Tag: beschikbaarheid

Verander complexiteit: De beschikbaarheid en de bereidheid van leveranciers

  door

Vandaag gaan we in op de complexiteitsfactor: De beschikbaarheid en de bereidheid van leveranciers

Je kunt niet alles vooraf overzien en de kans bestaat dat je tijdens de uitvoering (extra) inkopen zult moeten doen. Dan is het goed om een relatie met leveranciers op te bouwen en daadwerkelijk op zoek te gaan naar samenwerking.

In de praktijk zien we veelal dat de mate van samenwerking afhangt van de grote van de klant of de leverancier. Degene die de meeste macht heeft maakt daar nogal eens misbruik van. Van echte samenwerking is dan geen sprake meer. Hier liggen allerlei aspecten aan ten grondslag maar het gaat te ver om er hier verder op in te gaan.

Bedenk welke leveranciers je nodig hebt, informeer hen op tijd, zoek naar echte samenwerking en bepaal waar de leveranciers zich op het kritieke pad bevinden. Zo voorkom je dat de verandering uit de tijdslijnen loopt of je straks extra budget moet gaan vragen omdat de inkopen hoger uitvallen dan vooraf afgesproken.

Verander complexiteit: De beschikbaarheid van voorzieningen

  door

Vandaag gaan we in op de complexiteitsfactor: De beschikbaarheid van voorzieningen

We maken een inschatting van de zaken die we nodig hebben om de verandering tot een succes te maken. Dit kan bijvoorbeeld zijn informatie, materieel of personeel. Voorzieningen kunnen bijvoorbeeld zijn grondstoffen die we nodig hebben om een product te maken.

Stel dat we bepalen dat we een fietsframe van puur goud willen maken. Dan moeten we over voldoende goud kunnen beschikken om een aantal frames te maken waarop we winstgevend worden. Maar deze frames moeten gemaakt worden met machines die het goud om kunnen smelten en in de goede pasvorm kunnen gieten. Ook dit zijn voorzieningen. Vraag je dus af wat je nodig hebt voor de uitvoering van de verandering en bepaal of deze voorzieningen beschikbaar zijn.

Het classificeren van informatie

  door

Heb ik overigens al eens geschreven hoe goed ik het vind dat je mijn blog nog steeds leest? Nee, oh, mijn excuses…mijn complimenten en hartelijke dank. Ik kan me natuurlijk voorstellen dat het wat mensen wit om de neus wordt als ze sommige onderwerpen lezen. Maar bedenk, het is nooit de bedoeling om angst aan te jagen, maar wel om je bewust te maken…bewust van de risico’s. Onderkennen we de risico’s dan kunnen we er wat aan doen en komen we niet voor nare verrassingen te staan.

En nu, hop, snel naar de volgende vraag in het rijtje:
Zijn er richtlijnen voor het classificeren van informatie?

Bij het classificeren (of rubriceren) van informatie denken we in ieder geval aan termen als: “intern gebruik”, “vertrouwelijk”, “geheim” of zelfs “staatsgeheim” (in allerlei classificaties). Deze termen richten zich met name op de exclusiviteit van de betreffende informatie.

De enige die die exclusiviteit goed kan bepalen is de medewerker die de gegevens vertaald naar informatie. Vindt hij of zij dat het geclassificeerd moet worden, dan moet dat vooral niet worden nagelaten (hoewel hier wat kanttekeningen bij te plaatsen zijn, want we moeten niet onnodig informatie classificeren om ze belangrijker te doen voorkomen dan ze echt is). Wel handig als er dan een voorschrift voor is hoe we classificeren. Zijn er standaarden te bedenken die bij voorbaat al een classificatie verdienen? Zoals klant- of financiële gegevens of strategische informatie over de koers die we gaan varen? Op welke wijze maken we duidelijk dat het om geclassificeerde informatie gaat? Boven aan de pagina of toch liever boven en onderaan de pagina? En welke classificaties mogen we intern gebruiken? Vrij praktisch allemaal.

Hebben we de richtlijnen voor de exclusiviteit van de informatie in het voorschrift opgenomen (wat in de praktijk al best vaak gebeurt overigens) dan kunnen we ook nog kijken naar die aspecten die in de praktijk in dit soort voorschriften nog onderbelicht zijn, namelijk de beschikbaarheid en integriteit van de informatie.

