Opinie

Crisis: een slecht gemanaged incident

Wees als organisatie niet blind voor onvoorziene situaties met een grote impact

Stel, internationale media melden een grootschalige cyber aanval bij een beursgenoteerde financiële multinational. Bij deze aanval is een grote hoeveelheid data buitgemaakt. Het lijkt om zowel financiële informatie van bedrijven als om creditcard gegevens van miljoenen burgers te gaan. De Europese toezichthouder ESMA bevestigt het bericht. Het bedrijf zelf is echter niet bereikbaar voor een reactie.

19 februari 2015 - Theodorus Niemeijer en Guido Kamp

Op Twitter is het incident binnen dertig minuten trending topic. Al snel wordt het bedrijf beschuldigd van nalatigheid waar burgers het slachtoffer van zijn geworden. Sommige mensen twitteren zelfs dat hun spaarrekeningen leeggehaald zijn.

De onzekerheid van de situatie leidt tot onrust op de aandelenmarkt en aandeelhouders verkopen massaal hun aandeel met als gevolg een kelderende beurswaarde van het bedrijf.

Pas 24 uur na het incident komt het bedrijf met het bericht dat de situatie inmiddels onder controle is. Dit bericht komt voor de gedupeerden echter veel te laat. Het gevolg is een fikse reputatieschade voor de multinational en een financiële nachtmerrie.

Hoe had deze crisissituatie voorkomen kunnen worden? Wie had er verantwoordelijk gesteld moeten worden voor de geleden schade?
 

Incident- en crisismanagement

Hoe goed organisaties verdedigingsmechanismen ook hebben geïmplementeerd, een incident is nooit helemaal uit te sluiten. Ieder incident heeft de potentie om een crisis te worden. Bedrijven en overheden zijn gewend om frequent voorkomende incidenten, zoals een korte storing op het interne IT netwerk, op een juiste manier af te handelen. Echter, veel organisaties hebben een blinde vlek voor onvoorziene situaties, terwijl juist deze gebeurtenissen een grote impact hebben en genadeloos toe kunnen slaan. Organisaties dienen zich daarom tijdig voor te bereiden op uitzonderlijke situaties om zo sterker uit een crisissituatie te komen.
 

3 R’s – Readiness, Response en Recovery

Drie onderdelen zijn cruciaal voor een adequate crisis organisatie:

1.       Readiness – wees klaar voor het onverwachte. Door het opzetten van crisis organisaties op verschillende niveaus binnen de organisatie, een strategisch crisis management team en een operationeel incident response team. Een duidelijke structuur, besluitvorming, escalatieproces en een periodieke oefening door middel van verschillende scenario’s.

2.       Response – daadkrachtig reageren als de crisis daadwerkelijk plaatsvindt. Een geoliede crisis organisatie die kordaat besluiten neemt, uitvoert en opvolgt, op het juiste moment met beperkte informatie, minimaliseert de gevolgen van een incident en voorkomt een crisis.

3.       Recovery – herstel en verbeter. Nadat een incident is bestreden, moet de doorlopende crisis nog afgewikkeld worden. Een juiste en tijdige overgang van incident management naar crisis management is hierbij essentieel.


Achteraf blijkt dat het bedrijf dat in het scenario beschreven is niet beschikte over een geïntegreerde crisis management functie. Het incident response team was de eerste uren na de aanval druk bezig met het beveiligen van systemen en het uitschakelen van de hackers. Echter, er was geen team die het overzicht bewaarde en oog had voor de strategische gevolgen en de stakeholders. Was uw organisatie wel klaar geweest voor een dergelijke situatie? 

"Ieder incident heeft de potentie een crisis te worden"

Vond u dit nuttig?

Gerelateerde onderwerpen