De beveiliging van data, inclusief backup, herstel en integriteitscontrole, is geen sinecure. Die situatie wordt zeker niet minder gecompliceerd, zo bleek uit de discussie Data@Risk die consultant Ernst & Young vorige week hield.
"Het probleem is: hoe de risico’s in te schatten. En dan: wat eraan te doen", opent advocaat Christiaan Alberdingk Thijm van SOLV Advocaten het gesprek. Hij stelt dat ondernemingen vaak niet weten dat er dingen mis zijn of kunnen zijn. Ze vertrouwen immers op technische experts om hun it op orde te hebben. Een oeroud voorbeeld is een mailserver die onbedoeld ‘open’ staat voor de versturing van spam-ladingen.
Ernst & Young-topvrouw Monique Otten nuanceert: "Het gaat om het risico én de waarde van de investering." Als it-auditor redeneert zij dat het risico afgedekt moet zijn, maar dat daarbij de oorspronkelijke waarde niet uit het oog verloren moet worden. Het probleem is nog altijd hoe daaraan een prijskaartje te hangen. Veel ondernemingen zouden niet één dag zonder toegang tot hun data kunnen, sommige echter wel.
De gesprekspartners, waaronder John Hickman van opslagleverancier HDS, Lisa Hansford-Smith van verzekeringsmakelaar Marsh en Wilco van Ginkel van netwerkbeveiliger Ubizen, kunnen het hier niet meteen over eens worden. "Als een bedrijf één dag geen datatoegang heeft, resulteert dat in omzetverlies. Ook kan het leiden tot klanten- en imagoverlies", zegt HDS-manager Hickman.
Integraal
Risico-expert Hansford-Smith benadrukt dat beveiliging niet iets moet zijn dat delen van een onderneming bezighoudt. "Wij willen als verzekeringsbranche juist dat het hele bedrijf integraal gericht is op beveiliging." Zij verwijst naar de klassieke kloof tussen de it- en de risicomanager. Daarbij let de laatstgenoemde op de verzekeringen; in de praktijk is hij veelal gericht op vaste, tastbare goederen zoals gebouwen en niet op immateriële goederen zoals data.
"De verzekeringsmarkt is sinds elf september 2001 omgeslagen, ook door het instorten van de telecommarkt." Vroeger was er veel meer te verzekeren dan nu; de verzekeraars zijn kritischer en de premies veel hoger. Dat dwingt bedrijven om hun beveiligings- en verzekeringsbeleid te herzien.
Vice-president Chris Boorman van Veritas, leverancier van opslagsoftware, verzwaart het probleem van databeveiliging: hij is van mening dat data nagenoeg gelijk staat aan de aandeelhouderswaarde van een bedrijf. "Je moet je dus ook richten op herstel na rampen." Hickman valt hem bij: "Veel bedrijven dénken dat ze een rampenherstelplan hebben, maar hebben dan bijvoorbeeld de uitwijklokatie binnen een straal van vijf kilometer liggen. Dat is dus niet goed."
Ubizen-consultant Van Ginkel pleit dan ook voor beheerde beveiliging van de it-infrastructuur. Dat is echter niet altijd hetzelfde als uitbesteding ervan, maant hij. Veel bedrijven menen dat ze dan ook de verantwoordelijkheid de deur uitdoen, maar dat is niet het geval. De discussievoerders zijn het hierover met hem eens.< BR>
