fbpx

Back-ups

ISO 27001

Mischa Puyenbroek

Mischa Puyenbroek – Business Consultant

Waar hebben we het over

Kort gezegd, het dupliceren en op een aparte plaats veilig opslaan van de bedrijfsinformatie. Daarmee wordt gezorgd dat u in situaties van verdwenen informatie of in het geval van brand, storm of informatiegijzeling zo snel mogelijk weer verder kan met uw bedrijf. Voor de continuïteit van uw organisatie zijn back-ups een belangrijk onderwerp. En daarmee ook voor de ISO 27001.

 

Wat komt erbij kijken

Als we het hebben over back-ups dan komen er verschillende onderwerpen naar voren. Wie maakt de back-ups? Hoe zijn ze beveiligd? In termen van encryptie en toegang. Wie heeft of waar ligt de beveiligingscode? Wat is Plan B? Maar ook waar de back-ups zijn opgeslagen. Op eigen servers (buiten het gebouw) of bij de cloud-leverancier.

Belangrijke zaken om goed over na te denken, vast te leggen en afspraken over te maken met de betreffende (externe) partijen. Want op het moment dat een back-up nodig is, is er meestal wat essentieels aan de hand en is een snelle reactie gewenst. Dan is er geen tijd om nog even rustig uit te zoeken hoe het zit.

 

Een aantal zaken om goed naar te kijken

AVG, oftewel de privacy wet. Als u gebruik maakt van Cloud of softwareleveranciers die uw back-ups opslaan (lees verwerken) dan is het belangrijk dat u met elk van hen een verwerkersovereenkomst sluit.

Wat ook belangrijk kan zijn, is waar de data is opgeslagen. Binnen de EU is de AVG/ GDPR (is hetzelfde als AVG maar dan in het Engels) van kracht. Dat geldt bijvoorbeeld niet voor de Verenigde Staten waar de overheid in theorie en op basis van wetgeving volledig toegang kan krijgen tot uw bedrijfs- en persoonsinformatie. Zorg dus dat u dat scherp in beeld hebt en bepaal voor uw organisatie of dat wel of geen probleem is.

Laat de IT-afdeling ook nagaan of medewerkers lokaal informatie opslaan op hun PC of laptop. Die gegevens worden doorgaans niet meegenomen in de back-ups. En vormen ook een risico op een datalek wanneer de laptop wordt verloren, gestolen of gehackt.

Als u gebruik maakt van cloud-software, waarbij de data op de servers van de leverancier is opgeslagen, is het ook belangrijk om na te gaan waar zij hun back-ups opslaan. Maar ook de praktische kant van beveiliging en hersteltijden bij verstoringen.

Een ander onderwerp om mee te nemen zijn verzekeringen. Er zijn verschillende verzekeringen die u kunnen beschermen tegen de (financiële) gevolgen van hacks, informatie-gijzelingen of andere vormen van dataverlies. Plus de vervolgschade daarvan door de verstoring van uw bedrijfscontinuïteit.

OTAP

Zelf aan de slag

Wilt u vast zelf aan de slag met een goede back-up voorziening, denk dan aan de volgende zaken: inventariseer en analyseer de huidige stand van zaken, maak keuzes en leg die vast. In het beleidsplan maar ook in het Business Continuity plan. Check regelmatig of alles nog werkt zoals bepaald. Een periodieke audit of test werkt prima.

  • Maak een back-up plan. Met daarin de procedures, locatie van de data, afspraken intern met de verantwoordelijke personen en hun bereikbaarheid en met leveranciers, waar de elektronische sleutels zijn, etc.
  • Bedenk wat er mis kan gaan en bepaal acties om dat te voorkomen. Leg dat vast en monitor dit regelmatig.
  • Stel een Business Continuity Plan (BCP) op of vul deze met bovenstaande zaken aan. Ga ook na of daar een calamiteitenplan in zit, m.b.t. wat u moet doen in het geval van brand, waterschade of dataleks.
  • Test ook regelmatig het terugzetten. Klopt het proces en is de data binnen de afgesproken tijd weer terug en operationeel.
  • Maak afspraken (incl. de verwerkersovereenkomsten) met de leveranciers. Leg de details bloot, stel Service Level Agreements op en vraag om garanties. Ga na of de software/ Cloud leverancier ook een BCP heeft

 

Het stiefkind

Back-ups zijn helaas vaak het stiefkind en de achilleshiel van de organisatie. Geen of te weinig regelmatige back-ups. Onvoldoende testen of de data goed en eenvoudig terug te zetten is. Maar ook (te) beperkte afspraken met leveranciers hierover. Op zich allemaal logisch omdat je een back-up bijna nooit nodig hebt. Tot het moment dat het wel nodig is en de data niet voorhanden zijn of van veel te lang geleden. Met alle gevolgen van dien.

Daarom is dit een belangrijk onderwerp binnen het domein van informatiebeveiliging en de ISO 27001. Back-ups goed regelen en regelmatig controleren voorkomt veel ellende op het moment dat het nodig is.

Blog geschreven door Mischa Puyenbroek, Business consultant

MEER LEZEN OVER ISO 27001?

Neem een kijkje op de kennispagina ISO 27001