Het grootste deel van zijn bestaan heeft IT-veerkracht zich gericht op uptime, om ervoor te zorgen dat systemen niet uitvallen, en als ze dat wel doen, ze zo snel mogelijk weer online te brengen.
Maar dat is slechts een deel van de vergelijking in dit moderne digitale tijdperk. Tegenwoordig betekent IT-veerkracht veel meer.
Denk bijvoorbeeld aan Brad Stone’s kijk erop. Als CIO voor Booz Allen Hamilton zegt Stone dat hij veerkracht in twee dimensies ziet: de ene gaat over het ononderbroken mogelijk maken van het bedrijf; de tweede gaat over het vermogen om je aan te passen, met veranderingen om te gaan en het onverwachte aan te pakken.
Bovendien, zegt Stone, betekent veerkracht nu dat je dat allemaal doet terwijl je continu de ervaring levert die gebruikers verwachten.
“Tien jaar geleden, als er een storing was, kwamen ze er wel overheen. Maar gebruikers en bedrijfsleiders verwachten tegenwoordig dat technologie altijd werkt en een geweldige ervaring is; de verwachtingen zijn nu zoveel hoger omdat IT zo’n enabler is, het is belangrijker geworden”, zegt hij. “Gebruikers eisen misschien geen perfectie, maar hun normen zijn echt heel hoog.”
Dat heeft op zijn beurt geleid tot een meer uitgebreide benadering om de IT-veerkracht van vandaag te waarborgen. Hier bieden experts en IT-leiders zeven best practices die CIO’s moeten toepassen om ervoor te zorgen dat ze voldoen aan de huidige verwachtingen van veerkracht.
1. Stem af op zakelijke behoeften
Ron Brown, directeur zakelijke veerkracht bij GuidePoint Security, een advies- en servicebedrijf, definieert IT-veerkracht als ervoor zorgen dat technologie altijd beschikbaar is, ook al erkent hij dat een dergelijke perfectie niet waarschijnlijk is.
“Je moet er rekening mee houden dat dingen op een gegeven moment uit zullen gaan”, zegt hij.
CIO’s kunnen zich het beste op die onvermijdelijkheid voorbereiden door duidelijk te maken welke systemen het belangrijkst zijn voor het bedrijf; die duidelijkheid laat IT weten waar ze zich het eerst op moeten concentreren tijdens elke soort storing, zegt hij.
“Het eerste dat je zonder twijfel moet doen, is dat je in lijn bent met het bedrijf, wat ze nodig hebben en waarvoor ze bereid zijn te betalen [to get] wat ze verwachten”, zegt Brown, waarbij hij opmerkt dat een analyse van de bedrijfsimpact IT en het bedrijfsleven kan helpen deze afstemming te krijgen. “En als je eenmaal dat inzicht hebt in wat de vereisten zijn voor het bedrijf, dan gaat het erom hoe je de services en mogelijkheden in kaart brengt en welke apps door welke groepen worden gebruikt, zodat als er iets misgaat, je weet waar je je prioriteiten moet leggen. om ze weer op de been te krijgen.”
2. Doorbreek silo’s
Richard Caralli, een voormalige CISO die nu werkt als senior adviseur voor Axio Global, een bedrijf voor cyberrisicobeheer, zegt dat hij veerkracht ziet als “een opkomende eigenschap die zich uitstrekt van het beheer van operationele risico’s.”
Om dat goed te doen, moeten IT-activiteiten en cyberbeveiliging samenwerken met leiders die toezicht houden op de planning van de bedrijfscontinuïteit/noodherstel. Dat gebeurt echter niet altijd, zegt Caralli.
“Deze activiteiten zijn vaak zo silo’s dat elke discipline werkt op basis van verschillende risicoaannames en scenario’s, terwijl ze in feite moeten samenkomen en samenwerken”, zegt hij.
