De kwaliteit van opgeslagen informatie

De bewaartermijnen hebben we aan een onderzoek onderworpen. We weten welke termijnen wettelijk gelden en hebben voor de rest van de informatie bepaald hoelang we ze willen bewaren. Leuk allemaal, maar niet het doel op zich. We bewaren deze informatie omdat we er in de toekomst iets mee willen of mee moeten. Dan is het dus zaak om er voor te zorgen dat deze informatie in goede staat blijft en beschikbaar is op het moment dat het nodig is.

De vraag:
Wordt tijdens de opslag van de informatie (documenten, tapes, etc.) de kwaliteit van de informatie bewaakt (beschikbaarheid, gesteldheid, fysieke toestand, etc.)?

Het gaat er niet om om de informatie te bewaren en er nooit meer naar om te kijken. Het gaat er om dat we deze informatie kunnen gebruiken als dat nodig is. Bijvoorbeeld omdat we een storing hebben gehad en een back-up terug willen zetten of omdat de belastingdienst bewijsvoering vraagt. Is het dan niet handig om er zeker van te zijn dat we de opgeslagen informatie nog kunnen gebruiken?

We moeten dus eisen stellen aan de opslag. Willen we het liever op tapes hebben of stappen we over naar meer virtuele omgevingen? Waar slaan we de tapes dan op en waar staan die virtuele servers eigenlijk (ja ik weet het, ze zijn virtueel, eigenlijk is de vraag: waar staat die informatie dan)? Eerst een keuze dus hoe we deze informatie op gaan slaan. Stellen we de kwaliteitseisen goed dan moeten we ook nog testen of de opgeslagen gegevens daar nog aan voldoen.

Kunnen we de gegevens inderdaad nog gebruiken binnen de afgesproken bewaartermijnen of zijn de tapes inmiddels zo verkleefd dat we ze beter direct weg kunnen gooien? En als het ons lukt om de gegevens terug te halen, hoe betrouwbaar zijn die gegevens dan nog? Wie verteld ons dat deze gegevens niet gewijzigd zijn?

De gegevens mogen we dan bewaard hebben, maar beschikken we ook nog over de systemen om deze gegevens te lezen? Stel dat je een mooie back-up van je oude financiële gegevens hebt. We werkten toen nog in het oude boekhoudsysteem, weet je nog? Inmiddels zit alles in ons nieuwe systeem en dat werkt een stuk makkelijker, toch? Maar hebben we nog systemen beschikbaar met het oude systeem om de gegevens terug te halen of kan ons nieuwe systeem deze gegevens importeren?

Het doel was niet het opslaan van de gegevens maar het beschikbaar hebben van die gegevens als we ze nodig hebben. Te vaak zien we nog dat de gegevens wel in een back-up zijn opgeslagen, maar dat de software in geen velden of wegen meer te bekennen is. Leuk hoor, al die tapes, servers, floppy’s en USB-sticks, maar als de programmatuur ontbreekt kunnen we daar niet zo veel mee.

Dan nog een klein puntje van aandacht, dat gelukkig een minder groot probleem wordt omdat we meer en meer gaan virtualiseren: waar slaan we de back-ups eigenlijk op? Zeker als het om fysieke gegevens gaat, zoals tapes of papieren documenten die belangrijk voor ons zijn, moeten we ons die vraag stellen. Bewaren we alles in hetzelfde gebouw en wat doen we dan als het gebouw in een brand verloren gaat? Of slaan we ze op een andere locatie op en binnen hoeveel tijd kunnen we dan beschikken over die gegevens? Geen onoverkomelijke vragen, maar wel vragen die we moeten stellen en antwoorden waar we over na moeten denken. Zet de verschillende opties op een rij en bepaal de voor- en nadelen van de verschillende opties. Zo komen we vanzelf bij de voor ons best passende wijze van opslag, tegen de kwaliteit die we nodig hebben.

Calamiteiten-, continuiteitsplannen en uitwijkmogelijkheden

Integrale beveiliging heeft nu toch wel onze aandacht en we zijn lekker proactief bezig om de operationele risico’s af te dekken. Nu komt het er op aan dat we onmogelijk alle risico’s af kunnen dekken. We moeten dus accepteren dat we nooit 100% beveiligd zullen zijn. Juist daarom is het ook van belang om te kijken naar de calamiteiten-, continuïteitsplannen en uitwijkmogelijkheden. De vraag die we daar natuurlijk bij stellen is:

Zijn er calamiteiten-, continuïteitsplannen en uitwijkmogelijkheden voor de garantstelling van het voorbestaan / de voortgang van de organisatie?

Proactief zijn we bezig geweest en preventief hebben we al een berg leed voor de organisatie voorkomen. Maar dan, ineens, geheel onverwachts en uit het niets, breekt er een incident uit. Alle maatregelen lijken ineens niet meer te werken en het gaat van kwaad tot erger. Totdat we niet meer te redden zijn en we de brand alleen nog maar gecontroleerd uit kunnen laten blussen (bij wijze van spreken). We kunnen de deuren sluiten, we hebben een paar mooie jaren gehad maar onze continuïteit is nu echt tot een stilstand gekomen.

