De kosten van IT-downtime

Realistisch gezien lopen bedrijven meer risico op een inbraak dan een computermisdaad. Maar een falend netwerk, of dat nu veroorzaakt wordt door een virus, een gerichte aanval of een menselijke fout, kan wel aanzienlijk grotere gevolgen hebben dan een gewone inbraak.

Hoewel de risico’s wel geminimaliseerd kunnen worden, is er geen enkele oplossing die kan garanderen dat het netwerk voor 100% beveiligd is. Bedrijven moeten dan ook bepalen hoe kwetsbaar zij zijn voor systeemfalen en wat de kosten zijn van eventuele downtime. Pas dan kunnen zij zich afdoende verzekeren tegen de gevolgen van security-incidenten.

Netwerkrisico’s nemen toe
Uit onderzoek van de Economist Intelligence Unit is gebleken dat bijna 60% van de onderzochte organisaties in het afgelopen jaar financiële schade heeft geleden door een grote systeembreuk of downtime. En bijna een kwart van die organisaties heeft in dezelfde periode drie of meer van dit soort incidenten gehad.

Dit onderzoek liet ook zien dat netwerkrisico’s, na reputatierisico’s, de grootste zorg zijn voor bedrijven. Ze hangen wel nauw samen: security-incidenten kunnen het vertrouwen in het merk en de reputatie van een organisatie immers aanzienlijke schade toebrengen.

De investeringen in IT-security zijn dan ook alleen maar toegenomen. Desondanks blijft de impact op bedrijven escaleren. Er is geen magische oplossing die verlies door downtime, security-breuken of misbruik van IT-systemen kan voorkomen, en ook traditionele verzekeringen bieden geen uitkomst. Ongeveer een derde van de organisaties vertrouwt er – ten onrechte – op dat hun bestaande risico- en aansprakelijkheidsprogramma’s verliezen als gevolg van een securitybreuk zullen dekken. Dit soort verzekeringen dekt echter over het algemeen geen ontastbare zaken zoals gegevens. Dit maakt bedrijven bijzonder kwetsbaar.

Risico’s minimaliseren
Organisaties moeten er dan ook proactief voor zorgen dat het niveau van beveiliging aansluit op hun exacte behoeften. Hiervoor moeten zij hun belangrijkste bedrijfsprocessen in kaart brengen en bepalen in hoeverre die processen afhankelijk zijn van de computer- en telecomnetwerken. Zo kan bepaald worden hoe kwetsbaar het bedrijf is voor systeemfalen.

Bedrijven kunnen securityrisico’s vervolgens minimaliseren door de aard van die risico’s en hun mogelijke impact in kaart te brengen. Evalueer hiervoor de bestaande beveiliging, bijvoorbeeld door penetratietests en interviews met belangrijke werknemers, en gebruik erkende standaarden voor informatiebeveiliging, zoals ISO1799, als benchmark.

Netwerksecurity is echter meer dan een IT-issue. Het moet gezien worden als een uitdaging voor de gehele organisatie, niet als een technisch probleem dat aan de IT-afdeling overgelaten kan worden. Om hun organisatie te beschermen, moeten bedrijven begrijpen wat de problemen en de oplossingen zijn. Deze variëren in complexiteit, maar zijn allemaal afhankelijk van training en bewustzijn van de werknemers, in combinatie met de technologie.

Een gelaagde beveiliging is veruit de beste beveiliging. Vertrouw daarom niet alleen op technische producten, zoals antivirussoftware, firewalls en intrusion detection of prevention systemen, maar ontwikkel ook gedragslijnen en training voor werknemers, en maak bijvoorbeeld gebruik van encryptie voor de opslag en verzending van gegevens.

Tot slot is succesvol herstel van een security-incident onmogelijk zonder een grondige voorbereiding. Zorg voor business continuity of disaster recovery plannen, maak afspraken met hardware- en softwareleveranciers, en wederzijdse afspraken met andere organisaties.

De kosten van downtime
De risico’s en bedreigingen voor organisaties zijn echt en worden steeds geavanceerder. Downtime kan erg kostbaar zijn; kijk voor het berekenen van de precieze kosten naar:
• het aantal getroffen werknemers;
• de grootte van de impact (de afname in productiviteit als een percentage van de gemiddelde bedrijfsbrede opbrengs/productie);
• de gemiddelde arbeidskosten per uur;
• het aantal downtime uren per jaar.

Bepaal hoe lang downtime kan duren voordat het negatieve gevolgen heeft voor de omzet en de relaties met klanten en partners. Het is cruciaal om downtime volledig te documenteren: het juiste niveau van bescherming hangt af van het exacte aantal uren downtime per jaar.

Daarnaast moet worden gekeken naar de bruto inkomsten. Organisaties hebben over het algemeen een exact beeld van hun omzet, maar wellicht een slechter begrip van hun bruto marge als percentage van hun omzet: bruto marge = omzet – variabele kosten.

Variabele kosten worden onder andere bepaald door de kosten voor ruwe materialen, nutsvoorzieningen, uitbestede diensten en componenten, en tijdelijk personeel. Dit percentage kan enorm variëren, van 20% (bijvoorbeeld in de industrie) tot 85% (in dienstensectoren). Ook hier is een goede raming dus cruciaal.

Bij de analyse van de kosten moet ook gekeken worden naar de tijd die nodig is voor het herinvoeren van gegevens, het opnieuw samenstellen van dossiers, het herstellen van de productie, kosten van tijdelijk personeel of overuren, huur van materiaal, compensaties voor contractbreuken, en het herstel van een ‘besmette’ reputatie.

Risico-overdracht
Net zoals het beperken van downtime vrij eenvoudig of juist erg complex kan zijn, kunnen oplossingen voor risico-overdracht aanzienlijk variëren, afhankelijk van vereisten en (waargenomen) risico. Verzekeringen voor netwerksecurity bieden financiële ondersteuning voor het herstellen van gegevens, hogere arbeidskosten en het inkomstenverlies tot een periode van drie maanden na de feitelijke gebeurtenis. Ook dekken ze activitatie- en gebruikskosten van eventuele business continuity- en disaster recovery-programma’s, en de kosten die nodig zijn voor het herstel van de reputatie.

‘Self insurance’ is een optie, maar waarschijnlijk geen levensvatbare: hoeveel kapitaal is nodig om opzij te zetten voor onvoorziene gebeurtenissen zoals inkomstenverlies, de kosten van het herstel van gegevens of aansprakelijkheid? Het inkopen van een netwerksecurityverzekering zal kapitaal vrij maken dat beter elders ingezet kan worden in de onderneming.

Door Sijo Oudendag
Technical Lines Manager Benelux, Property & Casualty Division, ACE Europe