Informatiebeveiliging en verzekeringen

Gisteren was het Hemelvaartsdag en hebben we een dagje bloggen overgeslagen. Maar, geen nood, vandaag maken we dat ruimschoots goed door in te gaan op verzekeringen. Bah, zul je misschien denken, maar uiteraard proberen we er weer een andere wending aan te geven. Maar goed, eerst maar even de vraag van de dag stellen:

Zijn er verzekeringen (maatregelen, reserveringen) afgesloten voor de gevolgen van een incident?

Bij verzekeringen denken we misschien direct aan verzekeringsmaatschappijen die toch niks uitkeren als we schade hebben geleden. Dat is dan misschien onderdeel van de term verzekeringen maar we bedoelen het hier toch meer in de bredere vorm van het woord. We kunnen namelijk ook zelf voorzieningen opnemen die we reserveren voor het geval we die nodig hebben. Ook hier geldt gewoon weer voor dat we op basis van kosten/baten analyses moeten bepalen wat we willen. Zijn we verplicht om ons te verzekeren of is het een vrijwillige keuze? Zijn we niet over- of onderverzekerd? En wat hebben we nu precies verzekerd dan?

Verzekeringen of gereserveerde voorzieningen, ik geloof het eigenlijk wel. Stap een keer naar de insurance afdeling of je verzekeringstussenpersoon en zij kunnen die analyse wel maken. De directe schade is dan wel of niet voldoende verzekerd.

Waar we het in de praktijk nog wel verkeerd zien gaan is de gevolgschade die ontstaat na een incident en die niet verzekerd is of niet te verzekeren is. De schade als gevolg van een brand zijn in dat kader een mooi voorbeeld (maar het geldt ook voor allerlei andere incidenten). We hebben onze boedel en inboedel wel goed verzekerd. Na de brand wordt er weer een mooi nieuw pand voor ons neergezet en worden de voorraden weer aangevuld zodat we aan de slag kunnen. Prima, uitstekend zelfs, onderverzekerd willen we nu ook weer niet zijn.

Maar hoe zit het nu met de gevolgschade? Ons gebouw is morgen niet opnieuw gebouwd, daar gaat al snel een paar jaar overheen. Gaan onze klanten op ons wachten in die tijd? Zeer waarschijnlijk niet. Onze kosten (bijvoorbeeld voor het personeel) lopen gewoon door en ons imago krijgt een diepe deuk. We lopen dus niet alleen omzet mis maar dragen nog steeds enorme kosten…die wel betaald moeten worden. De meeste organisaties gaan niet zozeer failliet aan het directe incident maar juist aan de gevolgschade, die ze nooit meer te boven komen. Deze gevolgschade is meestal niet verzekerd of niet te verzekeren…tenzij we daar zelf voorzieningen voortreffen of zorgen voor een uitstekend Business Continuity Management (in de breedste zin van het woord en dat is meer dan een IT uitwijklocatie).

Alle klanten begrijpen dat we na een ingrijpend incident moeilijker kunnen leveren, maar als we in staat zijn om de draad (zo goed en zo kwaad als het kan) weer snel op te pakken dan stijgt niet alleen het vertrouwen van onze klant in ons als organisatie maar draaien we ook weer snel een omzet (die misschien minder is dan normaal…maar minder is nog altijd beter dan niets). We kunnen de kosten dragen en gaan er niet kapot aan. We hebben er last van, maar kunnen er na verloop van tijd sterker uitkomen.

Verzekeringen, denk niet alleen aan de verzekeringsmaatschappij en de directe schade maar denk ook aan andere maatregelen die je kunt treffen om zo snel mogelijk weer “up and running” te zijn. Daarbij kijken we dus juist ook naar de gevolgschade en de wijze waarop we die kunnen beperken.

Boekenlegger op de permalink.