Mischa Puyenbroek – Business Consultant
Kort gezegd, het dupliceren en op een aparte plaats veilig opslaan van de bedrijfsinformatie. Daarmee wordt gezorgd dat u in situaties van verdwenen informatie of in het geval van brand, storm of informatiegijzeling zo snel mogelijk weer verder kan met uw bedrijf. Voor de continuïteit van uw organisatie zijn back-ups een belangrijk onderwerp. En daarmee ook voor de ISO 27001.
Als we het hebben over back-ups dan komen er verschillende onderwerpen naar voren. Wie maakt de back-ups? Hoe zijn ze beveiligd? In termen van encryptie en toegang. Wie heeft of waar ligt de beveiligingscode? Wat is Plan B? Maar ook waar de back-ups zijn opgeslagen. Op eigen servers (buiten het gebouw) of bij de cloud-leverancier.
Belangrijke zaken om goed over na te denken, vast te leggen en afspraken over te maken met de betreffende (externe) partijen. Want op het moment dat een back-up nodig is, is er meestal wat essentieels aan de hand en is een snelle reactie gewenst. Dan is er geen tijd om nog even rustig uit te zoeken hoe het zit.
AVG, oftewel de privacy wet. Als u gebruik maakt van Cloud of softwareleveranciers die uw back-ups opslaan (lees verwerken) dan is het belangrijk dat u met elk van hen een verwerkersovereenkomst sluit.
Wat ook belangrijk kan zijn, is waar de data is opgeslagen. Binnen de EU is de AVG/ GDPR (is hetzelfde als AVG maar dan in het Engels) van kracht. Dat geldt bijvoorbeeld niet voor de Verenigde Staten waar de overheid in theorie en op basis van wetgeving volledig toegang kan krijgen tot uw bedrijfs- en persoonsinformatie. Zorg dus dat u dat scherp in beeld hebt en bepaal voor uw organisatie of dat wel of geen probleem is.
Laat de IT-afdeling ook nagaan of medewerkers lokaal informatie opslaan op hun PC of laptop. Die gegevens worden doorgaans niet meegenomen in de back-ups. En vormen ook een risico op een datalek wanneer de laptop wordt verloren, gestolen of gehackt.
Als u gebruik maakt van cloud-software, waarbij de data op de servers van de leverancier is opgeslagen, is het ook belangrijk om na te gaan waar zij hun back-ups opslaan. Maar ook de praktische kant van beveiliging en hersteltijden bij verstoringen.
Een ander onderwerp om mee te nemen zijn verzekeringen. Er zijn verschillende verzekeringen die u kunnen beschermen tegen de (financiële) gevolgen van hacks, informatie-gijzelingen of andere vormen van dataverlies. Plus de vervolgschade daarvan door de verstoring van uw bedrijfscontinuïteit.
Zelf aan de slagWilt u vast zelf aan de slag met een goede back-up voorziening, denk dan aan de volgende zaken: inventariseer en analyseer de huidige stand van zaken, maak keuzes en leg die vast. In het beleidsplan maar ook in het Business Continuity plan. Check regelmatig of alles nog werkt zoals bepaald. Een periodieke audit of test werkt prima.
Back-ups zijn helaas vaak het stiefkind en de achilleshiel van de organisatie. Geen of te weinig regelmatige back-ups. Onvoldoende testen of de data goed en eenvoudig terug te zetten is. Maar ook (te) beperkte afspraken met leveranciers hierover. Op zich allemaal logisch omdat je een back-up bijna nooit nodig hebt. Tot het moment dat het wel nodig is en de data niet voorhanden zijn of van veel te lang geleden. Met alle gevolgen van dien.
Daarom is dit een belangrijk onderwerp binnen het domein van informatiebeveiliging en de ISO 27001. Back-ups goed regelen en regelmatig controleren voorkomt veel ellende op het moment dat het nodig is.
Blog geschreven door Mischa Puyenbroek, Business consultant
In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP