Tag: backup

De kwaliteit van opgeslagen informatie

  door

De bewaartermijnen hebben we aan een onderzoek onderworpen. We weten welke termijnen wettelijk gelden en hebben voor de rest van de informatie bepaald hoelang we ze willen bewaren. Leuk allemaal, maar niet het doel op zich. We bewaren deze informatie omdat we er in de toekomst iets mee willen of mee moeten. Dan is het dus zaak om er voor te zorgen dat deze informatie in goede staat blijft en beschikbaar is op het moment dat het nodig is.

De vraag:
Wordt tijdens de opslag van de informatie (documenten, tapes, etc.) de kwaliteit van de informatie bewaakt (beschikbaarheid, gesteldheid, fysieke toestand, etc.)?

Het gaat er niet om om de informatie te bewaren en er nooit meer naar om te kijken. Het gaat er om dat we deze informatie kunnen gebruiken als dat nodig is. Bijvoorbeeld omdat we een storing hebben gehad en een back-up terug willen zetten of omdat de belastingdienst bewijsvoering vraagt. Is het dan niet handig om er zeker van te zijn dat we de opgeslagen informatie nog kunnen gebruiken?

We moeten dus eisen stellen aan de opslag. Willen we het liever op tapes hebben of stappen we over naar meer virtuele omgevingen? Waar slaan we de tapes dan op en waar staan die virtuele servers eigenlijk (ja ik weet het, ze zijn virtueel, eigenlijk is de vraag: waar staat die informatie dan)? Eerst een keuze dus hoe we deze informatie op gaan slaan. Stellen we de kwaliteitseisen goed dan moeten we ook nog testen of de opgeslagen gegevens daar nog aan voldoen.

Kunnen we de gegevens inderdaad nog gebruiken binnen de afgesproken bewaartermijnen of zijn de tapes inmiddels zo verkleefd dat we ze beter direct weg kunnen gooien? En als het ons lukt om de gegevens terug te halen, hoe betrouwbaar zijn die gegevens dan nog? Wie verteld ons dat deze gegevens niet gewijzigd zijn?

De gegevens mogen we dan bewaard hebben, maar beschikken we ook nog over de systemen om deze gegevens te lezen? Stel dat je een mooie back-up van je oude financiële gegevens hebt. We werkten toen nog in het oude boekhoudsysteem, weet je nog? Inmiddels zit alles in ons nieuwe systeem en dat werkt een stuk makkelijker, toch? Maar hebben we nog systemen beschikbaar met het oude systeem om de gegevens terug te halen of kan ons nieuwe systeem deze gegevens importeren?

Het doel was niet het opslaan van de gegevens maar het beschikbaar hebben van die gegevens als we ze nodig hebben. Te vaak zien we nog dat de gegevens wel in een back-up zijn opgeslagen, maar dat de software in geen velden of wegen meer te bekennen is. Leuk hoor, al die tapes, servers, floppy’s en USB-sticks, maar als de programmatuur ontbreekt kunnen we daar niet zo veel mee.

Dan nog een klein puntje van aandacht, dat gelukkig een minder groot probleem wordt omdat we meer en meer gaan virtualiseren: waar slaan we de back-ups eigenlijk op? Zeker als het om fysieke gegevens gaat, zoals tapes of papieren documenten die belangrijk voor ons zijn, moeten we ons die vraag stellen. Bewaren we alles in hetzelfde gebouw en wat doen we dan als het gebouw in een brand verloren gaat? Of slaan we ze op een andere locatie op en binnen hoeveel tijd kunnen we dan beschikken over die gegevens? Geen onoverkomelijke vragen, maar wel vragen die we moeten stellen en antwoorden waar we over na moeten denken. Zet de verschillende opties op een rij en bepaal de voor- en nadelen van de verschillende opties. Zo komen we vanzelf bij de voor ons best passende wijze van opslag, tegen de kwaliteit die we nodig hebben.

Het maken van reservekopieen

  door

Nu we gekeken hebben naar de eisen die we stellen aan de reservekopieen moeten we ook gaan kijken waar we exact back-ups van willen hebben, wanneer we ze maken en wie ze dan maakt. Kortom, de vraag die relevant is voor vandaag is:

Worden de reservekopieen conform de eisen gemaakt?

We maken reservekopieen niet omdat we zo graag kopietjes willen hebben of omdat het van de Code voor Informatiebeveiliging moet. We maken de reservekopieen zodat we na verlies van informatie snel weer over de gegevens kunnen beschikken en snel weer productie kunnen draaien. Daarbij is de term “snel” relatief en hangt helemaal af van de eisen die we stellen aan de informatievoorziening, de informatiesystemen en dus de reservekopieen.

Als het goed is hebben we al bepaald welke eisen we stellen. Nu is het ook zaak om te kijken waar we dan exact reservekopieen van maken. Doen we dat van de data of ook van bijvoorbeeld de besturingssystemen? Hoe vaak maken we die kopieen eigenlijk en is dat niet teveel of te weinig? Hoelang kunnen we zonder informatie en hoeveel informatie mogen we kwijt zijn na een incident?

Allemaal vragen waar we rekening mee moeten houden. Vaak horen we managers zeggen dat informatiebeveiliging voor hun organisatie niet zo belangrijk is omdat ze toch geen geheime informatie hebben. Op zich kan daar best een kern van waarheid in zitten, maar wij weten inmiddels dat het niet alleen draait om de exclusiviteit maar juist ook om de beschikbaarheid en integriteit.

