ISO 27031 Realiteitscheck: waarom ITSCM niet voldoende is en ISO 27031 echt BCM vereist

ISO 27031 Realiteitscheck: waarom ITSCM niet voldoende is en ISO 27031 echt BCM vereist

In veel bedrijven heerst een gevaarlijke misvatting: IT-afdelingen verwarren IT Service Continuity Management met echt Business Continuity Management. Deze verkeerde inschatting leidt tot een riskante lacune in de veerkracht, omdat voorbij wordt gegaan aan het feit dat ook de IT zelf een onafhankelijke, kwetsbare bedrijfsactiviteit is.

In het bedrijfsleven is een gevaarlijk misverstand ontstaan: IT-afdelingen gaan ervan uit dat de implementatie van IT Service Continuity Management (ITSCM) gelijk staat aan een volwaardig Business Continuity Management (BCM) voor hun eigen afdeling. Deze aanname, waarbij IT alleen wordt gezien als dienstverlener voor andere afdelingen, zorgt voor een kritieke lacune in de veerkracht. Hierbij wordt voorbijgegaan aan het feit dat de IT-organisatie zelf een complexe bedrijfseenheid is met eigen, niet-technische zwakke punten – van sleutelpersoneel en locaties tot leveranciers.

De nieuwe internationale norm ISO/IEC 27031:2025 stelt deze status quo ter discussie. De norm eist ondubbelzinnig de integratie van een holistische BCM-aanpak in de IT-functie zelf en behandelt deze als een bedrijfseenheid die moet worden beveiligd.

Het fundamentele misverstand: waarom IT zijn eigen BCM nodig heeft

In organisaties heerst een conceptuele onduidelijkheid die in geval van crisis rampzalige gevolgen kan hebben: de verwarring tussen BCM en ITSCM.

Business Continuity Management is een holistisch en strategisch managementproces dat tot doel heeft de tijdkritische bedrijfsprocessen van de hele organisatie te beschermen tegen de gevolgen van gebeurtenissen met uitvalpotentieel. BCM houdt rekening met alle middelen die bijdragen aan de waardecreatie: mensen, infrastructuur, toeleveringsketens en technologie.

IT Service Continuity Management daarentegen is een gespecialiseerde discipline en een onderdeel van BCM. Het richt zich uitsluitend op het herstarten en herstellen van de technologische infrastructuur en IT-services om de door het bedrijf in het BCM-proces gedefinieerde doelstellingen te bereiken. ITSCM is de technische bijdrage van IT aan de algehele veerkracht van het bedrijf.

Het probleem ontstaat wanneer de IT-afdeling haar taak als volbracht beschouwt zodra ze een IT-herstelplan heeft. Ze vergeet daarbij dat ze zelf een tijdkritische bedrijfseenheid is, die op manieren kan uitvallen die veel verder gaan dan een loutere systeemstoring. Een IT-herstelplan regelt misschien wel het opnieuw opstarten en herstellen van een server, maar het geeft geen antwoord op de vraag wat er gebeurt als de daarvoor benodigde beheerders door een pandemie niet beschikbaar zijn.

De wortels van het misverstand: een historisch-culturele analyse

Deze gevaarlijke vereenvoudiging is geen toeval, maar het resultaat van een lange ontwikkeling die wordt gekenmerkt door organisatorische silo's en de invloed van gevestigde kaders.

  • Sinds het begin van bedrijfs-IT werden IT-afdelingen vaak beschouwd als gecentraliseerde, technische ondersteunende eenheden die organisatorisch gescheiden waren van de kernactiviteiten, wat leidde tot historische silo's tussen business en IT. Deze scheiding leidde tot verschillende prioriteiten, communicatiebarrières en een gebrek aan gedeelde verantwoordelijkheid voor de algehele veerkracht van het bedrijf. De business “bestelt” diensten, de IT “levert” ze – een dynamiek die een geïntegreerd begrip van BCM bemoeilijkt.

