Dataverlies kan grote gevolgen hebben voor bedrijven, tot aan gevaar voor de bedrijfscontinuïteit aan toe. Uit het 2018 Virtual Environment Data Protection Report van cloudserviceprovider iland blijkt dat bijna zeventig procent van de bedrijven in 2018 een volledige recovery van een applicatie of virtuele machine nodig had. Dit rapport benadrukt hoe belangrijk het is bewust om te gaan met data en het veilig opslaan ervan.
Om dataverlies te voorkomen, moeten managed service providers (msp’s) hun klanten inzicht geven in de impact van mogelijk dataverlies. Daarnaast moet worden ingeschat hoe groot de kans op dataverlies daadwerkelijk is en moeten maatregelen die dataverlies voorkomen, geprioriteerd worden. Msp’s kunnen klanten in drie stappen helpen bij het verbeteren van hun databescherming.
Stap 1: breng de mogelijke impact in kaart
Verlies van data kan een organisatie op tal van manieren schaden. Het is voor organisaties daarom belangrijk om de data die klanten in huis hebben, te inventariseren, in kaart te brengen wat de schade is in het geval van verlies – al dan niet door kwade opzet –, en die per datasoort in niveaus te classificeren, zoals laag, middel, aanzienlijk en hoog.
- Laag – verlies van data heeft minimale of geen gevolgen. Dit is het geval als de verloren productiviteit en de financiële gevolgen van dataverlies verwaarloosbaar zijn. Daarnaast is het voor een laag impactniveau een vereiste dat gegevensverlies leidt tot minimale reputatieschade, certificeringen niet in het geding komen en er geen juridische plicht is om de data op te slaan of te beschermen tegen diefstal.
- Middel – verlies van data heeft beperkte gevolgen. Enige verstoring van de werkzaamheden is aan de orde, maar de financiële schade loopt niet hoger op dan twee ton euro per incident. Het verlies leidt tot nadelige vermelding in nationale pers of in branchemedia. Wat compliance en certificering betreft, ontvangt de organisatie in het ergste geval een waarschuwing van de autoriteiten of een auditpartij.
- Aanzienlijk – verlies van data heeft grote gevolgen. De werkzaamheden worden aanmerkelijk verstoord, met schadeposten tot maximaal een half miljoen euro per incident. Het gegevensverlies is groot nieuws in nationale pers of in branchemedia, klanten zeggen op en werknemers lopen weg. Het verlies leidt tot een onderzoek van de autoriteiten, tot boetes en mogelijk tot verlies van certificeringen.
- Hoog – verlies van data heeft catastrofale gevolgen. Er is een totale verstoring van de werkzaamheden, de financiële schade is meer dan half miljoen euro per incident en het gegevensverlies is internationaal nieuws, wat leidt tot imagoschade. Bestaande klanten zeggen op, prospects willen geen zaken meer doen, er is sprake van mogelijke opschorting van de werkzaamheden door de autoriteiten en het bedrijf verliest certificeringen.
Stap 2: inventariseer bedreigingen
Als de klant in kaart heeft gebracht wat de gevolgen zijn van dataverlies, is het zaak te begrijpen wat de mogelijke oorzaken hiervan kunnen zijn. In een notendop zijn bedreigingen in twee categorieën in te delen: interne en externe dreigingen.
Interne dreigingen kunnen voortkomen uit onkundig onderhoud, sabotage, fraude, misbruik van fysieke of digitale toegang, het onbewust lekken van informatie, verlies van assets, onjuist gebruik van encryptie, non-compliant gebruik van licenties of door het uitvallen van systemen.
Denk bij externe dreigingen aan gerichte cyberaanvallen of DDoS-aanvallen, gelekte wachtwoorden, social engineering, fysieke inbraak, hacks, malware, fysieke calamiteiten of leveranciers die niet meer leveren.
Stap 3: bereken het risiconiveau en stel prioriteiten
Natuurlijk geldt in eerste instantie dat hoe hoger de impact van dataverlies is, hoe minder een organisatie bereid is een risico te lopen. Maar bij het prioriteren van maatregelen om een incident te voorkomen, moet ook worden gekeken naar de kans dat dataverlies daadwerkelijk optreedt.
Om impact en kans tegen elkaar af te wegen, is het nodig punten toe te kennen, zowel aan de mogelijke impact als aan de kans dat een bedreiging zich daadwerkelijk manifesteert.
Organisaties kunnen de punten voor de verschillende impactniveaus van dataverlies op de volgende manier rangschikken:
- lage impact – 1 punt;
- middelmatige impact – 2 punten;
- aanzienlijke impact – 3 punten;
- hoge impact – 4 punten.
Bij de kans dat het bij een bedreiging daadwerkelijk misgaat, zijn aan bedreigingen de volgende punten toe te wijzen:
- onwaarschijnlijk – 1 punt;
- reële kans – 2 punten;
- aanzienlijke kans – 3 punten.
Organisaties berekenen vervolgens het risico door de punten, toegewezen aan de impact van dataverlies, te vermenigvuldigen met de punten voor de kans dat het daadwerkelijk misgaat: impact x dreiging.
Als de impact in het geval van dataverlies bijvoorbeeld hoog is (4 punten) en de kans aanzienlijk (3 punten), levert dat een maximale risicoscore van 12 op. En een middelmatige impact (2 punten) bij een reële kans (2 punten) levert een score op van 4.
Bedrijven kunnen die scores raadplegen om de te nemen maatregelen te prioriteren. Daarbij kan als vuistregel worden aangehouden dat een risicoscore van 9 tot 12 om urgente aandacht vraagt, een score van 5 tot 8 middelhoge prioriteit heeft en een score van 1 tot 4 de laagste prioriteit heeft.
Bij maatregelen om dataverlies tegen te gaan, is naast het werken aan bewustzijn bij medewerkers bijvoorbeeld te denken aan wat er nodig is om dataverlies en downtime te minimaliseren.
Voor elk bedrijf zullen de impact en het risico op dataverlies anders zijn en ook niet elk bedrijf heeft hetzelfde it-budget om dataverlies tegen te gaan. Ongeacht de gekozen oplossing: het belangrijkste is dat de implementatie van databack-up en business continuity prioriteit krijgt binnen de organisatie van de klant.
