Skjulte kostnader ved nedetid

"Oppetid" og "nedetid" er it-utfordringer som omtales og behandles med stadig mer viktighet. Det er både nedslående og oppsiktsvekkende å oppdage at hele 54 prosent av spurte norske it-ledere ikke har vurdert kostnader forbundet med nedetid.
Oppetid og nedetid er to sider av samme sak kan du kanskje med rette si. Men hvordan kan man vurdere behovsgraden av oppetid hvis man ikke har vurdert konsekvensen av nedetid? Er 99 % oppetid tilstrekkelig? Eller må man ha 99,9 %, kanskje 99,999?

Det er bortimot meningsløst å vurdere dette hvis man ikke samtidig har vurdert følgene av datatrøbbel og det som verst tenkelig er, fullstendig datasammenbrudd, datakræsj, tap av kritiske data, katastrofe... Er noen minutter eller timer med datatrøbbel akseptabelt, eller snakker vi om dager

Uansett; nedetid koster, og det kan koste uhorvelig dyrt skal vi tro Cap Gemini Ernst & Young. Ja faktisk koster det milliardbeløp pr år. Skjulte it-kostnader som følge av nedetid alene, koster ifølge CGEY, i denne it-avis, det norske samfunn nesten 12 milliarder pr år! Gartner Group kan vise til tilsvarende tallstørrelser. Dette er kostnader som ikke synes i noe vanlig regnskap for it-kostnader, men som likevel er ille nok for dem det berører.

For eksempel kostet det den Danske Bank titalls millioner danske kroner å dekke kundenes tap etter at bankens datasystemer falt ned 5 dager i mars i år.

Her hjemme har EDB Fellesdata blitt saksøkt av både den ene og andre banken etter katastrofal nedetid, og har måttet inngå hemmelige erstatningsforlik. Telenor og NetCom har heller ikke sluppet unna. Statens nettsider stoppet en hel uke i januar pga. at Telenor ikke hadde sikret seg. Nå i sommer var det NetCom som fikk gjennomgå da store deler av mobilnettet falt ut. Og om ikke det er nok fikk vi 8alle8 - direkte eller indirekte - merke Sobig.F-virusets herjinger for litt siden.

I lys av dette er det derfor ganske oppsiktsvekkende at over halvparten av it-lederne spurt i markedsundersøkelsen ikke har vurdert kostnader i forbindelse med nedetid i sin it-infrastruktur. Er det fordi man er villig til å ta risken? Eller er det mer plausible grunner? Sannsynligvis er de fleste av oss også på dette området for naive. Man tenker at "det skjer forhåpentligvis ikke oss", og krysser fingrene inntil noe alvorlig inntreffer. Da først tar man affære. Men da koster det gjerne det mangedobbelte for å rydde opp i fadesen.

Derfor er det lov å undre seg ytterligere når hele 57 % av it-lederne medgir at virksomheten også har tekniske utfordringer i å sikre garantert oppetid. Og at mer enn en tredel (36 %) ikke har anskaffet/vurdert løsninger som varsler innbruddsforsøk. Eller at 66 % ikke har anskaffet/vurdert å bruke flere internettforbindelser for å redusere nedetid...!

Nedetid kan selvsagt forårsakes av så mangt; fra menneskelige feil og tabber, til maskinvarefeil, systemfeil, applikasjonsfeil, nettverksfeil, internett, VPN, sikkerhetshull i OS, virus, ormer, spamming, datainnbrudd, osv.

De fleste har etter hvert blitt relativt flinke på å sikre seg rent maskinvare- og programvaremessig, og har katastrofeløsninger for kritisk it-infrastruktur. Det store og voksende spøkelset er sikkerheten i forbindelse med nettverk, internett og mobile løsninger som tvinger seg frem i stadig større omfang.

Men også på dette området er det mulig å sikre seg som best man kan, uten at det behøver å koste skjorta. Første betingelse er som sagt at man vet konsekvensene og kostnadene ved eventuell nedetid, og dermed hvilke risiki man kan akseptere. Ingen vits i å bruke all verdens penger og sikre seg på alle bauger og kanter hvis konsekvensene er små.

Alle virksomheter ) det være seg bedrifter eller offentlige virksomheter - kan sikre seg i mye større grad enn det de gjør i dag. Forutsetningen er imidlertid at man vet svaret på viktige spørsmål som: Hva koster det om it-systemene er nede i to timer, i to dager, osv.? Hvor sårbar er bedriften for IT-katastrofer? Og hva om helt kritiske data går tapt?

Hvilke risiki kan man så akseptere og ta ut fra konsekvensbetraktningene? Og hvilke risiki er man så villig til å ta? Det er to vidt forskjellige spørsmål.

Helhetsvurderinger basert på en sikkerhetspolicy og TCO (Total Cost of Ownership) er derfor nøkkelen. At man ser på alle utgifter og kostnader ved: nedetid, tilgjengelighet, internettforbindelser, brannvegg, VPN, maskinvare, programvare, support- og vedlikeholdsavgifter, telekommunikasjonsutgifter -- og personell- og reisekostnader som påføres ved installasjon og vedlikehold av systemene.

Ingen virksomheter er verken innbruddssikre eller feilfrie hva angår it. Selvransakelse og systematisk arbeid må til. Det er mulig å sikre seg fornuftigst mulig. Utfordringen er å gjøre noe med det før den store smellen kommer. For den rammer mest sannsynlig de fleste av oss før eller siden.

 

 

Av: John-Patrick Skaar, Stonesoft Norge og Sturla Grelland, WM-data