Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

In 3 stappen beter beschermd tegen dataverlies

Channelweb Expert

Victor Raessen
Sales Director Benelux, Datto. Expert van Channelweb voor de topics Management, Outsourcing en Digital Transformation.

Dataverlies kan grote gevolgen hebben voor bedrijven, tot aan gevaar voor de bedrijfscontinuïteit aan toe. Uit het 2018 Virtual Environment Data Protection Report van cloudserviceprovider iland blijkt dat bijna zeventig procent van de bedrijven in 2018 een volledige recovery van een applicatie of virtuele machine nodig had. Dit rapport benadrukt hoe belangrijk het is bewust om te gaan met data en het veilig opslaan ervan.

Om dataverlies te voorkomen, moeten managed service providers (msp’s) hun klanten inzicht geven in de impact van mogelijk dataverlies. Daarnaast moet worden ingeschat hoe groot de kans op dataverlies daadwerkelijk is en moeten maatregelen die dataverlies voorkomen, geprioriteerd worden. Msp’s kunnen klanten in drie stappen helpen bij het verbeteren van hun databescherming.

Stap 1: breng de mogelijke impact in kaart

"Verlies van data kan een organisatie op tal van manieren schaden"

Verlies van data kan een organisatie op tal van manieren schaden. Het is voor organisaties daarom belangrijk om de data die klanten in huis hebben, te inventariseren, in kaart te brengen wat de schade is in het geval van verlies – al dan niet door kwade opzet –, en die per datasoort in niveaus te classificeren, zoals laag, middel, aanzienlijk en hoog.

  • Laag – verlies van data heeft minimale of geen gevolgen. Dit is het geval als de verloren productiviteit en de financiële gevolgen van dataverlies verwaarloosbaar zijn. Daarnaast is het voor een laag impactniveau een vereiste dat gegevensverlies leidt tot minimale reputatieschade, certificeringen niet in het geding komen en er geen juridische plicht is om de data op te slaan of te beschermen tegen diefstal.
  • Middel – verlies van data heeft beperkte gevolgen. Enige verstoring van de werkzaamheden is aan de orde, maar de financiële schade loopt niet hoger op dan twee ton euro per incident. Het verlies leidt tot nadelige vermelding in nationale pers of in branchemedia. Wat compliance en certificering betreft, ontvangt de organisatie in het ergste geval een waarschuwing van de autoriteiten of een auditpartij.
  • Aanzienlijk – verlies van data heeft grote gevolgen. De werkzaamheden worden aanmerkelijk verstoord, met schadeposten tot maximaal een half miljoen euro per incident. Het gegevensverlies is groot nieuws in nationale pers of in branchemedia, klanten zeggen op en werknemers lopen weg. Het verlies leidt tot een onderzoek van de autoriteiten, tot boetes en mogelijk tot verlies van certificeringen.
  • Hoog  verlies van data heeft catastrofale gevolgen. Er is een totale verstoring van de werkzaamheden, de financiële schade is meer dan half miljoen euro per incident en het gegevensverlies is internationaal nieuws, wat leidt tot imagoschade. Bestaande klanten zeggen op, prospects willen geen zaken meer doen, er is sprake van mogelijke opschorting van de werkzaamheden door de autoriteiten en het bedrijf verliest certificeringen.

Stap 2: inventariseer bedreigingen

Als de klant in kaart heeft gebracht wat de gevolgen zijn van dataverlies, is het zaak te begrijpen wat de mogelijke oorzaken hiervan kunnen zijn. In een notendop zijn bedreigingen in twee categorieën in te delen: interne en externe dreigingen.

Interne dreigingen kunnen voortkomen uit onkundig onderhoud, sabotage, fraude, misbruik van fysieke of digitale toegang, het onbewust lekken van informatie, verlies van assets, onjuist gebruik van encryptie, non-compliant gebruik van licenties of door het uitvallen van systemen.

Denk bij externe dreigingen aan gerichte cyberaanvallen of DDoS-aanvallen, gelekte wachtwoorden, social engineering, fysieke inbraak, hacks, malware, fysieke calamiteiten of leveranciers die niet meer leveren.

Stap 3: bereken het risiconiveau en stel prioriteiten

"Om impact en kans tegen elkaar af te wegen, is het nodig punten toe te kennen"

Natuurlijk geldt in eerste instantie dat hoe hoger de impact van dataverlies is, hoe minder een organisatie bereid is een risico te lopen. Maar bij het prioriteren van maatregelen om een incident te voorkomen, moet ook worden gekeken naar de kans dat dataverlies daadwerkelijk optreedt.

Om impact en kans tegen elkaar af te wegen, is het nodig punten toe te kennen, zowel aan de mogelijke impact als aan de kans dat een bedreiging zich daadwerkelijk manifesteert.

Organisaties kunnen de punten voor de verschillende impactniveaus van dataverlies op de volgende manier rangschikken:

  • lage impact – 1 punt;
  • middelmatige impact – 2 punten;
  • aanzienlijke impact – 3 punten;
  • hoge impact - 4 punten.

Bij de kans dat het bij een bedreiging daadwerkelijk misgaat, zijn aan bedreigingen de volgende punten toe te wijzen:

  • onwaarschijnlijk – 1 punt;
  • reële kans – 2 punten;
  • aanzienlijke kans – 3 punten.

Organisaties berekenen vervolgens het risico door de punten, toegewezen aan de impact van dataverlies, te vermenigvuldigen met de punten voor de kans dat het daadwerkelijk misgaat: impact x dreiging.

Als de impact in het geval van dataverlies bijvoorbeeld hoog is (4 punten) en de kans aanzienlijk (3 punten), levert dat een maximale risicoscore van 12 op. En een middelmatige impact (2 punten) bij een reële kans (2 punten) levert een score op van 4.

Bedrijven kunnen die scores raadplegen om de te nemen maatregelen te prioriteren. Daarbij kan als vuistregel worden aangehouden dat een risicoscore van 9 tot 12 om urgente aandacht vraagt, een score van 5 tot 8 middelhoge prioriteit heeft en een score van 1 tot 4 de laagste prioriteit heeft.

Bij maatregelen om dataverlies tegen te gaan, is naast het werken aan bewustzijn bij medewerkers bijvoorbeeld te denken aan wat er nodig is om dataverlies en downtime te minimaliseren.

Voor elk bedrijf zullen de impact en het risico op dataverlies anders zijn en ook niet elk bedrijf heeft hetzelfde it-budget om dataverlies tegen te gaan. Ongeacht de gekozen oplossing: het belangrijkste is dat de implementatie van databack-up en business continuity prioriteit krijgt binnen de organisatie van de klant.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-02-06T13:04:00.000Z Victor Raessen
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.