Terwijl bedrijven massaal investeren in noodstroomaggregaten, zien ze een andere potentiële black-out-oorzaak over het hoofd: hun eigen data die onvindbaar wordt. Bedrijven moeten zich op alle scenario’s voorbereiden.
Ik heb op dit moment twee telefoons. Ik ben namelijk recentelijk overgestapt van smartphone. Met een app op de telefoons ging dat vrij eenvoudig: alle apps worden automatisch overgezet van het oude naar het nieuwe apparaat. Zo ook de Authenticator-app die ik gebruik. Maar, zoals vermoedelijk bedoeld, werd die app leeg overgezet. Mijn sleutels staan dus nog allemaal op het oude toestel. En overzetten blijkt een intensiever proces dan gedacht. Had ik mijn oude toestel na de migratie direct teruggezet naar fabrieksinstellingen, dan had ik een vervelende dag voor de boeg gehad. Nu kon ik terugvallen op een “back-up” en zonder al te grote verstoringen doorwerken.
Het is een eenvoudig voorbeeld van hoe een informatie- of data-black-out veroorzaakt kan worden. Op bedrijfsniveau kan dit net zo goed voorkomen, bijvoorbeeld bij een op het oog eenvoudige migratie naar nieuwe software. De data komt niet mee of de nieuwe software kan niet overweg met het format waarin het is opgeslagen. Technisch gezien werken de software en de voorzieningen nog, maar niemand kan er iets in vinden. In het ergste geval komen bedrijfsprocessen daardoor volledig stil te liggen. Een black-out, maar zonder stroomstoring.
Om dit soort scenario's te voorkomen, is het raadzaam dat bedrijven en hun werknemers steeds refereren aan drie begrippen die in de informatiebeveiliging gemeengoed zijn. Vertrouwelijkheid, integriteit en beschikbaarheid. Vertrouwelijkheid gaat over of je data beschermt tegen ongeautoriseerde toegang. Integriteit richt zich op vragen als: is je data accuraat en compleet? Beschikbaarheid kijkt naar de aspecten als: is het toegankelijk voor geautoriseerde gebruikers wanneer zij dat nodig hebben? Maar ook meer basaal: is de data er überhaupt wel? Door alles wat je doet aan deze drie begrippen te spiegelen, breng je eventuele risico’s op dataverlies of beschikbaarheid in kaart en kun je ze vaak voorkomen.
Aan de andere kant van het spectrum zit het risico van data-overvloed. Dit treedt op als er zoveel data verzameld wordt, dat het in feite onbruikbaar wordt. Het Google-syndroom: er is zoveel informatie te vinden op Google, dat de juiste informatie soms onvindbaar wordt. Niemand gaat bij wijze van spreken vijftig tot honderd pagina's diep om een specifieke bron te vinden.
Gebeurt zoiets binnen een bedrijf, dan kost dat geld. Medewerkers verspillen uren aan het zoeken naar informatie die er wel is, maar niet te vinden is. Projecten lopen vertraging op omdat cruciale gegevens onvindbaar zijn. Het is dus zaak om betekenis aan data te geven. Het moet geclassificeerd en gelabeld worden. En gelukkig is AI er om je te helpen zoeken of de data te labelen.
Om data beschikbaar, integer en vertrouwelijk te houden, moet ook worden nagedacht over hoe data wordt opgeslagen en bewaard. Een concreet voorbeeld: bedrijven zijn wettelijk verplicht hun administratie zeven tot tien jaar te bewaren. Een klein bedrijf zet dat op een back-upapparaat, maar de levensduur daarvan haalt die periode niet. Bij aanschaf van nieuwe apparatuur blijkt dat de oude back-up niet compatibel is met de nieuwe technologie. Technisch voldoe je aan de wet, je hebt het schijfje nog, maar praktisch kun je er niets meer mee. Backwards compatibility is dus cruciaal: zorg dat je oude data ook in de toekomst nog kunt benaderen.
Opslag in de cloud kan een uitkomst bieden, maar brengt eigen risico's met zich mee. Wanneer een cloud-leverancier uitvalt of een microservice onbeschikbaar wordt, kunnen cruciale delen van je data onbereikbaar worden. Je hebt dan zelf geen black-out, maar je ketenpartner wel. Met als gevolg dat jouw dienstverlening alsnog stilvalt.
Bedrijven die deze risico's negeren, ontdekken het probleem pas wanneer het te laat is. Tijdens een audit, een overname of wanneer een belangrijke klant naar historische gegevens vraagt. Dan blijkt dat je technisch alles hebt bewaard, maar praktisch niets kunt vinden. Daarom moeten bedrijven nu hun datarisico's in kaart brengen en herstelplannen testen. Voordat een data-black-out je bedrijf stilzet.