Of, kort samengevat, hoe kritisch is de informatie voor het voortbestaan van de organisatie. Hoe lang kunnen we doordraaien als de informatie tijdelijk niet beschikbaar is en hoe erg is het als die informatie voor altijd verloren gaat? Welke processen komen dan piepend en krakend tot stilstand? Hebben we daar voldoende zicht op, dan draagt dat zeker bij aan de juiste omgang met informatie.

Vervolgens kunnen we nog kijken naar de integriteit. Hoe erg is het als de gegevens niet helemaal betrouwbaar zijn? Moeten we de gegevens echt voor 100% op feiten zijn gebaseerd of mogen we ook beslissingen nemen als we niet helemaal zeker weten hoe betrouwbaar die informatie is?

Persoonlijk vind ik het, bijvoorbeeld, een prettige gedachte als een arts over integere informatie kan beschikken voordat hij aan zijn operatie begint. Voor je het weet begint hij in het verkeerde been te zagen. “Meneer, de meniscus in uw linkerknie is succesvol geopereerd” wil je liever niet horen als je sterft van de pijn in je rechterbeen.

Kortom: bij classificatie van gegevens beginnen we eerst goed te kijken naar de exclusiviteit, maar daarna willen we graag doordenken over de beschikbaarheid en integriteit van de informatie. Doen we dat op de juiste manier en weten we de medewerkers daar ook nog vertrouwd mee te maken dan zijn we een aardige stap op weg naar een juist niveau van informatiebeveiliging.

Controle van de voorschriften

  door

Gisteren hebben we hard gewerkt aan het opstellen van voorschriften voor de bescherming van voor ons kostbare informatie. Vertrouwen was leuk, maar controle is beter en de papierentijgers willen we al helemaal voorkomen. Daarom moeten we goed kijken naar wat er met de informatie gebeurt.

De logische vraag die daarbij hoort, is:
Wordt er gecontroleerd of de voorschriften ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging worden nageleefd?

In de vraag hebben we het over drie onderwerpen, namelijk kennisname, verlies of beschadiging. In meer bekende termen voor informatiebeveiliging hebben we het dan over exclusiviteit, beschikbaarheid en integriteit.

Oftewel: is de juiste informatie die we nodig hebben beschikbaar op het juiste moment en voor de juiste persoon. Dat is niet iets wat we eenmalig vast kunnen stellen en waar we nooit meer naar om hoeven te kijken.

Het kan best zijn dat een medewerker de informatie in zijn huidige functie nodig heeft om zijn werk te kunnen doen. Maar ja, of je nu wilt of niet, de kans is aanwezig dat een medewerker promotie maakt. Hij is, bijvoorbeeld, nu geen beheerder meer maar teamleiders van alle beheerders. Chapeau, goed gedaan. Maar daarmee hoeft hij dus niet meer bij alle gegevens te kunnen waar hij eerst wel bij kon. Nee, zijn profiel moet opnieuw worden bekeken en zijn informatiebehoefte moet opnieuw worden vastgesteld.

Op papier allemaal niet zo ingewikkeld, in de praktijk toch een stuk weerbarstiger. Hoe vaak zien we niet dat medewerkers die inmiddels 30 jaar voor dezelfde baas werken overal bij kunnen? Er zijn wel steeds nieuwe informatiebehoeften bij gekomen, maar de rechten die hij niet meer nodig heeft zijn hem nooit afgenomen.

Daarbij kunnen we natuurlijk kijken wat hij bewust met de informatie doet. Kijkt hij er nog wel eens naar, kopieert hij ze niet toevallig en heeft hij ze wel eens doorgestuurd naar de Telegraaf? Voor het merendeel van de medewerkers zal dit wel meevallen…maar ja, hoeveel mollen zitten er bij jou in de organisatie?

Naast bewust handelen is er ook nog zoiets als onbewuste fouten. De medewerker vindt zelf dat hij de informatie niet meer nodig heeft en denkt zijn C-schijf eens lekker op te schonen door alles te verwijderen. Ctrl+Alt+Delete en we beginnen weer met een schone lei. Helaas waren we even vergeten dat deze informatie nooit verder is gekomen dan de C-schijf. De medewerker heeft er geen last van als het verwijderd wordt, hij gebruikt ze immers toch niet meer. Maar hoe zit het met zijn opvolger? Moet die de informatie niet overgedragen krijgen? Of moet hij maar helemaal opnieuw beginnen met informatie verzamelen?