Een rampenscenario, wellicht, maar ook hiervoor kunnen we proactief iets doen. We kunnen calamiteitenlannen, continuïteitsplannen en uitwijkmogelijkheden creëren om onze continuïteit te borgen. Daarmee moeten we niet wachten tot het incident zich aandient, nee, dan moeten alle zeilen bij gezet worden, we moeten daar al in een vroeg stadium mee beginnen.

Overigens willen we niet zeggen dat er allerlei dikke papieren plannen in de kast liggen te wachten totdat er iets gebeurt. De kunst is nu juist om tijdens een incident snel te kunnen handelen, de eerste paar minuten en uren zijn cruciaal. We hebben helemaal geen tijd om die dikke plannen door te worstelen. We moeten de handen uit de mouwen steken. Daarom is het ook goed om de plannen vooraf te testen en steeds bij te stellen. Zijn de telefoonnummers nog wel actueel? Weet iedereen nog wat hij moet doen? Wie mag er beslissingen nemen?

Geen dikke plannen dus, maar korte lijstjes die de mensen bijna kunnen dromen. Een naslagwerkje dat ze erbij kunnen pakken als ze het in het heetst van de strijd even niet meer weten.

Wat nog belangrijk is om te melden is dat de calamiteitenplannen, continuïteitsplannen en uitwijkmogelijkheden breder moeten zijn dan alleen de informatietechnologie. We moeten wederom de bedrijfsprocessen als uitgangspunt nemen. Die moeten worden gecontinueerd en daarvoor hebben we naast de informatiesystemen ook de assets en medewerkers weer nodig.

Hopelijk blijft jouw organisatie gespaard van grote incidenten, maar de kans dat er iets gebeurt kunnen we helaas niet helemaal uitsluiten. Daarom is het goed om voorbereid te zijn en de medewerkers goed op de hoogte te houden van hun taken, bevoegdheden en verantwoordelijkheden…ook bij het uitbreken van een incident.

Kritische bedrijfsprocessen en gegevens

Gisteren hebben we al gezien dat we onze risicostrategie aan moeten passen aan hoe kritisch het bedrijfsproces is of de gegevens zijn. Leuk gezegd, maar wat zijn dan die kritische processen en gegevens? Ho, ho, niet zo snel, dat is nu juist de vraag waar we vandaag naar kijken.

De achtste vraag die we moeten stellen is:
Zijn de kritische bedrijfsprocessen en gegevens inzichtelijk en zijn er continuïteitsplannen en uitwijkmogelijkheden voor deze processen?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

We moeten dus gaan kijken en onderzoeken van welke bedrijfsprocessen de organisatie echt afhankelijk is. We kunnen daarvoor het bedrijfsprocessen model van de organisatie gebruiken (voor zover die er is) maar we moeten ook zeker niet vergeten dat er veel processen zijn die niet duidelijk gedefinieerd zijn maar waar we wel heel erg van afhankelijk zijn.

Ik wil hier niet belanden in een discussie over wat nu exact de definitie is van een proces maar neem nu email eens als voorbeeld. In de feitelijke vorm niet echt een proces, maar wel een middel waar we erg van afhankelijk zijn geworden. Daarmee kunnen we direct de conclusie trekken dat we wel zicht moeten hebben op de kritische processen, maar dat we een proces op zich niet echt goed kunnen beveiligen.

Nee, we moeten de risico’s voor zo’n proces bepalen, maar we moeten uiteindelijk maatregelen nemen om de geautomatiseerde en de niet geautomatiseerde data, de assets en de mensen te beveiligen. Een proces wordt immers ondersteund door die middelen. Zonder die middelen geen proces, toch?

Op basis van wat we als kritisch zien voor het voortbestaan van de organisatie kunnen we prioriteiten stellen. Maar dat niet alleen, nee we kunnen ook kijken naar die processen (en ondersteunende middelen) waar we continuïteitsplannen en uitwijkmogelijkheden voor nodig hebben. Begrijp me niet verkeerd want een uitwijkmogelijkheid is daarbij, in mijn ogen, meer dan een uitwijklocatie met ICT voorzieningen. Uitwijk moet er voor zorgen dat het gehele proces doorgaat, niet alleen de systemen.

Bij het bepalen van hoe kritisch we een proces ervaren kunnen we bijvoorbeeld kijken naar de tijd waarna we dat proces echt gaan missen of voelen (in onze portemonnaie). Hoeveel omzet lopen we mis als een proces uit de lucht gaat? Hoeveel imagoschade levert ons dat op? En hoeveel kosten zullen we moeten maken om weer zo snel mogelijk in de lucht te zijn?

Als onze hele uitwijkoperatie € 100.000,- kost na een incident en we lopen in die periode “slechts” € 10.000,- mis, dan moeten we ons toch nog eens achter de oren krabben en kijken of we niet een bedrijfseconomisch betere oplossing kunnen bedenken.

We hebben nu weer het een en ander in perspectief geplaatst en gezien dat de maatregel niet meer mag kosten dan het probleem (tenzij we risicomijdend zijn natuurlijk, maar goed dat is weer een ander verhaal). Nog twee vragen en we hebben we belangrijkste aspecten inzichtelijk, nog even volhouden dus want morgen gaan we naar vraag 9.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.