Caralli zegt bijvoorbeeld dat het cyberbeveiligingsteam van een organisatie zich mogelijk richt op het creëren van een uitstekende verdedigingsstrategie om zo indringend te voorkomen, ze te detecteren als ze gebeuren en te reageren wanneer ze dat doen. Maar het team is misschien niet zo sterk in het plannen om “zo snel mogelijk terug te keren naar normale bedrijfsomstandigheden met de minste gevolgen” als cyberbeveiliging niet nauw samenwerkt met risico’s en IT, zegt Caralli.
“Als ze niet allemaal met elkaar praten, zijn ze misschien bezig met het plannen of kwantificeren van verschillende risico’s”, voegt hij eraan toe. “Ze moeten samen scenario’s plannen en uitvoeren. Als u het risico van een impactkant bekijkt en u zich kunt voorstellen wat voor soort gevolgen er kunnen optreden, kunt u beginnen met het kwantificeren van het risico en dan weet u waar u de volgende dollar aan uitgeeft, of u deze aan de preventiekant of aan de praktijken die de impact zullen verminderen.”
3. Maak je statistieken volwassen
Naarmate de IT-veerkracht is geëvolueerd, zegt Jorge Machado, een partner bij managementadviesbureau McKinsey & Co., dat CIO’s de metrische gegevens die ze gebruiken voor het meten en beheren van activiteiten moeten aanpassen om ervoor te zorgen dat ze aan de juiste doelstellingen voldoen.
“Als we een decennium teruggaan, gaat het traditioneel over uptime, beschikbaarheid van applicaties en gemiddelde hersteltijd”, zegt Machado. “Maar tegenwoordig, nu apps meer gericht zijn op microservices en we afstappen van monolietsystemen, moeten we op een meer genuanceerde manier meten.”
Hij en collega, McKinsey associate partner Arun Gundurao, suggereren metingen gericht op het vermogen om kritieke transacties uit te voeren, zoals het meten van fouten in klantinteracties, applicatie-ervaring vanuit het perspectief van de gebruiker of serviceniveaudoelstellingen.
“Het gaat het bedrijf om deze applicatie of deze customer journey”, zegt Gundurao. “Je wilt meten wat de business wil meten.’
4. Oefenen
Veerkracht betekent volgens Stone succesvol omgaan met onverwachte omstandigheden. En om dat te doen, zorgt Stone ervoor dat zijn IT-afdeling niet onvoorbereid is. Dat betekent trainen, testen en oefenen met tafeloefeningen en simulaties.
“Het is oefeningen doen, een cluster neerhalen en niet vertellen” [everyone] en kijken hoe mensen reageren. Het is bijna als een live-fire simulatie. Je moet dat voorzichtig doen, op het juiste moment, maar het moet wel deel uitmaken van je cadans”, zegt hij. “Je moet die standaard operationele procedures hebben, ze doornemen en verfijnen. Je moet bereid zijn om je personeel ongemakkelijk te maken, ze uit te dagen. Het geeft ze wat kameraadschap omdat ze weten dat ze dingen kunnen doorstaan.”
Stone zegt dat dergelijke oefeningen CIO’s en hun managers de kans geven om vertrouwen op te bouwen in processen die goed werken en spiergeheugen opbouwen, en om zwakke punten te identificeren, zoals een gebrek aan redundantie bij werknemers die zijn opgeleid in sleuteltechnologieën of een gebrek aan back-upprocedures als een bepaalde toepassing mislukt.
5. Veerkracht van architecten
IT-adviseurs benadrukken dat het belangrijk is om veerkracht in de architectuur zelf in te bouwen door bijvoorbeeld instances en payloads over geografische locaties te distribueren.
Een manier om te zorgen voor veerkrachtige systemen is om “wat je doet te vereenvoudigen, zodat je het echt goed kunt doen om aan de verwachtingen te voldoen”, zegt Stone, en hij merkt op dat een dergelijke aanpak ook helpt voorkomen dat teams overbelast raken.
