WHITEPAPER. Business Continuity. Bewustwording van de risico s en een gefaseerde aanpak voor continuïteit

Transcriptie

1 WHITEPAPER Business Continuity Bewustwording van de risico s en een gefaseerde aanpak voor continuïteit

2 Inleiding ICT is nauw verweven in vrijwel alle bedrijfsprocessen, wat geweldige kansen biedt voor verhoogde productiviteit en efficiency. De keerzijde van deze medaille is dat bedrijven telkens afhankelijker worden van de beschikbaarheid van data en applicaties. Wanneer data en applicaties niet beschikbaar zijn, staan de (belangrijkste) bedrijfsprocessen stil. Medewerkers zijn niet meer productief en producten en diensten kunnen niet meer worden geleverd. Bij een relatief korte uitval van ICT zijn de gevolgen vaak beperkt. Maar bij grootschalige of langer durende verstoringen liggen grote financiële en imagoschade op de loer. En de risico s zijn reëel en actueel: virussen, ransomware en menselijke fouten zijn slechts een paar voorbeelden. Dit whitepaper is bedoeld om u bewust te maken van de risico s en bedreigingen. We willen een realistisch beeld schetsen en dat betekent dat u als organisatie verantwoordelijk bent voor uw eigen Business Continuity. Verantwoordelijkheid kunt u immers niet uitbesteden. Hebt u nog geen Business Continuity strategie, dan is het nu tijd om in actie te komen. Dit paper is geschreven om u meer inzicht te geven in de risico s en concrete tips en handvatten te geven om een start te kunnen maken met Business Continuity Management. Ik wens u veel leesplezier! Nico Kaag - CISA CISSP Information Security Consultant 2

3 Inhoudsopgave Inleiding p. 2 Wat is business continuity? p. 4 De risico s p. 5, 6 General Data Protection Regulation (GDPR) p. 7 Welke kansen biedt de GDPR? p. 8 Business Continuity: een gefaseerde aanpak p. 9, simplifies ICT p. 11 3

4 Wat is business continuity? Business Continuity is het plannen van onverwachte bedreigingen en ervoor zorgen dat de belangrijkste bedrijfsprocessen altijd doorgang kunnen vinden. Stel dat u een dag niet kunt beschikken over uw administratie, welke gevolgen heeft dit dan voor uw omzet, reputatie en klanttevredenheid? En nog belangrijker, weet u welke stappen er ondernomen moeten worden om de verstoring zo snel mogelijk op te lossen? De essentie van Business Continuity In essentie gaat Business Continuity over de beschikbaarheid, integriteit en vertrouwelijkheid van uw data. Het omvat het geheel van maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie garanderen. Het doel is de continuïteit van de informatievoorziening te waarborgen en de eventuele gevolgen van incidenten tot een acceptabel niveau te beperken. Doelstellingen van Business Continuity De doelstelling van Business Continuity is het terugbrengen van de RPO en RTO tot een voor uw organisatie acceptabel niveau: - RPO staat voor Recovery Point Objective, oftewel herstelpunt doelstelling: hoeveel gegevensverlies is acceptabel? - RTO staat voor Recovery Time Objective, oftewel de hersteltijd doelstelling: hoe lang mogen de applicatie en data maximaal niet beschikbaar zijn? Uiteindelijk dient uw volledige ICT landschap maar één doel: zorgen dat de data en applicaties beschikbaar zijn waarmee medewerkers, klanten, business partners en leveranciers efficiënt en effectief kunnen (samen)werken. Een strategische afstemming over de gehele business keten tussen organisatiedoelstellingen en business continuity is een voorwaarde voor succes. 4