  • Het wijdverbreide ITIL-raamwerk (IT Infrastructure Library) heeft de IT weliswaar geprofessionaliseerd, maar tegelijkertijd ook haar rol als dienstverlener geconsolideerd, wat kan worden aangeduid als het ITIL-effect. Aangezien ITSCM een kernproces binnen ITIL is, hebben veel IT-organisaties dit geïnternaliseerd als hun primaire en vaak enige continuïteitsverplichting. Hiermee voldoen ze aan de eisen van hun framework, maar zien ze de noodzaak over het hoofd om zichzelf te beschouwen als een bedrijfseenheid die ook BCM nodig heeft.

  • IT-experts denken van nature in technologische oplossingen, wat leidt tot een technologiegerichte visie. Een “noodsituatie” wordt in de eerste plaats gezien als een systeemstoring, netwerkprobleem of cyberaanval. Het herstel en de back-up richten zich op gegevensback-ups en redundante hardware. Risico's zoals het uitvallen van sleutelpersoneel of het wegvallen van een tijdkritische leverancier vallen vaak buiten dit technologiegerichte kader.

Het mandaat van ISO 27031:2025: IT als te beveiligen bedrijfseenheid

De nieuwe norm ISO 27031 breekt radicaal met deze geïsoleerde visie. Het behandelt de IT-functie niet langer alleen als een technische dienstverlener, maar als een zelfstandige, tijdkritische bedrijfseenheid die een eigen, geïntegreerd BCM nodig heeft. Deze paradigmaverschuiving wordt onderbouwd door verschillende belangrijke aspecten van de norm:

  • De norm eist expliciet integratie in plaats van isolatie (hoofdstuk 6) van de “ICT Readiness for Business Continuity” (IRBC) in het algemene bedrijfs-BCM. Hierdoor wordt IT niet als externe leverancier gepositioneerd, maar als integraal onderdeel van de veerkrachtstrategie, dat zich aan dezelfde holistische principes moet onderwerpen als elke andere afdeling.

  • Een holistische focus op middelen wordt door ISO 27031 vastgesteld door expliciet de te beveiligen middelen van de IT-functie op te sommen. Dit omvat niet alleen technologie en gegevens, maar ook “staff competencies” (competenties van medewerkers), “facilities” (locaties), ‘processes’ (interne processen) en “suppliers” (leveranciers). Hiermee wordt ondubbelzinnig duidelijk gemaakt dat een pure ITSCM-aanpak, die zich alleen richt op het herstarten en herstellen van technologie en gegevens, niet voldoende is. De IT-afdeling moet plannen hebben voor het uitvallen van sleutelpersoneel, het verlies van hun werkplekken, het uitvallen van hun IT-infrastructuur en het uitvallen van hun eigen leveranciers.

  • De norm wijst het topmanagement een duidelijke verantwoordelijkheid (hoofdstuk 13) voor de beoordeling en goedkeuring van IRBC-strategieën. Dit tilt de continuïteit van de IT-functie zelf naar een strategisch niveau en geeft aan dat deze met dezelfde ernst moet worden behandeld als bijvoorbeeld de continuïteit van de productie.

ISO 27031 vereist dus dat IT zichzelf onderwerpt aan een business impact analyse en een BCM implementeert dat de eigen organisatie beveiligt, zodat deze überhaupt in staat is om zijn ITSCM-taken voor de rest van de onderneming te vervullen.

De risico's van de ITSCM-misvatting in de praktijk

Als een IT-afdeling alleen ITSCM toepast en denkt daarmee veerkrachtig te zijn, stelt zij het bedrijf bloot aan onberekenbare risico's. Een pure focus op technisch herstel laat tijdkritische, niet-technische uitvalsscenario's buiten beschouwing:

  • Een IT-herstelplan dat alleen de technische herstelstappen beschrijft, is waardeloos als er niemand is om het uit te voeren, wat het risico van uitval van sleutelpersoneel Wat gebeurt er als de weinige specialisten die een complex oud systeem of een kritieke database beheren, tegelijkertijd uitvallen als gevolg van een pandemie, een ongeval of een staking? Een BCM voor IT zou hier maatregelen vereisen zoals multi-skill-training, scheiding van kernvaardigheden en automatisering.

