Een reality check voor dataveerkracht

Veel organisaties hebben dataveerkracht nog altijd niet op orde

Nu benchmarks zijn verbeterd en men beter weet wat dataveerkracht inhoudt, beseffen veel organisaties dat ze minder goed zijn voorbereid als gedacht. Uit een rapport van Veeam blijkt dat zelfs kerncomponenten van cyberveerkracht, zoals ‘mensen en processen’, regelmatig tekortschieten. Hoe komt dat? En hoe kan het beter?

Dataveerkracht werd jarenlang gezien als onderdeel van algemene cybersecurity. Er werd vanuit gegaan dat het allemaal wel op orde was. Back-up en herstel werden gezien als een soort airbag: iets wat je hebt voor het geval dat. Veel organisaties realiseren zich echter vaak pas bij een aanval of incident dat ze onvoldoende veerkrachtig zijn. En dan is te laat.

Een andere reden dat dataveerkracht niet altijd hoog op de prioriteitenlijst staat is de waargenomen veiligheid. Ondanks het strengere optreden van wetshandhavers tegen cyberbendes zoals BlackCat en LockBit, blijven aanvallen toenemen. Alleen al vorig jaar werd 69% van de organisaties getroffen door een cyberaanval. Van die groep voldeed maar liefst 74% niet aan best practices voor dataveerkracht. Dat zijn geen incidenten, dat is structureel.

Dataveerkracht moet verbeteren

Uit datzelfde Veeam-rapport blijkt ook dat 74% van de organisaties de volwassenheid mist die nodig is om snel te herstellen van een verstoring. Interessant is dat deze tekortkomingen zelf gerapporteerd zijn. Dus als organisaties zich bewust zijn van hun tekortkomingen als het gaat om dataveerkracht, waarom zijn ze dan nog niet aangepakt?

Soms is dit omdat organisaties het zich nu pas realiseren. Recente EU-wetgeving, zoals NIS2 en DORA, dwingt organisaties hun veerkracht kritisch te beoordelen. Veel organisaties doen dit voor het eerst, en dat brengt vaak voorheen onbekende hiaten aan het licht.

Een andere reden waarom organisaties vaak niet voldoen aan de nieuwe normen voor veerkracht, is de snelle adoptie van nieuwe technologieën en applicaties. De meeste organisaties hebben AI inmiddels geïmplementeerd in hun bedrijfsprocessen. AI genereert en verwerkt echter enorme hoeveelheden data, veel meer dan oudere applicaties. Dit heeft geleid tot dataprofielen die niet meer binnen de bestaande kaders voor dataveerkracht passen. Organisaties die veerkracht meten aan de hand van verouderde standaarden voor dataveerkracht missen dus potentiële risico’s.

Hoe pak je het verbeteren van dataveerkracht aan?

Dus, wat nu? In plaats van te wachten tot er een incident plaatsvindt, moeten organisaties proactief hiaten ontdekken en aanpakken. De eerste stap is om een duidelijk beeld te krijgen van het dataprofiel: wat hebben we, waar is dat opgeslagen en waarom hebben we dat wel of niet nodig? Door verouderde, overbodige of triviale data weg te filteren kunnen organisaties hun dataverspreiding verminderen, en dus meer grip krijgen op dataveerkracht.

Als je weet wat je hebt, moet je dat ook kunnen beschermen. Een belangrijk onderdeel hiervan zijn herstelprocessen. Hoe kan je je data zo snel mogelijk herstellen na afloop van een incident? Dit moet centraal staan in de beveiligingsstrategie.

Vervolgens is het essentieel om alle dataveerkrachtmaatregelen rigoureus te testen. Niet een eenmalige test om een vinkje te kunnen zetten, maar het continu testen van meerdere scenario’s. Ook wanneer teams onderbezet zijn of sleutelfiguren op vakantie zijn. Dataveerkrachtmaatregelen moeten hierbij tot het uiterste worden gedreven. Cybercriminelen stoppen namelijk niet zomaar wanneer systemen beginnen te kraken, en dus moeten tests dat ook niet. Het lijkt misschien overdreven, maar alleen zo kun je kwetsbaarheden ontdekken vóórdat een aanval plaatsvindt, en niet tijdens.

Dataveerkracht is elke cent waard

Het is een flinke klus maar dataveerkracht is elke cent waard. Volgens een rapport van Veeam hebben organisaties met een volwassen dataveerkrachtstrategie een 10% hogere jaarlijkse omzet dan organisaties die dit niet hebben. Dat wil niet zeggen dat dataveerkracht omzet op magische wijze helpt verhogen, maar het verbeteren van dataveerkracht-normen heeft onvermijdelijk een domino-effect op processen over de hele lijn.

Eén ding is zeker: cyberdreigingen worden steeds verfijnder en je hoeveelheid data groeit alleen maar. Vroeg of laat krijgt elke organisatie hiermee te maken. Dus zorg dat je er nu al werk van maakt – voordat een cyberaanval je organisatie in de problemen brengt.

Door: Dave Russell (foto), Senior Vice President, Head of Strategy bij Veeam