Beschikbaarheid is geen product maar een keuze!

Iedere organisatie vraagt om de beschikbaarheid van “de ICT-infrastructuur”, maar waar vraagt de organisatie dan om?

Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening voor een dienst op de afgesproken momenten. Maar beschikbaarheid van de ICT-infrastructuur gaat veel verder. Dan praten we over integriteit en vertrouwelijkheid. Daarnaast is beschikbaarheid ook locatie- en tijdsgebonden. Waar beschikbaar? Op het werk? Op een nevenlocatie? Onderweg? Waar ook te wereld? Wanneer beschikbaar? Van acht tot vijf? Van acht tot elf? Vierentwintig uur per dag? Kortom, genoeg om over na te denken.

Informatiebeveiliging is ICT beschikbaarheid, integriteit en vertrouwelijkheid
Informatiebeveiliging is het geheel aan preventieve, detectieve, repressieve en correctieve maatregelen. Daarnaast ook de procedures en processen die de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie binnen een organisatie garanderen. Het doel is de continuïteit van de informatie en de informatievoorziening te waarborgen en de gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. Dit betekent dat er goed nagedacht moet worden over wat de business nodig heeft.

Hoe verhoogt u beschikbaarheid, integriteit en vertrouwelijkheid?
U doet dit door het nemen van de noodzakelijke organisatorische, procedurele en technische maatregelen, gebaseerd op een (organisatie afhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de WBP (Wet Bescherming Persoonsgegevens), de Telecommunicatiewet en andere geldende wet- en regelgeving. Zo zijn er voor alle financiële dienstverleners eisen van de AFM (Autoriteit Financiële Markten). Voor beursgenoteerde ondernemingen in de Verenigde Staten is er de Sarbanes-Oxley wetgeving die strenge eisen stelt aan informatiebeschikbaarheid.

Risicoanalyse
Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt een BIV-klasse (beschikbaarheid, integriteit en vertrouwelijkheid) bepaald. Vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term die wordt gehanteerd is de CIA Triad: confidentiality, integrity en availability.

Beschikbaarheid
Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten. Dit is de bedrijfsduur, waarbij rekening wordt gehouden met uitvaltijden, storingen en incidenten. Deze beschikbaarheid wordt ook aangeduid als Business Continuity Management (BCM).

Business Continuity Management (BCM)
BCM is het proces dat potentiële bedreigingen voor een organisatie identificeert en bepaalt wat de impact op de “operatie” van de organisatie is als deze bedreigingen daadwerkelijk plaatsvinden. BCM biedt een kader om tegen deze bedreigingen weerstand te bieden. Onder andere door in staat te zijn effectief te reageren. BCM betreft de hele organisatie. De prestatie van een organisatie is de som van alle bedrijfsprocessen. Alle activiteiten van het BCM proces gaan dan ook over alle bedrijfsprocessen heen. De activiteiten die gericht zijn op het garanderen van continuïteit, vinden organisatie breed plaats. Als er binnen de organisatie versnipperd activiteiten op het gebied van BCM aanwezig zijn, is de waarde hiervan slechts relatief. Een oorzaak van de fragmentatie van activiteiten komt vaak door een gebrek aan coördinatie en het niet afstemmen van de activiteiten op ‘de business’. Zolang dit het geval is wordt aan het doel van die activiteiten voorbijgegaan en gaat het beoogde effect daarvan volledig teniet.

Integriteit
Integriteit is het kwaliteitsbegrip dat de juistheid, volledigheid, tijdigheid en geautoriseerdheid van de transacties omvat.

Vertrouwelijkheid
Vertrouwelijkheid is de aanduiding voor privacybescherming, maar ook de exclusiviteit van informatie. Het waarborgt dat alleen daartoe bevoegden toegang krijgen tot informatie en dat deze niet kan uitlekken.

Informatiebeveiliging
Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in de top van een organisatie en is deels gebaseerd op het creëren van draagvlak bij gebruikers. Een bewustwordingsprogramma moet de invoering van de beveiligingsmaatregelen ondersteunen. Het realiseren van het overeengekomen niveau van beveiliging is een taak die meestal wordt toebedeeld aan een informatiebeveiliger, iemand die zich beroepshalve met het vakgebied bezighoudt. Toezicht vindt plaats vanuit de IT-audit discipline en vanwege diverse wettelijke toezichthouders. Met het uitvoeren van IT en privacy audits wordt vastgesteld of het overeengekomen niveau van beveiliging is behaald. Een organisatie kan worden gecertificeerd op basis van de Code voor Informatiebeveiliging, de Nederlandse versie van de BS 7799-2, en de internationale standaard ISO 27001.

Informatiebeveiliging wordt vaak ten onrechte als ICT-verantwoordelijkheid beschouwd. Dit leidt tot het treffen van ICT-maatregelen. Echter, deze vloeien voort uit risicoanalyses van de bedrijfsprocessen en kwetsbaarheidsanalyses van de geautomatiseerde ondersteuning van die processen. De ICT maatregelen zijn het meest zichtbaar en voelbaar. De tegenhanger bij de bedrijfsprocessen is te vinden in de administratieve organisatie (functiescheiding) en fysieke toegangscontrole (bewaking).

Beschikbaarheidsfactoren
De beschikbaarheid van een dienst wordt beïnvloed door verschillende factoren. De belangrijkste is uitval van de dienst. We onderscheiden twee verschillende soorten uitval; “geplande niet-be-schikbaarheid” en “ongeplande niet-beschikbaarheid”. Bij het bepalen van de beschikbaarheid wordt de geplande niet-beschikbaarheid niet meegenomen. Gepland onderhoud heeft geen negatieve invloed op de beschikbaarheid die wordt gerapporteerd. Tenzij de planning wordt overschreden.

Een andere factor is bijvoorbeeld de niet-bereikbaarheid door uitval van een tussenliggende laag zoals het internet. Beschikbaarheid van een dienst is afhankelijk van de beschikbaarheid van elk van de samenstellende delen. Hoge beschikbaarheid wordt uitgedrukt in het aantal negens:

  • 2 negens: 99% dienst is 3,65 dagen per jaar niet beschikbaar
  • 4 negens: 99,99% dienst is 52 minuten per jaar niet beschikbaar
  • 6 negens: 99,9999% dienst is 31 seconden per jaar niet beschikbaar

Wanneer verschillende componenten in een informatiesysteem worden gebruikt, bepaalt men de beschikbaarheid door de beschikbaarheidsfactoren met elkaar te vermenigvuldigen. Combinatie van de twee componenten met een beschikbaarheid van 2 en 4 negens betekent een totale niet-beschikbaarheid voor het hele systeem van 3,69 dagen per jaar.

Hoe starten?
ICT Spirit kan uw ICT-beschikbaarheid in beeld brengen door samen met u een IT beschikbaarheidsplan te maken.

Auteur: Eric Ruumpol (e.ruumpol@ictspirit.nl)
Eric Ruumpol is als senior accountmanager professioneel gesprekspartner voor directie en management. Zijn specialisatie ligt in de zorg en zorg gerelateerde organisaties.