Het combineren van automatisering voor incident-, probleem- en wijzigingsbeheer helpt ook om veerkracht op te bouwen, voegt hij eraan toe.
Gundurao raadt aan om Site Reliability Engineering (SRE) toe te passen, een reeks principes en praktijken voor infrastructuur en operaties die gericht zijn op het creëren van schaalbare, betrouwbare systemen. SRE – en degenen die zijn getraind in de principes ervan – richt zich op het bouwen van IT, niet alleen om goed te werken in blauwe luchten, maar ook om door stormachtige luchten te werken, voegt Machado eraan toe.
Andrew Long, Global Enterprise Architecture Lead bij Accenture, ziet dat grote traditionele organisaties in toenemende mate de principes, technologieën en methoden overnemen die worden gebruikt door digital-native organisaties om veerkrachtigere IT-systemen te ontwerpen. “Dit heeft het bedrijf in staat gesteld zijn weerbaarheid tegen ontwrichtende zakelijke gebeurtenissen te verbeteren en daardoor concurrerender te worden”, zegt hij.
Om dit te doen, leggen IT-leiders de nadruk op snelheid en wendbaarheid, gegevensgerichtheid en decentralisatie, evenals continue integratie en levering, SRE en microservices om de zakelijke mogelijkheden te leveren die de toekomstige organisatie nodig heeft … zegt.
Ze verschuiven ook van traditionele op waterval gebaseerde IT-projectlevering naar “meer productgerichte IT-levering en operaties, die de neiging hebben om bredere, meer strategische vereisten in overweging te nemen die IT-veerkracht ondersteunen”, voegt hij eraan toe.
“Bijna alle organisaties hebben een deel van het IT-domein in de cloud”, zegt Long, maar de sleutel is “te overwegen welke unieke cloudmogelijkheden kunnen worden benut om het vermogen van de organisatie om wendbaarder en veerkrachtiger te worden te vergroten.”
6. Blijf waakzaam
Organisatorische risico’s, zakelijke behoeften en technologie zullen allemaal blijven evolueren, net als de praktijken rond IT-veerkracht, zeggen experts.
“Ga in gesprek met het bedrijf om te begrijpen waar ze de risico’s van bedrijfsverstoring zien, de omvang van het risico en, cruciaal, hoe ze dit risico en dus de potentiële waarde kwantificeren”, zegt Long. Door een duidelijk inzicht te hebben in de huidige staat van uw technologielandschap, kunt u beter begrijpen hoe uw organisatie op deze verstoring kan reageren en waar de kritieke risicogebieden zich bevinden.
“Bevestig de specifieke interventies die moeten worden ondernomen om het risico te minimaliseren en ontwikkel een routekaart om verandering te bewerkstelligen”, zegt Long, eraan toevoegend dat de uitvoering van deze routekaart alleen mogelijk is “als iedereen op één lijn zit met het bedrijfsrisico.”
7. Laat het bedrijfsleven delen in de verantwoordelijkheid
De zakelijke kant heeft ook een rol te spelen in de veerkracht van IT, zegt Machado, dus leiders van bedrijfseenheden moeten er ook enige verantwoordelijkheid voor hebben.
“Ik denk dat je een verantwoordingsmodel moet hebben, en we vinden dat het met het bedrijf moet worden gedeeld”, legt hij uit, “dus wie de app bouwt, moet er ook verantwoordelijk voor zijn. Het moet niet alleen de rol van de CIO zijn.”
Machado pleit er niet voor dat bedrijfsonderdelen de IT-activiteiten en het dagelijkse beheer van apps en systemen overnemen; hij zegt eerder dat ze moeten begrijpen dat hun vereisten en prioriteiten de veerkracht kunnen beïnvloeden.
Als leiders van business units bijvoorbeeld voortdurend prioriteit geven aan time-to-market en snelheid om waarde te creëren, dan moeten ze gezamenlijk verantwoordelijk zijn voor de vraag of en in hoeverre dat de veerkracht kan beïnvloeden.
