Tag: beschikbaarheid

Eisen ten aanzien van de onderliggende informatiesystemen

  door

Zoals we eerder al gezien hebben, wordt de informatievoorziening ondersteund door de informatiesystemen. Stellen we eisen aan de beschikbaarheid, integriteit en exclusiviteit van de informatievoorziening dan moeten de onderliggende componenten er bij elkaar voor zorgen dat we die eisen ook gaan realiseren. Ook hier geldt weer dat de keten zo zwak is als de zwakste schakel. Het “zwakste” systeem bepaald dan uiteindelijk ook de totale beschikbaarheid, integriteit en exclusiviteit van de totale informatievoorziening.

Logischerwijs moeten we onszelf dan ook nog de volgende vraag stellen:

Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit geformuleerd voor de onderliggende informatiesystemen, netwerkcomponenten en IT-middelen?

De informatievoorziening bestaat uit allerlei componenten die er gezamenlijk voor moeten zorgen dat de informatie beschikbaar is op het moment dat we die nodig hebben, dat de informatie dan actueel en correct is en dat niet iedereen zomaar bij die informatie kan. Op component niveau zullen we die eisen dus door moeten vertalen naar de onderliggende systemen.

Als we dat willen doen, zullen we dus eerst zicht moeten hebben op welke componenten welk deel van de informatievoorziening ondersteunen. Het lukraak stellen van eisen aan componenten heeft weinig zin omdat we naar het grotere geheel moeten kijken.

Redeneren we weer vanuit de kritische bedrijfsprocessen dan komen we tot de kritische informatievoorziening die daarvoor noodzakelijk is en komen we uit bij de kritische componenten die daar invulling aan geven.

Zitten we met een component dat een lage beschikbaarheid, integriteit of exclusiviteit kan geven dan geldt dat niveau voor de gehele informatievoorziening. Of we moeten natuurlijk bereid zijn dat legacy systeem inmiddels te vervangen door een actueel systeem dat wel past binnen de door ons gestelde eisen.

Veelal zijn er allerlei architectuur en infrastructuur plaatjes binnen de organisatie aanwezig. Daar kunnen we goed gebruik van maken waarbij we nog wel de doorvertaling naar de processen moeten maken. Welk deel van die infrastructuur ondersteunt welk deel van de bedrijfsprocessen. Geen gemakkelijke opgave, maar wel een belangrijke exercitie om de doelstellingen van de organisatie te kunnen bereiken.

Eisen ten aanzien van de informatievoorziening

  door

Inmiddels zijn we aangekomen bij het punt waar we wat dieper ingaan op de beveiliging van de geautomatiseerde gegevensverwerking. Zoals we inmiddels al gezien hebben is dat een ondersteunend middel aan het bereiken van de doelstellingen van de organisatie. Daarom houden we de strategie van de organisatie en de doelstellingen waarmee we die strategie gaan bereiken in het achterhoofd en stellen onszelf de volgende vraag:

Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit geformuleerd voor de informatievoorziening?

Laten we even aftrappen met de definities uit Wikipedia die behoren bij de begrippen beschikbaarheid, exclusiviteit en integriteit:

  • Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid.
  • Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
  • Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.

Simpel gesteld moeten we dus kijken naar het feit of de informatie beschikbaar is op het moment dat we die nodig hebben, dat de informatie die we dan willen gebruiken actueel en correct is en willen we zeker stellen dat alleen die mensen die dat mogen ook daadwerkelijk de informatie in kunnen zien.

Hoe hoger we de eisen ten aanzien van de informatievoorziening stellen, hoe meer beveiligingsmaatregelen we in de regel nemen en hoe meer kosten dat met zich mee brengt. Inmiddels hebben we in een eerder stadium ook al gezien dat we rekening moeten houden met de bedrijfsprocessen en dan met name diegene die kritisch zijn voor het voortbestaan van onze organisatie.

De hele kunst bij het stellen van deze eisen is om ze niet te hoog, maar zeker ook niet te laag te stellen. Daarbij komt het gezond boeren verstand weer om de hoek kijken. Stellen we de eisen immers te hoog dan brengt dat enorme kosten met zich mee (en wordt het werken voor de medewerkers meestal ernstig belemmerd), stellen we te lage eisen dan nemen de risico’s toe en deze passen wellicht niet binnen het risicogedrag dat we eerder bepaald hebben.

Hoewel de eisen in samenhang dienen te worden bezien, zien we in de praktijk veelal dat de eis voor beschikbaarheid concreet (of noem het SMART) wordt gesteld en dat de rest er in kwalitatieve zin om heen hangt. Op zich begrijpelijk, want de beschikbaarheid is ook makkelijker meetbaar te maken dan de integriteit en de exclusiviteit. Toch zouden we daar ook de controles op uit moeten voeren.

Voor organisaties die de informatievoorziening hebben uitbesteed, geldt dat de eisen ten aanzien van de beschikbaarheid, integriteit en exclusiviteit in de Service Level Agreement moeten worden opgenomen, dat de leverancier daar verantwoording over af moet leggen en dat we dat met de audits kunnen controleren. Dit grijpt dan uiteraard weer terug op het borgen van de beveiliging door het in de keten op te nemen.