Oké, opslagruimte kost tegenwoordig niets meer, dus we bewaren alles wat los en vast zit. Uiteraard moeten we niet alles tot in lengte van dagen bewaren, dat is nergens voor nodig. Maar we moeten wel bewust omgaan met de toegang tot de informatie en het verwijderen van die informatie. Doen we dat op de verkeerde manier dan hebben we geen last van “information overload” maar eerder van “information shortage”. Geen van beide zijn een prettig idee, tenminste, als je het mij vraagt.

Voorschriften ter bescherming van informatie

  door

De afgelopen tijd hebben we het met name gehad over het beschermen van de digitale informatie en informatievoorziening. Informatiebeveiliging wordt nogal eens gelijkgesteld aan alles wat in bits en bytes is uit te drukken.

Maar als je kijkt naar het begrip “informatie” dan omvat dat natuurlijk net zo goed de analoge of niet digitale informatie. De vraag van vandaag wordt dan ook:
Zijn er (algemene) voorschriften opgesteld ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Voor veel, zo niet alle, organisaties is informatie van groot belang voor het voortbestaan. Maar dan moeten we informatie wel in de breedste vorm bekijken. De klantinformatie, de financiële gegevens, de strategie, de procesbeschrijvingen en ga zo nog maar even door. Allemaal informatie die er aan bijdraagt dat we als organisatie kunnen blijven draaien.

Informatiebeveiliging wordt al vaak gelijk gesteld aan digitale informatie maar ook aan de exclusiviteit daarvan. Hoe vaak horen we niet dat informatiebeveiliging voor een betreffende organisatie niet van belang is omdat ze toch geen geheime gegevens hebben?

Natuurlijk moeten we kijken naar de exclusiviteit van informatie, we willen immers niet dat de informatie zomaar op straat ligt of dat onze concurrenten daar vrij in kunnen kijken. Maar ook de beschikbaarheid en integriteit van die informatie moeten we meewegen.

We willen wel dat de kritische informatie er is op het moment dat we die nodig hebben (beschikbaarheid) en willen dan ook nog eens over de juiste gegevens beschikken (integriteit). Dat geldt echt niet alleen voor de vertrouwelijke of geheime gegevens. Op het moment dat de belastinginspecteur aan de deur klopt willen we toch wel graag beschikken over onze financiële gegevens. Gebruiken we de verkeerde gegevens dan kan ons dat duur komen te staan…we betalen dan teveel belasting of we krijgen achteraf de claim aan onze broek.

Maar denk je ook eens in wat je doet als de klantinformatie verdwenen is of niet meer klopt. Hoe weten we dan welke klanten we al geleverd hebben en wie er nog moet betalen? Beetje slordig als we spullen niet leveren omdat de informatie verdwenen is of als we de geleverde spullen niet in rekening brengen, toch? Beide gevallen kost onze organisatie direct omzet…om het over het imago nog maar niet te hebben.

Natuurlijk hebben we veel van die informatie digitaal beschikbaar. Als het goed is maken we back-ups en die testen we ook nog regelmatig (toch?). Maar hoeveel informatie staat er alleen maar op papier? Hoeveel informatie zit er in de hoofden van de medewerkers?

Hier komt het verschil tussen gegevens en informatie om de hoek kijken. Het kan best zijn dat we de gegevens allemaal digitaal hebben maar dat een medewerker daar de informatie van maakt. Hij of zij weet waar de gegevens te vinden zijn en hoe ze gebruikt kunnen worden. Een groot gevaar om dat alleen maar bij een persoon in het hoofd te laten zitten.

En we willen het wederom weer niet te cryptisch maken, dus een concreet en simpel voorbeeld: stel dat we een mooie database hebben opgebouwd met al onze klantgegevens daarin. We weten exact wie onze klanten zijn, wat ze zoal kopen en wanneer ze mogelijk weer wat nieuws aan zullen schaffen. Deze database beveiligen we natuurlijk met een wachtwoord, want niet iedereen mag de gegevens zien. Wat doen we nu als de beheerder van de database besluit om te vertrekken naar een andere organisatie? Laat hij dan het wachtwoord achter? Kunnen we er dan nog wel bij? Hoe weten we nu zeker dat hij de gegevens niet kopieert en meeneemt naar de concurrent? En zo kunnen we nog wel meer vraagtekens plaatsen.

We zullen dus (algemene) voorschriften op moeten stellen ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging. Het zijn immers de medewerkers die dergelijke gegevens benaderen om er informatie van te maken. Organisatorisch is dat allemaal goed te regelen, maar hoe zorgen we ervoor dat het ook allemaal echt werkt? Vertrouwen is goed, controle is beter en op papierentijgers zit niemand te wachten.

De informatie is te kostbaar om er niet over na te denken, of het nu digitaal of niet digitaal is doet er eigenlijk niet zo toe. Hopelijk weet jij waar de kritische informatie is en hoe die beveiligd is. We willen niet in de krant lezen dat jouw organisatie gegevens is verloren, toch?

Actieve monitoring van het netwerk

  door

Zo, de illegale software is ontdekt en we kijken goed of er geen nieuwe software bijkomt die we liever niet over ons netwerk hebben. Als we dan toch allerlei monitoring tools inzetten dan kunnen we dat net zo goed wat breder inzetten, toch?

De vraag:
Wordt het gebruik van de systemen en het netwerk actief gemonitord?

We willen graag weten wat er op ons netwerk gebeurt. Niet alleen voor beveiliging trouwens, maar ook om een optimale inzet van middelen te kunnen bewerkstelligen. Zo zien we maar weer dat beveiliging niet iets los of exotisch is. Nee, het maakt onderdeel uit van een groter geheel.

Weten we wat er op ons netwerk gebeurt dan kunnen we tijdig bijsturen en kunnen we tijdig bijvoorbeeld de capaciteit verhogen als dat nodig is. Ook daarbij gaan we natuurlijk weer eerst op zoek naar de oorzaken. Een mooi praktijkvoorbeeld hierbij is het geval waarbij een organisatie besloot om websites als Youtube, Hyves en LinkedIn dicht te zetten omdat het bandbreedte opslokte.

Altijd een mogelijkheid om sites dicht te zetten natuurlijk maar de vraag is of je commerciële en marketingafdeling niet dankbaar gebruik maken van de nieuwe mogelijkheden die geboden worden. Het dichtzetten van dergelijke sites kan tot verlies van klanten leiden…en we zijn op aarde om onze klanten te helpen, toch?

Nee, bij een nadere analyse bleek dat er de afgelopen 10 jaar niet zoveel aan bandbreedte bij was gekomen. Met web 1.0 was dat allemaal niet zo’n probleem, maar met filmpjes en interactieve netwerksites ontstond er toch een tekort.

Als we tijdig hadden gemonitord dan zagen we dit probleem natuurlijk allang aankomen en hadden we op tijd onze capaciteit uit kunnen breiden. Nu moeten er investeringen gedaan worden waarbij de Raad van Bestuur alleen maar voor dat soort bedragen mag tekenen. Een gemiste kans, maar ook een lesson learned…tenminste, als we vanaf nu wel gaan monitoren natuurlijk.

Richten we actieve monitoring in dan kunnen we incidenten in een aantal gevallen voorkomen. We zien dat de capaciteit minder en minder wordt en kunnen bedenken dat een server binnen niet al te lange tijd uit de lucht gaat. Daar gaan we natuurlijk niet op wachten…nee, we installeren bijvoorbeeld een nieuwe voeding zodat hij weer even mee kan. Daarnaast geldt dat als we weten wat er onder normale omstandigheden op ons netwerk gebeurt we afwijkingen sneller zullen ontdekken.

We zien dat er vreemde zaken gebeuren of raar verkeer voorbij komt. Daar kunnen we wat aan doen. We kunnen tot de conclusie komen dat een segment getroffen is door een virus. Als we wachten is straks het hele netwerk een puinhoop. We kunnen ook ingrijpen en dat segment loskoppelen om verdere schade te voorkomen.

Actieve monitoring doen we dus niet alleen om beveiligingsredenen maar ook om redenen als capaciteit en beschikbaarheid van het netwerk. Doen we dat op een goede manier dan merkt de klant niet eens dat er zich bijna een incident voordeed.

Beveiligingseisen in de keten

  door

Ja hoor, hier is hij weer: de keten is zo zwak als de zwakste schakel. Hoe vaak hebben we dat inmiddels niet genoemd? Misschien te vaak, maar toch geldt ook voor de eisen de we stellen aan beschikbaarheid, exclusiviteit en integriteit dat we over onze eigen grenzen heen moeten kijken om het goed te regelen.

Daarom de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit in de systeemketen (IV-keten) afgestemd?

