Controleer uw bedrijfscontinuïteitscheck in vijf stappen

Het mkb ontkomt er niet aan: professionele databack-up en -recovery zijn essentieel voor de bedrijfscontinuïteit. Downtime kost geld, dus moet je je ertegen verzekeren. Alleen lijkt dit besef maar langzaam door te sijpelen. Veelgehoorde excuses: ik heb al een antivirusprogramma en firewall, er is hier nog nooit iets fout gegaan en ook zonder een back-up draaien we hier gewoon door.

Begrijpelijk. Als je een verzekering afsluit – zoals je volgens mij back-up en recovery moet zien –, dan wil je weten wat je verzekert en of de premie in verhouding staat tot het verzekerde. Het vreemde is alleen, dat heel weinig mkb-ondernemingen een beeld hebben van de waarde van hun informatie en data. Daarom: doe de mkb-continuïteitscheck in vijf stappen.

Kritisch of niet kritisch, dat is de vraag

Ga niet meteen investeren in backup- en recovery-systemen. Stel eerst vast welke informatie essentieel is voor de continuïteit van de ondernemming. Is informatie bedrijfskritisch, vertrouwelijk, of wordt die alleen opgeslagen om te voldoen aan wettelijke regels? Door verschillende niveaus aan te brengen in data en per niveau te bekijken wat de impact is als informatie definitief verloren gaat of tijdelijk niet beschikbaar is, kun je er een prijskaartje aan hangen. En belangrijker nog: is te bepalen bij welke calamiteit uw bedrijf zou kunnen omvallen.

Impact op processen

Welke processen zijn afhankelijk van bepaalde bedrijfskritische informatie? Analyseer welke informatie voor uw onderneming belangrijk is. Wat heb ik nodig om te kunnen werken? Wat kost het als bepaalde informatie (tijdelijk) niet beschikbaar is? Wat kost improductiviteit per uur? Aan personeelskosten en aan omzetderving? Hoe reageren klanten en leveranciers hierop? En wat als gegevens verloren gaan door een calamiteit? Wat kost het bijvoorbeeld om gegevens opnieuw te genereren? Wat is er geïnvesteerd om al die informatie te vergaren?

Datamanagementbeleid

Zorg als mkb-onderneming voor een informatieveiligheidsbeleid. Zet hiervoor regels en richtlijnen op papier en wijs verantwoordelijkheden en autorisaties toe. Dit kan aan de hand van ‘CIA’. Hierbij staat de C voor confidentiality: hoe weet je dat informatie veilig is als je niet weet wie er toegang toe hebben. Heeft een inhuurkracht dezelfde rechten als een vaste medewerker? Ondertekent iedere medewerker een geheimhoudingsverklaring? De I staat voor integrity: hoe weet je zeker dat informatie juist is en blijft – zeker informatie die kritisch is voor het bedrijf. En de A staat voor availability: hoe regelt u dat u elke dag weer over uw bedrijfsinformatie kunt beschikken? Misschien nog belangrijker: controleer en handhaaf de regels. Houden medewerkers hun persoonlijke gebruikersnamen en wachtwoorden vertrouwelijk? Hoe is de overdracht geregeld tijdens vakanties en ziekte?

Wat kan er misgaan?

Denk niet: ons bedrijf overkomt dit niet. Virussen, ransomware, hacks, diefstal door (ex)-medewerkers, brand, waterschade – een ongeluk zit in een klein hoekje.

En als het misgaat, wat dan?

Stel dat een boze ex-medewerker toegang heeft tot alle systemen en wachtwoorden. Het is vaker voorgekomen dat iemand alle servers formatteerde en alle data verloren ging. Of dat alle bedrijfsinformatie bij de concurrent terechtkwam.

E-mail is zo alledaags, dat het er altijd lijkt te zijn. Maar wat als de e-mail eruit ligt? E-mail heeft in veel ondernemingen een hoge waarde: offertes en opdrachten komen binnen via de e-mail. Zonder e-mail is uw personeel technisch werkloos. Stel, u hebt als mkb’er twintig medewerkers met een gemiddeld salaris van tweeduizend euro. Dan kost het uitvallen van de e-mail vijfhonderd euro per uur.

Bewustwording

Informatiebeveiliging is niet de aanschaf van hardware en software, het is ook geen kortdurend project. Informatiebeveiliging is een proces dat continue zorg, sturing en controle vereist. Daarom is ‘bewustwording’ voor mij de kern van back-up en businesscontinuiteit.

Door Arne van Balgoijen, Product Marketing Manager bij Portland Europe