5 De risico s Business Continuity gaat niet alleen om het in kaart brengen van mogelijke bedreigingen, maar vooral om het voorkomen ervan. Denk hierbij aan (bewustwording van) risico s rondom data, applicaties en beveiliging. Continuïteit van uw organisatie De dataset vertegenwoordigt naast mensen de grootste waarde in de onderneming. Dataverlies heeft niet zelden een faillissement op korte of langere termijn tot gevolg. Onderzoek van Gartner toont aan: 43% van de bedrijven gaat nagenoeg direct failliet na een significant dataverlies 51% sluit binnen 2 jaar na significant dataverlies haar deuren Conclusie: 2 jaar na een grootschalig dataverlies bestaat nog slechts 6% van de getroffen bedrijven. Externe en interne bedreigingen Er is een breed scala factoren waardoor uw data kunnen worden bedreigd, onder andere: Noodweer (regen, storm, bliksem) Brand Inbraak Hackers en virussen Gecrashte harde schijven Menselijke fouten van eindgebruikers en IT medewerkers Opzet van rancuneuze (ex) medewerkers Wet- en regelgeving rond dataverlies Organisaties krijgen te maken met telkens meer wet- en regelgeving rond data en de bescherming daarvan, zoals bijvoorbeeld de General Data Privacy Regulation (GDRP) in relatie tot privacy gevoelige informatie. Door dataverlies de pers halen is wel free publicity maar niet het soort publiciteit waar uw imago beter van wordt. Daarnaast kunnen juridische en fiscale aspecten veel impact hebben; bij het verlies van bijvoorbeeld klantgegevens loopt u risico op hoge boetes. Ransomware Ransom is het Engelse woord voor losgeld. Ransomware is kwaadwillende software waarmee uw systemen worden gegijzeld door het blokkeren van uw data. Pas na het betalen van losgeld worden uw data weer vrijgegeven. Deze vorm van dreiging neemt sterk toe. Van alle erkende aanvallen wereldwijd is het percentage ransomware-aanvallen in de tweede helft van 2016 bijna verdubbeld van 5,5 procent naar 10,5 procent. In 2016 werden duizenden nieuwe ransomware-varianten ontdekt. Volledige preventieve bescherming tegen ransomware blijft voorlopig een utopie. De race tussen de ransomware en security industrie duurt voort en de koppositie in deze competitie wisselt per dag. Het is dus niet uit te sluiten dat ook uw organisatie slachtoffer wordt. Toch kunt u zich wel voorbereiden op een aanval, met bijvoorbeeld een goede back-up en restore strategie zodat de continuïteit van uw onderneming niet in gevaar komt mocht u onverhoopt toch slachtoffer worden. 5

6 De risico s De kosten van downtime na dataverlies Organisaties blijken niet goed in staat hun data te beschermen tegen nieuwe dreigingen. We belichten een aantal conclusies uit de Global Data Protection Index 2016, een onderzoek dat EMC heeft laten uitvoeren in achttien landen waaronder Nederland. In 2016 heeft 46% van de respondenten last gehad van ongeplande systeem downtime, met een gemiddelde schade van US$ per getroffen bedrijf. Bij dataverlies (20% van de respondenten) is de schade nog groter; de kosten bedragen daar gemiddeld US$ per bedrijf. Weet u welke impact downtime heeft op de productiviteit en financiële resultaten van uw organisatie? Bereken het met onze downtime calculator. Bereken het hier. 6