Allemaal erg leuk en aardig als we ons huis op orde hebben, maar wat als de buren er een zooitje van maken? Hoe ziet de straat er dan uit? Juist. Intern mogen we dan hard werken aan verdere professionalisering van onze bedrijfsprocessen en informatiesystemen, maar deze staan veelal niet los van de systemen die leveranciers of andere interne afdelingen aanbieden. Heeft de leverancier zijn zaakje niet op orde dan ondervinden wij daar last van en als wij daar last van ondervinden dan ondervinden onze klanten daar nog meer last van. De vraag is zomaar wie dat wordt aangerekend? Weet de klant eigenlijk wel dat we dat systeem hebben uitbesteed of schaadt het juist ons imago als het fout gaat?

Meestal is het laatste het geval en voor de klant natuurlijk terecht. Die heeft immers helemaal niets te maken met jouw leveranciers. Nee, hij of zij wil gewoon een dienst geleverd krijgen, daarvoor wordt goed geld betaald en jij moet er maar voor zorgen dat de keten werkt.

Stel je koopt een paar gloednieuwe schoenen bij de schoenwinkel. Je kiest voor kwaliteit en die kwaliteit heeft uiteraard een prijs. Na 2 dagen zit er al een gat in je zool en je gaat terug naar de schoenwinkel. De schoenwinkel kan natuurlijk zeggen dat het aan de fabrikant ligt, maar daar heb jij geen boodschap aan. Nee, de schoenwinkel moet gewoon een nieuw paar leveren en gaat maar lekker zelf in conclaaf met de fabrikant of importeur. Zo ook voor informatiesystemen. Als consument koop ik een dienst, daar betaal ik voor en of je leverancier het nu goed doet of niet, ik wil gewoon gebruik maken van die dienst en daar heb jij voor te zorgen.

Leuk dus dat wij allemaal eisen stellen aan de beschikbaarheid, exclusiviteit en integriteit van de informatie. Maar als de keten inderdaad zo zwak is als de zwakste schakel dan zullen we in overleg moeten met die zwakste schakel. Kan hij voldoen aan onze eisen? Moeten we aanvullende maatregelen nemen? Of moeten we accepteren dat we de eisen naar beneden toe bijstellen?

Leuk dat we een eis stellen van 99,9% beschikbaarheid voor een applicatie, maar als die applicatie gebruik maakt van het internet…welke beschikbaarheid is gegarandeerd door onze internetprovider? Als we voor ons netwerk een garantie afgeven van 95%, kunnen we dan voor afzonderlijke applicaties 99,9% garanderen?

Hier is een waarschuwing op zijn plaats. Er worden hoge percentages geroepen naar de klant toe (en daar betaald de klant grof voor), maar wat houdt dat percentage precies in? Of anders gezegd: wat is de scope? Het kan zijn dat er voor een applicatie bijvoorbeeld 99,9% wordt afgegeven maar dat het netwerk buiten de scope valt. Als je niet oplet betaal je kapitalen terwijl de end-to-end beschikbaarheid eigenlijk niet gegarandeerd kan worden. Leuk dat die applicatie gewoon doordraait (in het rekencentrum) als het internet een storing geeft, maar op afstand kunnen wij ons werk niet doen omdat de applicatie niet benaderbaar is, en daar ging het nu toch juist om?

Nee, ook bij het stellen van eisen aan de beschikbaarheid, exclusiviteit en integriteit moeten we goed kijken dat het geen wassen neus wordt en dat we niet teveel betalen. Als de zwakste schakel “slechts” 90% kan garanderen dan moeten we geen 99,9% aan de klant verkopen…tenminste als we integer willen zijn. Bij het stellen van de eisen moeten we dus een goede analyse loslaten op de keten, willen we de eisen naar boven toe bijstellen dan zal dat doorgevoerd moeten worden in die gehele keten. De dooddoener blijkt maar weer eens waar te zijn: de keten is zo zwak als de zwakste schakel.

Beveiliging en de afstemming op de processen

  door

Inmiddels beginnen we steeds meer te denken aan het beschermen van de processen om de continuïteit van onze organisatie beter te borgen. We hebben inmiddels ook wel door dat het helemaal niet draait om allerlei technische beveiligingsmaatregelen als firewalls, anti-virus en intrusion detection. Nee, inmiddels weten we dat de keuzes die we maken draait om het verhogen van de omzet, het verlagen van de kosten en het beschermen van ons imago. Dat we daarvoor uiteindelijk allerlei beveiligingsmaatregelen moeten nemen geloven we wel en is meer een zaak van de IT- en Facility-afdeling.

