Nu we gekeken hebben naar de eisen die we stellen aan de reservekopieen moeten we ook gaan kijken waar we exact back-ups van willen hebben, wanneer we ze maken en wie ze dan maakt. Kortom, de vraag die relevant is voor vandaag is:
Worden de reservekopieen conform de eisen gemaakt?
We maken reservekopieen niet omdat we zo graag kopietjes willen hebben of omdat het van de Code voor Informatiebeveiliging moet. We maken de reservekopieen zodat we na verlies van informatie snel weer over de gegevens kunnen beschikken en snel weer productie kunnen draaien. Daarbij is de term “snel” relatief en hangt helemaal af van de eisen die we stellen aan de informatievoorziening, de informatiesystemen en dus de reservekopieen.
Als het goed is hebben we al bepaald welke eisen we stellen. Nu is het ook zaak om te kijken waar we dan exact reservekopieen van maken. Doen we dat van de data of ook van bijvoorbeeld de besturingssystemen? Hoe vaak maken we die kopieen eigenlijk en is dat niet teveel of te weinig? Hoelang kunnen we zonder informatie en hoeveel informatie mogen we kwijt zijn na een incident?
Allemaal vragen waar we rekening mee moeten houden. Vaak horen we managers zeggen dat informatiebeveiliging voor hun organisatie niet zo belangrijk is omdat ze toch geen geheime informatie hebben. Op zich kan daar best een kern van waarheid in zitten, maar wij weten inmiddels dat het niet alleen draait om de exclusiviteit maar juist ook om de beschikbaarheid en integriteit.
Iedere organisatie heeft er last van als de financiele administratie definitief verloren gaat (nog los van wat de belastingdienst daarvan vindt), wie moet welke factuur nog betalen en wie moeten wij eigenlijk nog geld geven? Als de CRM-database (ons klantenbestand inclusief historie) onbruikbaar raakt dan weten we ook niet goed meer wat nu de laatste status is, wie heeft er recent nog wat besteld en hebben we dat al geleverd?
Als we onze organisatie serieus nemen dan kijken we dus iets verder dan de geheime gegevens alleen. Veel organisaties zullen inderdaad geen staatsgeheimen hebben, maar toch beschikken ze over vertrouwelijke gegevens waarvan we liever niet hebben dat de concurrent ze onder ogen krijgt. Iedere organisatie heeft administraties die op zijn minst tot last worden als ze niet meer beschikbaar zijn of als de gegevens daarin niet meer correct zijn.
Natuurlijk moet je de zwaarte van de informatiebeveiliging en ook van de reservekopieen af laten hangen van de aard van je organisatie en de daarin aanwezige gegevens. Maar om te stellen dat informatiebeveiliging voor jouw organisatie niet zo belangrijk is, gaat mij toch te ver.