'ICT’ers moeten zich realiseren dat continuïteitsmanagement altijd een rol speelt.'
Ton is manager security & privacy bij de Belastingdienst. Tijdens het online event BD Kenniscafé ICT: IT-ontwikkelingen in crisistijd sprak hij over crisis- en continuïteitsmanagement. Omdat altijd en overal een crisis kan ontstaan en je zo’n situatie, zeker als ICT’er, kunt proberen voor te zijn óf zo slim mogelijk kunt oplossen.
Ton, wat maakt crisis- en continuïteitsmanagement zo belangrijk?
‘Crisismanagement komt om de hoek kijken wanneer iets je bedrijfsvoering zodanig verstoort dat je (tijdelijk) maatregelen moet nemen. Crisismanagement gaat hand in hand met continuïteitsmanagement, wat in het geval van ICT bijvoorbeeld betekent dat een bedrijf ‘in de lucht’ blijft bij eventuele uitval. Over het algemeen houdt het in dat een organisatie zich voorbereidt op een crisis. Continuïteitsmanagement is weer een onderdeel van integrale beveiliging, omdat het in feite gaat over het beschermen van de organisatie.’
Hoe zijn jullie in de COVID-19 casus te werk gegaan?
‘Zoals Rutte begin april al zei, moet je met 50% van de informatie voor 100% beslissen. Dat is typisch crisismanagement. Vanaf het begin werd binnen de Belastingdienst gekeken naar hoe de bedrijfsvoering zoveel mogelijk door kon gaan. Daarom moest er allereerst gekeken worden naar het thuiswerken: wat gaat dat voor effect hebben en kán het überhaupt? We maakten als Belastingdienst nog geen gebruik van Webex of een ander soort videoconferentie-programma, maar opeens zaten 28.000 mensen thuis. En die mensen moesten met elkaar vergaderen. Met het team is daarom een risicoassessment gemaakt van Webex, met betrekking tot beveiliging en privacy, en op basis daarvan is de situatie destijds geanalyseerd. Eén ding was zeker: er mochten geen Belastingdienst-data belanden op privé-devices. Over dat soort dingen en meer moet je dus duidelijke afspraken maken.’
Kun je het belang van continuïteitsmanagement voor de ICT uitleggen?
‘ICT’ers moeten zich realiseren dat continuïteitsmanagement altijd een rol speelt; het heeft direct effect op je werk. Als je als ICT’er iets bouwt, moet je het eigenlijk zo bouwen dat het een eventuele crisis zou overleven. Dus niet één, maar twee specifieke servers ontwikkelen die een bepaalde dienst verlenen. Want als een harde schijf crasht, heb je altijd de andere server nog. En er moet regelmatig worden getest of dingen nog wel werken. Stel bijvoorbeeld dat je een back-up maakt van een belangrijke harde schijf. Als je die schijf niet updatet, kan het zijn dat de programmeertaal is veranderd en de schijf niet meer uit te lezen is. En als je de documentatie voor je product niet goed bijhoudt, heeft niemand er meer iets aan als je onder de tram komt. Kortom: voor ICT is continuïteitsmanagement van levensbelang.’
Wat vind je zo leuk aan je werk?
‘Het is vrijwel altijd maatwerk, in plaats van routine. Het vraagstuk dat je voor je neus hebt moet je elke keer weer koppelen aan de context. Op zichzelf kan iets bijvoorbeeld geen probleem zijn, maar als je naar de context kijkt misschien wel. Stel dat je een camera op de voordeur zet, maar nog steeds een deur aan de achterkant hebt waar iedereen in- en uitloopt, dan heb je nog steeds niet het veiligheidseffect dat je wilt hebben, bijvoorbeeld. In beveiliging en crisis- en continuïteitsmanagement is de context altijd van belang. Ik vind het uitdagend om iedere keer weer te puzzelen om zo problemen voor te zijn of deze op te lossen wanneer ze zich voordoen.’