7 General Data Protection Regulation (GDPR) De meldplicht datalekken is in mei 2016 opgevolgd door General Data Protection Regulation (GDPR). De GDPR is een Europese algemene verordening gegevensbescherming. Deze privacy verordening gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In essentie moet de GDRP er voor zorgen dat bedrijven de privacy rechten van de individuele consument respecteren. Waarom is de GDPR belangrijk? Van organisaties wordt verwacht dat zij hun bedrijfsvoering en dus de verwerking en bescherming van persoonsgegevens met de GDPR in overeenstemming brengen. U heeft daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de GDPR aanspreken. Een aantal van de nieuwe eisen vanuit de GDPR: U bent verplicht passende organisatorische en technische maatregelen te nemen. U bent verplicht bij te blijven met de stand der techniek (patches etc.). Bij een bedrijfsomvang van meer dan 50 FTE moet u een Functionaris Gegevensbescherming aanstellen. Met de GDPR wordt databescherming een bindend fundamenteel recht voor alle burgers van de Europese Unie. Naast de eerder genoemde eisen leidt dit tot een sterke groei van de compliance verplichtingen, bijvoorbeeld: nieuwe regels over het verkrijgen van goedkeuring voor het gebruik van persoonlijke data, wat hierdoor veel moeilijker zal worden; een verplichte Privacy Impact Assessment (PIA); nieuwe richtlijnen voor privacy by design en privacy by default die een grote impact zullen hebben op de werkwijze en processen van uw organisatie; nieuwe, hogere eisen aan transparantie en het melden van datalekken. De impact van de GDPR U moet de persoonlijke gegevens niet alleen op de juiste manier vastleggen, beheren en anonimiseren. Maar burgers moeten ook gemakkelijk inzage kunnen krijgen in hun eigen data en om verwijdering kunnen vragen. Consumenten krijgen met de GDPR veel verdergaande rechten rond het gebruik van hun persoonlijke data en juridische mogelijkheden om compensatie te eisen bij misbruik. 7

8 Welke kansen en voordelen biedt de GDPR? De impact van de GDPR is groot. Maar de GDPR biedt ook een aantal duidelijke kansen en voordelen. Om te beginnen geldt er eindelijk een privacy standaard voor de gehele Europese Unie. Wanneer u GDPR compliant bent in Nederland dan bent u dat dus ook in alle andere Europese landen. Dit is een groot voordeel ten opzichte van de oude situatie waar Europees werkende organisaties moesten voldoen aan de 28 verschillende standaarden die in Europa golden. De GDPR is een bindende richtlijn, dus niets doen is geen optie. Wij adviseren de GDPR gerelateerde maatregelen in te bedden in een breder Business Continuity spectrum. In beide gevallen is de essentie namelijk de beschikbaarheid, integriteit en vertrouwelijkheid van uw data. De GDPR biedt hiermee de mogelijkheid om met relatief beperkte extra impact Business Continuity in een keer goed in te richten voor uw organisatie. 8

9 Business Continuity: een gefaseerde aanpak Het uiteindelijke doel van Business Continuity is het terugbrengen van risico s tot een acceptabel niveau tegen acceptabele kosten. hanteren we hiervoor een gefaseerde en gestructureerde aanpak. Business Impact Analyse De eerste stap op weg naar Business Continuity is een Business Impact Analyse (BIA). Een BIA wordt in het kader van Business Continuity gebruikt om de kritieke van de niet kritieke processen te scheiden. Het geeft hiermee inzicht in de belangrijkste elementen waar u op moet focussen bij de uitwerking van een Business Continuity Plan. Naast de eisen omtrent de beschikbaarheid, integriteit en vertrouwelijkheid van data geeft de BIA inzicht in de business case van Business Continuity: Hoeveel dataverlies kan (of mag) u zich maximaal permitteren? Dit wordt uitgedrukt in de Recovery Point Objective, oftewel RPO. In geval van calamiteit: hoe snel moet de beschikbaarheid, integriteit en vertrouwelijkheid weer op het gewenste peil worden gebracht? Dit wordt uitgedrukt in de Recovery Time Objective, oftewel RTO. Aandachtspunten Bij de Business Impact Analyse besteden we onder andere aandacht aan de volgende aspecten: Data classificatie welke informatie is belangrijk vs. niet belangrijk? Hierbij kijken we vooral naar de bedrijfsprocessen met de bijbehorende data. Financiële gegevens: wat zijn de kosten, waarde en financiële risico s van de diverse typen data? Denk hierbij aan de waarde c.q. mogelijke schade bij verlies van jaarcijfers, kostprijzen, patenten etc. Een loonadministratie is een goed voorbeeld van de mogelijke variaties binnen een Business Continuity traject. Deze vertrouwelijkheid en integriteit van deze informatie moet namelijk wel te allen tijde geborgd zijn, maar de beschikbaarheidseisen kunnen lager zijn dan van bijvoorbeeld een ERP of facturatie applicatie. 9