Iedere organisatie heeft er last van als de financiele administratie definitief verloren gaat (nog los van wat de belastingdienst daarvan vindt), wie moet welke factuur nog betalen en wie moeten wij eigenlijk nog geld geven? Als de CRM-database (ons klantenbestand inclusief historie) onbruikbaar raakt dan weten we ook niet goed meer wat nu de laatste status is, wie heeft er recent nog wat besteld en hebben we dat al geleverd?

Als we onze organisatie serieus nemen dan kijken we dus iets verder dan de geheime gegevens alleen. Veel organisaties zullen inderdaad geen staatsgeheimen hebben, maar toch beschikken ze over vertrouwelijke gegevens waarvan we liever niet hebben dat de concurrent ze onder ogen krijgt. Iedere organisatie heeft administraties die op zijn minst tot last worden als ze niet meer beschikbaar zijn of als de gegevens daarin niet meer correct zijn.

Natuurlijk moet je de zwaarte van de informatiebeveiliging en ook van de reservekopieen af laten hangen van de aard van je organisatie en de daarin aanwezige gegevens. Maar om te stellen dat informatiebeveiliging voor jouw organisatie niet zo belangrijk is, gaat mij toch te ver.

Tien jaar werk kwijt na diefstal laptop

  door

Een Brits bedrijf is tien jaar aan werk kwijtgeraakt nadat dieven twee laptops hadden gestolen. Op één van de twee gestolen computers van DB Liquid stond gespecialiseerde software waar het bedrijf 300.000 euro in had geïnvesteerd. Volgens de directeur van het databasebedrijf heeft niemand wat aan de software, maar kan het wel het verlies van tien jaar aan werk betekenen (bron).

Wow, hier hebben ze toch even flink gefaald met hun back-up beleid. 10 jaar werk kwijt, je moet er toch niet aan denken, maar het is wel de harde realiteit. En geloof me, er zijn veel meer bedrijven die een dergelijk risico lopen omdat ze hun back-ups niet op orde hebben. Maar 10 jaar werk is wel heel erg veel en de vraag is natuurlijk of dit bedrijf de klap ooit te boven komt. En hoe zit het met jouw eigen back-ups? Zijn die op orde, kun jij je gegevens weer terughalen als je laptop gestolen wordt of als hij crasht?

Eerlijk is eerlijk, mijn belangrijkste gegevens kan ik (waarschijnlijk) nog wel reproduceren maar toch zal ik ook een deel van mijn bestanden kwijt zijn na een crash of diefstal. We verzamelen tegenwoordig allemaal digitale foto’s, films en muziek, de omvang daarvan is bizar, als we alles bij elkaar optellen zitten we al snel aan één of meer terabyte aan gegevens en hoe ga je die nog back-uppen? Ja, simpel door er een externe hard schijf bij te kopen, maar wat als die ook gestolen wordt?

Zelf heb ik ook wel eens een spontane crash van één van mijn harde schijven gehad en het grootste gevoel van ongenoegen was eigenlijk niet eens de crash en de gegevens waarvan ik wist dat ze weg waren…nee juist de gegevens waarvan ik niet meer weet of ze op de schijf stonden gaf mij dat slechte gevoel. Na een crash weet je voor een deel niet meer welke gegevens je mist en juist daar wringt de schoen.

Inmiddels alweer een poos geleden dat die schijf crashte en het merendeel heb ik wel weer teruggezet. De andere gegevens, waarvan ik niet meer weet of ik ze mis, heb ik eigenlijk helemaal niet gemist. Zo erg was het dus blijkbaar ook weer niet en het ruimt ook wel weer eens lekker op. Met al die gigabytes die we tegenwoordig tot onze beschikking hebben slaan we ook steeds meer gegevens op, ook gegevens die we helemaal nooit meer gebruiken en waarvan we niet eens weten dat ze onze schijf bevuilen.

Maar toch een tip voor alle bedrijven: ga nog eens goed na of het back-up beleid op orde is en of je er echt zeker van kunt zijn dat je de gegevens terug kunt halen. 10 jaar werk verliezen kan je duur komen te staan en kom je misschien nooit meer te boven. Dat risico wil je vast niet lopen.

Dienstverlener gijzelt klantendatabases

  door

Een groep Amerikaanse advocatenkantoren heeft een administratieve dienstverlener aangeklaagd omdat die gevoelige klantgegevens in gijzeling houdt en negen miljoen dollar niet wil teruggeven (bron). De dienstverlener verzorgde de administratie voor de advocatenkantoren, die zich bezighouden met het geven van juridisch advies aan rood staande consumenten. Inmiddels heeft de dienstverlener z’n deuren gesloten, maar wil twee databases met de gegevens van 20.000 klanten van de advocatenkantoren en de negen miljoen dollar niet teruggegeven.

Een belangrijk punt om over na te denken als we taken gaan uitbesteden. Naast de vraag wie er juridisch eigenaar van de informatie is speelt ook de vraag hoe om moet worden gegaan als de leverancier de gegevens niet meer beschikbaar wil stellen (of ze bijvoorbeeld kwijt raakt na een technische storing). De dienstverlener bestaat inmiddels niet meer, dus er kan ook geen aanspraak meer gemaakt worden. Belangrijk om naast de contractuele afspraken ook zelf te zorgen voor backup van gegevens…terwijl je dat nu juist graag allemaal uit wilde besteden.