  • Het verlies van IT-locaties is een ander risico, want een brand in het administratiegebouw van de IT, een regionale overstroming of een stroomstoring die de werkplekken van de IT-medewerkers treft, kan het vermogen om de herstart en het herstel te coördineren lamleggen. ITSCM plant de herstart van servers in een alternatief datacenter, maar een BCM voor IT plant van waaruit de IT-teams deze herstart überhaupt kunnen aansturen en uitvoeren.

  • De IT zelf is afhankelijk van een reeks processen en het uitvallen van interne IT-processen kan een effectieve reactie op de eigenlijke noodsituatie onmogelijk maken. Als de systemen die deze interne processen ondersteunen (bijv. ticketsysteem, monitoringtools) of het daarvoor verantwoordelijke personeel uitvallen, verliest de IT zijn controlevermogen.

  • IT is in hoge mate afhankelijk van externe partners, waardoor het uitvallen van leveranciers een aanzienlijk risico vormt. Een ITSCM-plan kan voorzien in een back-up van de cloudgegevens, maar een BCM voor IT analyseert de contractuele verplichtingen, plant alternatieve leveranciers en definieert processen voor het geval een strategische partner uitvalt.

Conclusie

De aanname dat ITSCM of IRBC een BCM voor IT vervangt, is een van de gevaarlijkste hiaten in de veerkracht van moderne bedrijven. Deze aanname komt voort uit een verouderde, technologiegerichte visie en wordt versterkt door organisatorische silo's. ISO/IEC 27031 maakt onmiskenbaar duidelijk: IT is niet alleen een dienstverlener, maar een kritieke bedrijfseenheid die een eigen, geïntegreerd bedrijfscontinuïteitsbeheer nodig heeft.

Aanbevelingen voor het management en de verantwoordelijken:

  • Een duidelijke toewijzing van verantwoordelijkheden is cruciaal. Het management moet erkennen dat de IT-organisatie zelf een BCM nodig heeft. De verantwoordelijkheid voor dit “interne” BCM van de IT moet duidelijk bij de CIO/IT-manager worden gelegd, in nauwe samenwerking met de BCM-verantwoordelijke van het bedrijf.

  • Het uitvoeren van een BIA voor de IT-organisatie is essentieel. Voer een Business Impact Analyse uit die niet de IT-diensten voor anderen beoordeelt, maar de interne processen, het personeel, de locaties en de leveranciers van de IT-afdeling zelf. Identificeer de echte “single points of failure” binnen uw IT-organisatie.

  • De ontwikkeling van BCP in de IT is een must. Breid het perspectief van de bestaande IT- en disaster recovery-plannen uit met niet-technische aspecten. Maak concrete plannen voor scenario's zoals het uitvallen van sleutelpersoneel, het verlies van IT-werkplekken, het uitvallen van IT-infrastructuur en het uitvallen van kritieke IT-leveranciers.

  • Het opzetten van een geïntegreerde testcultuur is van fundamenteel belang. Voer oefeningen uit die niet alleen de technische failover testen, maar ook de veerkracht van de IT-organisatie zelf. Simuleer het uitvallen van IT-personeel en test of de gedocumenteerde processen ook door alternatieve teams kunnen worden uitgevoerd.

Sluit de veerkrachtkloof: is uw IT echt veerkrachtig of alleen herstelbaar?

ISO 27031:2025 vereist een nieuwe manier van denken. Een puur technisch herstelplan is niet langer voldoende om de IT zelf te beveiligen. Wij helpen u de kloof tussen ITSCM en een echt BCM voor uw IT te dichten – van de BIA voor uw IT-organisatie tot de ontwikkeling van geïntegreerde noodplannen. Neem contact met ons op om de veerkracht van uw IT te testen en er een crisisbestendige bedrijfseenheid van te maken.