10 Business Continuity: een gefaseerde aanpak Omgaan met risico s Een BIA geeft inzicht in de gewenste situatie. Wanneer deze bekend is, moeten de risico s en reeds genomen maatregelen in kaart worden gebracht. Hiermee wordt duidelijk welke risico s op dit moment nog niet worden afgedekt. Per risico moet u een besluit nemen hoe u hiermee om wilt gaan: Accepteren: u accepteert de mogelijke schade die u loopt. Overdragen, bijvoorbeeld door te verzekeren: u dekt het risico af. Houdt u er rekening mee dat als u zich niet aan de wet (bijvoorbeeld de GDPR) houdt, uw verzekering niet uitkeert. Beheersen: u neemt maatregelen om het risico volledig of tot aanvaardbaar risico weg te nemen. Kijk hierbij tevens naar de retentie van data: hoe lang moet of wil u data bewaren? Door deze periode te verkorten verlaagt u niet alleen het risico maar bespaart u tevens op de kosten van opslag en security maatregelen. Vermijden: het risico is niet op een acceptabele manier te reduceren, het gevolg kan zijn het stoppen met een bepaald product of service. Maatregelen Op basis van de risico s en gewenste situatie kunnen er keuzes worden gemaakt om te komen tot en set maatregelen die leiden tot de gewenste beschikbaarheid van uw ICT omgeving en data. Leidend hierbij is de business case: wat is uw risico en wat kost het om dit risico tot een acceptabel niveau terug te brengen? Business Continuity bestaat uit een bedrijfsbreed en geïntegreerd stelsel van maatregelen die zowel preventief, detectief, repressief als correctief werkzaam zijn. Preventief: het voorkomen van situaties die de continuïteit van de organisatie in gevaar kunnen brengen. Detectief: het zo snel mogelijk bekend laten worden van bedreigingen. Repressief: het zo snel mogelijk stoppen van een bedreiging en zoveel mogelijk beperken van gevolgschade. Correctief: het herstellen van de bedrijfsprocessen binnen een acceptabele periode. Omdat elke organisatie en de mate van acceptatie van risico s uniek zijn, is de implementatie van Business Continuity maatregelen altijd maatwerk. 10

11 @Valley - simplifies brengt complexe ICT voor middelgrote en grote organisaties terug tot de essentie: functionaliteit, performance en continuïteit op maat tegen voorspelbare kosten. Ons doel: zorgen dat uw medewerkers en processen altijd kunnen vertrouwen op de performance en beschikbaarheid van uw ICT omgeving. Hoe we werken Wij werken anders dan andere ICT bedrijven. Wij praten liever over uw business dan de onze, want bij alles wat wij doen is uw organisatie ons vertrekpunt. Onze stijl van werken is verfrissend en gebaseerd op partnership en duidelijke communicatie. Wij zorgen voor een betrouwbare, veilige en 24 7 beschikbare ICT omgeving door een proactieve opstelling en voorspellend te acteren. Onze aanpak is no nonsense, we werken efficiënt en zetten graag een stap extra. Als resultaat van onze aanpak unieke beheer SLA s afgeven op het niveau van uw bedrijfsprocessen. Hiermee worden uw prioriteiten ook onze prioriteiten en u ruilt complexiteit in voor voorspelbaarheid. Wat we doen Wij adviseren en ondersteunen onze klanten bij het ontwerp, de inrichting, de implementatie en het beheer van hun complexe ICT infrastructuren. U kunt rekenen op jarenlange ervaring, een hoog niveau expertise, certificeringen en mooie referenties. En u heeft de keuze uit een breed portfolio ICT diensten en oplossingen, zowel on premise als in de cloud. Niet voor niets is onze simplifies ICT. Ervaar het zelf en neem contact met ons op voor een vrijblijvende kennismaking. 11