Willen we de uitvoerende afdelingen hun werk goed kunnen laten doen dan moeten we op tactisch niveau de kaders stellen waarbinnen zij kunnen opereren. Daarom de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit op processen (bedrijfsvoering) afgestemd?

Denken we aan continuïteit van de bedrijfsprocessen en informatiesystemen dan denken we al snel aan de beschikbaarheidseisen die de waaraan moeten stellen. Meestal drukken we die uit in percentages als 95%, 98% of 99,9% die we doorvertalen naar brons, zilver en goud, omdat de klant die percentages helemaal niet wil horen. De percentages kunnen we meten en de IT-afdeling kan daar mooi verantwoording over afleggen. Hoewel dit allemaal makkelijker gezegd is dan gedaan, is er nog niet echt iets nieuws onder de zon.

Maar naast de beschikbaarheid moeten we ook kijken naar de eisen die we stellen aan exclusiviteit en integriteit. Exclusiviteit gaat in op de wijze waarop we ervoor zorgen dat alleen geautoriseerde personen of systemen toegang krijgen tot de informatie, terwijl integriteit juist ingaat op de juistheid, volledigheid en tijdigheid van de informatie.

Stellen we geen of de verkeerde eisen aan de exclusiviteit dan kan dat ervoor zorgen dat de informatie door ongeautoriseerde personen benaderbaar is en onze informatie al snel op straat komt te liggen. We lopen hiermee het risico dat ons imago een flinke deuk oploopt.

Hebben we te weinig zicht op de integriteit van de informatie dan kan dat er bijvoorbeeld voor zorgen dat we verkeerde keuzes maken op basis van onbetrouwbare informatie. Dit kan ons veel omzet schelen maar kan ook voor enorme kosten zorgen. Verkeerde keuzes kunnen ook leiden tot imagoschade. Denk maar aan het geval waar een arts op basis van de verkeerde informatie het verkeerde been van een patiënt amputeert.

Willen we dus continuïteit van onze organisatie en haar bedrijfsprocessen dan stellen we beschikbaarheids-, exclusiviteits, en integriteitseisen aan de informatiesystemen. Daarbij laten we de kosten en baten weer meewegen want hoe meer maatregelen we nemen, hoe meer kosten dat met zich meebrengt en hoe moeilijker de medewerkers hun werk kunnen doen. De kunst is niet om lukraak de eisen te stellen maar juist om het optimum te vinden waarbij de eisen zo goed mogelijk aansluiten bij de missie van onze organisatie. Daarbij moeten we zeker in de gaten houden dat het allemaal wel werkbaar moet blijven omdat de medewerkers er anders omheen gaan werken.

De eisen die we stellen kunnen per organisatie verschillen. Zo zal een geheime dienst andere eisen stellen dan de bakker om de hoek (als die laatste al eisen stelt). Maar ook per informatiesysteem kunnen de eisen verschillen. De kritische informatiesystemen krijgen wellicht hogere eisen opgelegd dan een niet kritisch systeem. Hierbij houden we uiteraard weer de relatie tussen de bedrijfsprocessen en informatiesystemen goed in het oog en leiden we het een en ander af uit de missie van onze organisatie. Wel stellen we graag eisen die haalbaar zijn, we maken ze SMART om te voorkomen dat het er op papier allemaal leuk uit ziet, maar in de praktijk nooit gaat werken.

Het maken van reservekopieen

  door

Nu we gekeken hebben naar de eisen die we stellen aan de reservekopieen moeten we ook gaan kijken waar we exact back-ups van willen hebben, wanneer we ze maken en wie ze dan maakt. Kortom, de vraag die relevant is voor vandaag is:

Worden de reservekopieen conform de eisen gemaakt?

We maken reservekopieen niet omdat we zo graag kopietjes willen hebben of omdat het van de Code voor Informatiebeveiliging moet. We maken de reservekopieen zodat we na verlies van informatie snel weer over de gegevens kunnen beschikken en snel weer productie kunnen draaien. Daarbij is de term “snel” relatief en hangt helemaal af van de eisen die we stellen aan de informatievoorziening, de informatiesystemen en dus de reservekopieen.

