In het eerste deel van deze tweeluik legde ik uit waarom organisaties die kwetsbaar zijn voor ransomware er goed aan doen om databescherming-dienstleveranciers kwalitatief te vergelijken met verzekeraars. In dit vervolg maak ik het verhaal rond en trek ik de vergelijking met verzekeraars door naar het tweede cruciale element: de betaalbaarheid van diensten. Want voor een kwalitatief sterke maar onbetaalbare dienst koop je uiteindelijk ook niks.
Organisaties in de publieke en semipublieke sectoren beheren vaak it-systemen vol privacygevoelige data, en wanneer die geraakt worden door ransomware kan dit snel kritieke schade veroorzaken of juridische consequenties hebben. Bij dit type organisatie spreken we daarom ook wel van een lage uitvaltolerantie. Dit type doet er goed aan om databescherming-dienstleverancier te vergelijken met verzekeraars. In feite bieden die dezelfde waarde: zij zorgen ervoor dat bij een calamiteit de organisatie geen kritieke schade oploopt.
Naast de kwaliteit van een dienst weegt ook het prijskaartje zwaar mee. En als je dacht dat er veel dienstleveranciers zijn, dan zal je al helemaal de weg kwijtraken in het woud van mogelijke diensten die zij aanbieden. Organisaties met een lage uitvaltolerantie kunnen het zekere voor het onzekere nemen en ervoor kiezen om het niveau van hun databescherming te maximaliseren. Behalve dat dit niet effectiever is dan maatwerk, is dit vanwege uitdijende datasets en de stijgende kosten van clouddiensten bovendien geen economisch duurzame aanpak.
Vergelijk daarom ook als het draait om kosten dienstleveranciers met verzekeraars. Immers, als het om een verzekering draait, wil je ook niet betalen voor dekking die je niet nodig hebt. Daarbij investeren verzekeraars veel tijd en energie om jouw individuele risico’s in kaart te brengen en optimale premieprijzen te berekenen. Van een databescherming-dienstleverancier die letterlijk over jouw data beschikt, mag je dan ook verwachten dat ze jouw risico’s perfect in kaart brengen voor het juiste pakket aan diensten met een aansluitende serviceprijs.
Aandacht voor maatwerk
Het aanbod van clouddiensten is de afgelopen jaren enorm gegroeid, waardoor organisaties nu uit een breed scala aan diensten kunnen kiezen die passen bij hun behoeften. Om aan die behoeften tegemoet te komen, zal je zowel voor een databeschermingsdienst als voor een verzekering in eerste instantie jouw risico’s in kaart moeten brengen. Voor een verzekering kan je veel zelf doen met hulpmiddelen zoals online-checklists en berekentools, maar it-omgevingen zijn vaak veel te complex voor een dergelijke checklist. Organisaties hebben vaak niet de kennis om precies te weten wat ze nodig hebben en lopen het risico te betalen voor suboptimale bescherming.
Voor kostenefficiënte databescherming leunen zij daarom vaak op advies van de dienstleveranciers. Maar ook die zal zich eerst moeten onderdompelen in de data van de afnemer om daar iets zinnigs over te kunnen zeggen. Hoe ziet de omgeving eruit, welke data is privacygevoelig of sluit aan op productieve activiteiten en waar moet je snel bij kunnen in het geval van een calamiteit? Alleen met zo’n vlijmscherp beeld van de data kunnen zij slimme oplossingen bieden, bijvoorbeeld door workloads te spreiden over verschillende type clouds met verschillende soorten bescherming. Laat een dienstleverancier persoonlijke aandacht, nieuwsgierigheid, zorgvuldigheid en de wil om in een langere relatie te investeren zien? Dat zijn sterke indicatoren dat zij zich inzetten om jouw organisatie de databescherming te bieden die aansluiten op de beschermingsbehoeften.
Kleine lettertjes
Naast het pakket aan diensten is het belangrijk om te letten op wat je bij een verzekeraar de kleine lettertjes zou noemen. Je denkt een goede autoverzekering te hebben gevonden tegen een lage premie, maar dan blijkt alleen de blikschade verzekerd te zijn en niet de wegsleepkosten. En die goedkope reisverzekering biedt net een andere dekking voor dat ene land waar jij naar onderweg bent…
De geniepige verzekeraar is weliswaar een cliché, maar dit cliché heeft meer overeenkomsten met de wereld van databescherming dan je denkt. Bij sommige dienstverleners kan het er wel op lijken dat je een efficiënt dienstenpakket hebt geregeld, maar zal je alsnog flink betalen door de bijkomende serviceovereenkomsten. Soms is het bijvoorbeeld spotgoedkoop om je data in de cloud te plaatsen. Maar wil je die weer naar on-prem of naar een andere cloud verplaatsen, dan betaal je de hoofdprijs. Afhankelijk van de diensten die je nodig hebt hoeft dit geen probleem te zijn. Maar bij databescherming loop je wel snel het risico dat de kosten uit de bocht vliegen, aangezien back-up en recovery of hybride-cloud-uitwijkdiensten inherent vragen om flexibiliteit van waar en hoe data worden ingezet. Kijk dus goed of het type serviceovereenkomst ook echt aansluit op je dienstenpakket. Flexibele opties zoals tarief per byte ongeacht het type dienst, sluiten vaak goed aan op databeschermingsdiensten.
De huidige situatie waar cybercriminelen graag hun pijlen richten op organisaties in de publieke en semipublieke sectoren vraagt om een mentaliteitsverandering. Databescherming is niet meer zomaar een uit te besteden it-dienst, maar een onmisbaar component in het voorkomen van kritieke schade. Van verzekeraars verwachten we niet minder dan betaalbare uitkeergarantie; leg dat beeld naast de garanties die dienstleveranciers bieden. Want om blindelings op je dienstverlener te kunnen vertrouwen, zal je eerst uiterst kritisch naar het aanbod moeten kijken.
Wat betreft het garant staan van MIJN data in een databeschermingswet gaan discussies met DPO’s, C(I)O’s en informatiebeveiligingsmanagers over de rechtmatigheid doordat privacy-by-design met data minimalisatie begint. Om een data minimalisatie in de praktijk te brengen moeten organisaties een evaluatie uitvoeren over welke gegevens ze nodig hebben voor de specifieke processen en doelen. En vervolgens moeten ze ervoor zorgen dat ze geen extra gegevens verzamelen of bewaren die niet relevant zijn voor deze doelen. Het verzamelen van overbodige of buitensporige hoeveelheden persoonlijke gegevens is bij wet verboden maar vooral de organisaties in de publieke en semipublieke sectoren houden zich niet aan de wet. Want expertise van gegevensbeschermingsexperts mist nog weleens de juridische kant van het verhaal waardoor de discussies meer over een doelmatigheid zonder jurdische kadering gaan met als gevolg een slechte gegevensverwerkingsefficiëntie.
Het naleven van alle wet- en regelgeving met betrekking tot gegevensbescherming en privacy gaat om compliance kosten, een non-functioneel aspect in het datamanagement. Leuke hierin is dat non-functionele data zoals metadata in allerlei logs vaak meer waarde heeft dan de data zelf omdat organisaties hiermee kunnen bewijzen dat ze procesmatig databescherming hebben ingericht. Dat is ook fijn als je vervolgschade wilt claimen want te goed van vertrouwen is controle beter.