ISO 27031 Realiteitscheck: operationalisering van handmatige workarounds in het bedrijfscontinuïteitsplan

ISO 27031:2025 betekent een belangrijke ontwikkeling op het gebied van Business Continuity Management (BCM). Deze norm houdt rekening met het feit dat absolute technologische betrouwbaarheid niet haalbaar is en legt in plaats daarvan de nadruk op het vermogen van een organisatie om ook bij technologische storingen te kunnen blijven functioneren.

Het mandaat van ISO 27031:2025: veerkracht die verder gaat dan technologie

De norm ISO 27031:2025 markeert een essentiële aanpassing in Business Continuity Management (BCM). Deze norm erkent dat volledige technologische uitvalbeveiliging een illusie is en verlegt de focus naar de operationele handelingsbekwaamheid van een organisatie wanneer de technologie faalt.

De kern van deze heroriëntatie is clausule 6.6a. Deze schrijft ondubbelzinnig voor: als de informatie- en communicatietechnologie (ICT) niet kan voldoen aan de door de bedrijfsvoering vereiste hersteltijden (Recovery Time Objective – RTO) of hersteltijden (Recovery Point Objective – RPO) niet kan halen, moet de organisatie in het Business Continuity Plan (BCP) workarounds beschrijven die de bedrijfsvoering voor de duur van deze onderbreking zonder ICT mogelijk maken.

Deze eis wordt aangevuld door clausule 10.4, die “tijdelijke workarounds” als oplossing definieert. Dit zijn handmatige of gedeeltelijk handmatige processen die het mogelijk maken om tijdkritische bedrijfsprocessen met mogelijk minder efficiëntie voort te zetten totdat de IT-diensten weer beschikbaar zijn. De norm dwingt daarmee tot een eerlijke confrontatie met de kloof tussen de zakelijke eisen en de reële, vaak door het budget beperkte ICT-mogelijkheden.

Een cruciaal aspect dat in de praktijk vaak tot misverstanden leidt, is het noodzakelijke onderscheid tussen de hersteldoelstellingen van het bedrijf en die van de IT. De door de bedrijfsvoering gedefinieerde RTO (Business-RTO) geeft aan wanneer een bedrijfsproces weer moet draaien. Om dit te bereiken, moet de onderliggende ICT-infrastructuur noodzakelijkerwijs eerder hersteld zijn. De RTO van de ICT (ICT-RTO) moet dus aanzienlijk korter zijn dan de Business-RTO om een buffer te creëren voor het herstarten van de bedrijfsprocessen, de gegevensvalidatie en de communicatie. Nog belangrijker is echter de werkelijke hersteltijd (Recovery Time Actual, RTA). In tegenstelling tot de RTO, die een streefwaarde is, is de RTA de gemeten waarde die tijdens een test of simulatie wordt bepaald om de prestaties in geval van nood vast te stellen. De RTA is dus de ultieme realiteitscheck voor elk BCP.

De praktijkkloof: waarom bekende principes falen

Hoewel de principes van de ISO-norm bekend zijn in de vakwereld, bestaat er een gevaarlijke kloof tussen theorie en praktijk. De redenen hiervoor zijn systemisch en kunnen vaak worden teruggevoerd op fundamentele misvattingen:

Er ontstaat een organisatorische kloof omdat de verantwoordelijkheid voor het in stand houden van de bedrijfsvoering vaak ten onrechte wordt gezien als een pure IT-taak. De vakafdelingen definiëren hun vereisten, de IT levert wat het budget toelaat. De handmatige workaround van een bedrijfsproces valt in het verantwoordelijkheidsvacuüm tussen deze twee silo's. Geen van beide partijen voelt zich verantwoordelijk voor de financiering, ontwikkeling en het testen.
Het “papieren plan”-syndroom beschrijft het fenomeen waarbij veel BCP's alleen bestaan om te voldoen aan auditvereisten. Ze zijn vaak verouderd, niet getest en onrealistisch. Met name handmatige processen worden zelden functioneel getest, omdat dit operationeel veel werk kost. Een theoretische walkthrough-test is niet voldoende om de veerkracht van een handmatig proces onder stress te valideren.
Een gebrek aan duurzaamheidsplanning leidt ertoe dat handmatige workarounds vaak slechts voor zeer korte periodes zijn ontworpen. Recente incidenten, zoals de CrowdStrike-storing in 2024, hebben echter aangetoond dat het herstel dagen kan duren en enorme handmatige interventies vereist. Een niet-duurzaam handmatig proces kan door enorme inefficiëntie en een hoge foutgevoeligheid snel een onbeheersbare achterstand veroorzaken en zo leiden tot een op zichzelf staande, nog grotere crisis.