Als het goed is hebben we al bepaald welke eisen we stellen. Nu is het ook zaak om te kijken waar we dan exact reservekopieen van maken. Doen we dat van de data of ook van bijvoorbeeld de besturingssystemen? Hoe vaak maken we die kopieen eigenlijk en is dat niet teveel of te weinig? Hoelang kunnen we zonder informatie en hoeveel informatie mogen we kwijt zijn na een incident?

Allemaal vragen waar we rekening mee moeten houden. Vaak horen we managers zeggen dat informatiebeveiliging voor hun organisatie niet zo belangrijk is omdat ze toch geen geheime informatie hebben. Op zich kan daar best een kern van waarheid in zitten, maar wij weten inmiddels dat het niet alleen draait om de exclusiviteit maar juist ook om de beschikbaarheid en integriteit.

Iedere organisatie heeft er last van als de financiele administratie definitief verloren gaat (nog los van wat de belastingdienst daarvan vindt), wie moet welke factuur nog betalen en wie moeten wij eigenlijk nog geld geven? Als de CRM-database (ons klantenbestand inclusief historie) onbruikbaar raakt dan weten we ook niet goed meer wat nu de laatste status is, wie heeft er recent nog wat besteld en hebben we dat al geleverd?

Als we onze organisatie serieus nemen dan kijken we dus iets verder dan de geheime gegevens alleen. Veel organisaties zullen inderdaad geen staatsgeheimen hebben, maar toch beschikken ze over vertrouwelijke gegevens waarvan we liever niet hebben dat de concurrent ze onder ogen krijgt. Iedere organisatie heeft administraties die op zijn minst tot last worden als ze niet meer beschikbaar zijn of als de gegevens daarin niet meer correct zijn.

Natuurlijk moet je de zwaarte van de informatiebeveiliging en ook van de reservekopieen af laten hangen van de aard van je organisatie en de daarin aanwezige gegevens. Maar om te stellen dat informatiebeveiliging voor jouw organisatie niet zo belangrijk is, gaat mij toch te ver.

Eisen ten aanzien van reservekopieen

  door

Serieus zijn we inmiddels met informatiebeveiliging bezig en we hebben al allerlei zaken opgestart om incidenten maar zoveel mogelijk te voorkomen binnen de bandbreedte die bij onze organisatie past. Daarnaast zijn we al druk geweest met het opzetten van de calamiteitenplannen en de uitwijkmogelijkheden voor als het echt een keertje fout gaat. Gelukkig kunnen we dan altijd terugvallen op onze reservekopieen (back-ups), toch?

De komende dagen gaan we wat verder in op de eisen ten aanzien van de back-ups en we stellen ons dus de vraag:

Zijn de eisen ten aanzien van reservekopieen (back-up) vastgelegd?

Net als we eisen stellen aan de beschikbaarheid, integriteit en exclusiviteit van de informatievoorziening en de onderliggende informatiesystemen moeten we deze eisen ook stellen aan de reservekopieen.

Hoe snel moeten we, na een incident, kunnen beschikken over deze reservekopieen? Hoe actueel moeten deze zijn of anders gezegd: hoeveel informatie mogen we maximaal kwijtraken? En wie kan er eigenlijk allemaal bij deze reservekopieen?

Het lijkt misschien of het hier puur en alleen gaat om de back-up tapes, maar niets is minder waar. Natuurlijk verandert er een berg met de invoering van virtualisatie en het werken “in the cloud”. Maar dan hebben we het meer over de achterliggende techniek. Hier hebben we het meer over de functionele eisen die we inzichtelijk moeten hebben.

Later deze week zullen we ook nog ingaan op het maken van de reservekopieën, het testen daarvan en de opslag ervan. Toch zijn dit alvast zaken waar we bij het stellen van eisen rekening mee moeten houden. Als we dan toch reservekopieen maken, laten we er dan ook voor zorgen dat we het goed doen. Anders zitten we straks met een berg data die niet aan onze eisen voldoet, die we niet tijdig weer tot onze beschikking hebben, die niet actueel is of waar de hele wereld inmiddels in heeft kunnen kijken.

Hebben we de laatste tijd de back-ups of delen daarvan terug moeten zetten? Ging dat helemaal goed of hebben we daar toch wat “lessons learned” uit kunnen halen? Als we dat nog nooit hebben gedaan wordt het misschien tijd om er toch eens een test tegen aan te gooien…