Sarbanes-Oxley, Basel II, de ias- en ifrs-normen, de Lippens-code: de nieuwe regelgevingen voor ‘corporate governance’ en controle van het bedrijfsbeheer dwingen ondernemingen hun opslaginfrastructuur opnieuw te bekijken. Technologieën als ilm (information lifecycle management) zijn daarbij van belang.
Iteratief proces Compliance ofwel conformiteit is een iteratief proces. De leveranciers kunnen meestal slechts een deel van de oplossing leveren. Het slagen ervan hangt in ruime mate af van de stapsgewijze benadering. In een eerste fase organiseert de met de opslag belaste afdeling een SOX-competentiecentrum dat zich vertrouwd maakt met de wetgeving, de impact daarvan op de organisatie en de betrokken processen. Dat gebeurt op basis van methodologieën voor risico-evaluatie als Cobit en Itil. In de tweede fase past de organisatie deze principes toe op de opslaginfrastructuur en brengt ze dus de levenscyclus van de opslag in kaart. Op dit niveau kan het CMM-model (Capability Maturity Model) als basis dienen voor de modelvorming van de processen. In de derde fase neemt de organisatie de maatregelen die nodig zijn om de gesignaleerde risico’s op te vangen. Daarnaast worden de maatregelen gecontroleerd en de processen gedocumenteerd. De SOX-conformiteit zal gezien de explosieve groei van opslagcapaciteit een permanent proces zijn. Dit veronderstelt onder meer dat de inzet van de middelen en de configuratie van de infrastructuur dynamisch en automatisch verloopt. Het hele proces vereist een doorlopend veranderingsbeheer. |
Aantonen
De recente verplichtingen die de diverse regelgevingen de bedrijven opleggen op het vlak van zowel ‘corporate governance’ als de bescherming van de persoonlijke levenssfeer dwingen de ict-diensten om niet alleen meer informatie op te slaan, maar ook tegenover de bevoegde overheid te bewijzen dat de gegevens gedurende de (soms erg lange) verplichte termijnen onaantastbaar bewaard en raadpleegbaar zullen blijven. Terwijl de opslagnetwerken (nas, network attached storage, of san, storage area network) zich op heterogene platformen ontwikkelen, worden instrumenten voor het beheer en de bescherming van gegevens onontbeerlijk, zeker wanneer de opslagvolumes jaarlijks met 50 procent of meer toenemen. Volgens ingewijden is al 50 procent van de strategische informatie van de bedrijven digitaal. Aangezien er niet aan de conformiteitplicht te ontkomen valt, doet het it-management er goed aan om pro-actief te werk te gaan en te proberen een last in een baat te veranderen.
In de praktijk komt de uitdaging voor de informatica erop neer dat je de registratie, controle en audit van de opgeslagen gegevens moet verzekeren. Dat geldt vooral voor de bedrijfsmail, zowel intern als extern, die aan zeer strenge regels onderworpen wordt. De opslag moet niet alleen voldoen aan de geldende wetgeving, maar de personen, processen en technologieën moeten bovendien de ‘best practices’ op het vlak van conformiteit naleven. Bepaalde financiële gegevens moeten gedurende vastgestelde periodes bewaard blijven, afhankelijk van hun inhoud, en daarna gewist worden (met de verplichting om dat te bewijzen). Ten slotte moet een audit (min of meer in de stijl van de ISO-audit) kunnen aantonen dat de organisatie de bepalingen heeft nageleefd en dus elk contact met een klant of leverancier geregistreerd en bewaard is.
Bewaarstrategie
Omdat die wetgeving afhankelijk van de inhoud termijnen oplegt voor het bewaren van informatie, moeten ondernemingen een ilm-strategie invoeren. Het basisprincipe is eenvoudig: de informatie wordt bewaard op het medium dat het geschiktst is voor huidig en toekomstig gebruik. De eenvoud van dat concept betekent niet dat ilm een nieuwe variant is op hsm (hierarchical storage management) dat we van de mainframewereld kennen. Ilm omvat ook het werkstroombeheer (inclusief de bijbehorende documenten), het documentbeheer en het fysieke beheer van de opslag.
Op hardwaregebied vormen schijven en tapes de basis van de infrastructuur, afhankelijk van de vereisten op het gebied van prijs, beschikbaarheid en beveiliging in de ruime zin van het woord. Ze kunnen worden opgenomen in nas- en san-opslagnetwerken.
Enquête In april dit jaar zijn tijdens de vakbeurs Storage Expo 2005 in Groot-Brittannië zo’n vijfhonderd bedrijven gepolst over hun ‘compliance’-inspanningen. De naleving van de nieuwe reglementeringen blijkt weerslag te hebben op het opslagbeheer van 87 procent van de ondervraagde organisaties. Voor 93 procent zijn de technologieën voor gegevensbeveiliging in het algemeen en de backup- en herstelprocedures een prioriteit. De enquête toont verder aan dat 82 procent van de bedrijven de functionaliteit van een opslagoplossing belangrijker vindt dan het merk van het product. 51 procent van de deelnemers geeft voor de implementatie van de opslagoplossing de voorkeur aan een in opslag gespecialiseerde leverancier boven een aanbieder van algemene ict-diensten. |
Ilm veronderstelt ook en vooral de invoering van een systeem van regels voor de overdracht van de gegevens tussen de verschillende hiërarchische lagen van de opslag. Die regels zijn eigen aan elk bedrijf en worden bij voorkeur (geheel of gedeeltelijk) geautomatiseerd met behulp van specifieke software. De it-afdeling stelt de regels op in nauwe samenwerking met de andere afdelingen van een bedrijf, aangezien die regels afhangen van zowel het belang en de waarde van de informatie voor de organisatie als de veiligheidsvereisten (ook de reglementaire) en de toegangsrechten. Binnen de diverse bedrijfsafdelingen worden steeds vaker ‘gegevenseigenaars’ aangesteld om in overleg met de it-mensen de regels op te stellen.
Bouwstenen
Ilm en conformiteit zijn complexe projecten die de volledige organisatie bestrijken en op lange termijn een cyclische herhaling (iteratie van het model) vereisen, ook al zullen de nodige middelen dan geleidelijk aan afnemen.
De meeste grote spelers op de opslagmarkt (bedrijven als IBM, HP, EMC, Veritas, StorageTek, Network Appliance en CA) bieden delen van oplossingen. Organisaties moeten echter op de eerste plaats de standaarden van de SNIA (Storage Networking Industry Association) in acht nemen, om er zeker van te zijn dat de bouwstenen van de leveranciers onderling compatibel zijn, want geen enkele leverancier bestrijkt het volledige spectrum.