Deze systemische tekortkomingen zijn geen puur operationele tekortkomingen. Ze uiten zich in directe en vaak verwoestende financiële verliezen. Om de omvang van deze risico's te illustreren, geeft een studie van Information Technology Intelligence Consulting uit 2024 de volgende cijfers: Voor 90% van de bedrijven kost één uur downtime meer dan 300.000 dollar, waarbij 41% van de bedrijven zelfs kosten tussen 1 en 5 miljoen dollar per uur rapporteert. Dit onderstreept de economische noodzaak om de door de ISO-norm vereiste operationele veerkracht te creëren en het budget voor passende maatregelen te rechtvaardigen.

De doorslaggevende methodiek: de gap-analyse

Het proces waarbij de eisen van het bedrijf (Business-RTO) worden vergeleken met de bewezen capaciteiten van de IT (gemeten als RTA) is de gap-analyse. Deze analyse is geen oppervlakkige controle, maar een diepgaand, meerlagig onderzoek van de gehele technologische keten. Het begint bij de basisinfrastructuur, zoals de stroomvoorziening en airconditioning van het datacenter, gaat verder met de netwerkcomponenten, servers en opslagsystemen, tot aan de databases en uiteindelijk de applicatie zelf, die de bedrijfsdienst levert.

Elk van deze lagen heeft zijn eigen herstelkenmerken en afhankelijkheden. Alleen door een dergelijke gedetailleerde analyse kan de IT een realistische en eerlijke uitspraak doen over de werkelijke hersteltijd (RTA - bepaald door het testen van de verschillende componenten). Het resultaat van deze gap-analyse vormt de basis voor de strategische beslissing: ofwel wordt er geïnvesteerd in technologie om de kloof te dichten, ofwel wordt er een handmatige workaround ontwikkeld.

Een actiekader voor effectieve workarounds

Om aan de eisen van de norm te voldoen en de praktijkkloof te dichten, is een gestructureerde aanpak nodig:

Een duidelijke toewijzing van verantwoordelijkheden is cruciaal. De verantwoordelijkheid voor het ontwikkelen en onderhouden van handmatige workarounds moet expliciet worden toegewezen aan de procesverantwoordelijken van de bedrijfsprocessen, niet aan de IT-afdeling.
Het beschikbaar stellen van budgetten is essentieel. Creëer speciale begrotingsposten voor de middelen die nodig zijn voor handmatige workarounds – waaronder trainingstijd voor medewerkers, IT-hardware, drukkosten voor noodformulieren en het uitvoeren van realistische tests, eventueel met externe ondersteuning. De kwantificering en rapportage van risico's is een must. Maak een transparante gap-analyse en een kwantitatieve modellering van de potentiële bedrijfsrisico's.
Het kwantificeren en rapporteren van risico's is een must. Maak een transparante gap-analyse en een kwantitatieve modellering van de potentiële bedrijfsachterstand bij een storing. De businesscase voor investeringen in workarounds moet worden beargumenteerd op basis van de vermindering van het financiële restrisico, niet als pure kostenfactor.
Het creëren van een testcultuur is van fundamenteel belang. Zet een verplicht, progressief testprogramma op dat verder gaat dan eenvoudige tests en regelmatige functionele oefeningen voor deze workarounds voorschrijft. Bevorder een cultuur waarin zwakke punten die bij tests aan het licht komen, worden beschouwd als waardevolle inzichten en niet als mislukkingen.

De volgende stap: van planning naar daadwerkelijke veerkracht

De uitvoering van deze veeleisende taken, van gap-analyse tot de ontwikkeling van robuuste workarounds, vereist specifieke expertise. IRBC- en BCM-verantwoordelijken moeten interne drijvende krachten worden en de strategische noodzaak aan het management duidelijk maken. Externe expertise kan dit proces aanzienlijk versnellen. Onderneem nu actie, want dit is geen compliance-oefening, maar een strategische investering in het voortbestaan en de veerkracht van uw bedrijf.