkt dat in de praktijk?

Toon aan dat de infrastructuur veerkrachtig is

Besturen zijn zich er steeds meer van bewust dat een back-upsysteem alleen geen garantie biedt voor continuïteit. Als zowel het primaire systeem als het back-upsysteem zich in dezelfde geografische regio bevinden, kan één regionale storing alles platleggen.

IT-leiders moeten kunnen aantonen dat er in de infrastructuurstrategie rekening gehouden wordt met geografische diversiteit. Daarnaast moeten cloud- en datacenterpartners ook goed beoordeeld worden: niet alleen op technische specificaties, maar ook op operationele paraatheid. Beschikken ze bijvoorbeeld over onafhankelijke stroombronnen en contracten voor brandstoflevering om generatoren draaiende te houden?

Het is daarnaast cruciaal om een scenarioplanning te hebben die de impact in kaart brengt van storingen die een uur, een dag of een week duren - in verschillende regio’s. Deze oefening kan single points of failure, onderlinge afhankelijkheden en de duur van hersteltijd aan het licht brengen, waardoor besturen een duidelijker beeld krijgen van de risicoblootstelling.

Bewijs dat continuïteitsplannen zijn opgesteld voor de realiteit, niet alleen voor naleving

Veel continuïteits- en disaster recovery (BC/DR)-plannen zien er op papier goed uit, maar schieten tekort tijdens echte crises. Bestuurders weten dit en willen zien dat de plannen onder druk zijn getest.

Zorg er dus voor dat je kunt aantonen dat je beschikt over mogelijkheden voor directe incidentdetectie, effectieve responscoördinatie en continuïteit van belangrijke services - zelfs tijdens grote storingen. Dit vraagt om centrale monitoring van alle kritieke systemen, regelmatig geteste noodprocedures (failover) én duidelijke rapportage naar de directie als er iets misgaat, zodat er snel en effectief kan worden ingegrepen.

Je moet ook rekening houden met de realiteit van herstelscenario’s. Het herstarten van honderden of duizenden systemen na een plotselinge storing kan zelden direct en het terugkeren naar volledige operationele capaciteit kan verder worden bemoeilijkt door aanhoudende storingen bij externe partijen. Laat zien dan teams deze processen hebben geoefend in simulaties, testversies of stresstests in de praktijk.

De boodschap aan het bestuur zou moeten zijn: “We hebben niet alleen rekening gehouden met de beste scenario’s, maar ook met de scenario’s waar je ‘s nachts wakker van ligt.”

Toon aan dat de veerkracht van leveranciers is gevalideerd en niet vanzelfsprekend is

De meeste digitale infrastructuren zijn afhankelijk van externe dienstverleners, met name cloudgebaseerde platforms. Besturen hebben gelijk als ze zich afvragen hoe veerkrachtig deze partners werkelijk zijn.

Om besturen gerust te stellen moeten IT-leiders verder kijken dan SLA’s en uptimecijfers. Zorg ervoor dat inkoop-, risico- en IT-teams de veerkracht van leveranciers beoordelen, idealiter vóórdat het contract wordt opgetekend. Dit omvat het evalueren van de geografische spreiding, back-upmogelijkheden, het eigendom van de fysieke infrastructuur en hun eigen afhankelijkheden van derden.

Werken met een partner die prioriteit geeft aan veerkracht brengt vaak hogere kosten met zich mee, maar die investering loont juist tijdens een crisis. Organisaties die afhankelijk zijn van minder robuuste partners kunnen te maken krijgen met langdurige downtime, omzetverlies, reputatieschade en klantverloop. Om te bepalen of de meerprijs gerechtvaardigd is, moeten IT-leiders de potentiële impact van uitval kwantificeren en een moeilijke inkoopbeslissing omzetten in een duidelijke strategische noodzaak.

Het mandaat van de CIO en CISO

Besturen verwachten geen plannen meer op basis van prestaties uit het verleden of papieren beleid. Ze willen bewijs dat de organisatie klaar is voor wat er ook gebeurt - of het nu gaat om een natuurramp, cyberaanval of een systeemstoring.

Als CIO of CISO is het jouw rol om ervoor te zorgen dat de technische fundamenten van de organisatie bestand zijn tegen verstoringen - en om die paraatheid duidelijk, meetbaar en geloofwaardig te maken. Veerkracht gaat niet alleen over het snel herstellen van de IT-omgeving: het gaat erom de noodzaak daartoe te minimaliseren. Het bestuur moet weten dat de organisatie onverwachte gebeurtenissen kan overleven. Het is de taak van CIO of CISO om hen te laten zien dat dit mogelijk is.

Door: Rob Sloan, VP Cybersecurity Advocacy bij Zscaler