.png)
Als besluitvormer in de uiterst digitale wereld van vandaag bent u zich maar al te bewust van het belang van cyberbeveiliging. Een belangrijk aspect van elk informatiebeveiligingsprogramma is de voorbereiding op ongunstige gebeurtenissen met een goede continuïteitsplanning en back-ups. Dit is een onderwerp dat wordt vereist in de NIS2-richtlijn van de EU en dat uitgebreid wordt behandeld in de ISO 27001-norm.
We zijn er om u te begeleiden en om dit beveiligingsonderwerp te demystificeren. Dit artikel biedt een leidraad bij het maken van uw NIS2 vereiste procedures voor bedrijfscontinuïteit en back-ups door gebruik te maken van de beproefde best practices van ISO 27001.
Continuïteitsplanning is het proces van het ontwikkelen van preventie- en herstelsystemen om ervoor te zorgen dat belangrijke bedrijfsactiviteiten ononderbroken blijven of snel worden hervat na ongunstige gebeurtenissen. Een efficiënt plan helpt de impact van mogelijke scenario's zoals stroomuitval, cyberaanvallen of natuurrampen te minimaliseren.
In informatiebeveiliging verwijst continuïteit ook naar het handhaven van informatiebeveiliging op een geschikt niveau tijdens onderbrekingen of andere ongunstige gebeurtenissen.
Back-ups verwijzen in het kader van bedrijfscontinuïteit naar het proces waarbij kopieën van je gegevens, systemen en software worden gemaakt en veilig worden opgeslagen op een andere locatie dan de primaire bedrijfslocatie. Het doel is om ervoor te zorgen dat, in het geval van catastrofale gebeurtenissen, datalekken, operationele storingen of systeemstoringen, je bedrijf in staat is om de systemen snel weer online te brengen, waardoor de uitvaltijd en de potentiële verliezen die gepaard gaan met dergelijke incidenten aanzienlijk worden beperkt.
In NIS2 zijn continuïteitsplanning en back-ups gegroepeerd in hetzelfde onderdeel. Dit is logisch omdat beide benaderingen een vergelijkbaar doel hebben: efficiënt herstel na ongunstige gebeurtenissen. In veel andere beveiligingsframeworks worden ze echter als aparte onderwerpen gezien, omdat back-ups een zeer gegevens- en technologiegerichte kijk op continuïteit hebben. Inzicht in het verband tussen deze twee is belangrijk, ongeacht hoe afzonderlijk je ze implementeert in je eigen activiteiten.
Bedrijfscontinuïteitsplanning in informatiebeveiliging gaat niet alleen over het hebben van een back-up plan in het geval van een systeemsmelting of cyberaanval. Het gaat om proactief ervoor zorgen dat je processen en systemen veerkrachtig zijn en snel kunnen herstellen van elke vorm van verstoring.
De continuïteit van uw activiteiten is afhankelijk van de beschikbaarheid van veel verschillende zaken: mensen, technologie, partners, fysieke locaties, gegevens...
Continuïteitsplanning begint met het begrijpen van de continuïteitsvereisten voor verschillende onderdelen van je gegevensverwerkingsomgeving. Kun je 2 uur zonder datasysteem? Voor sommigen kan dat zeker, voor anderen kan het zeer schadelijk zijn.
Voordat je begint met het maken van continuïteitsplannen moet je prioriteiten stellen voor de belangrijkste onderdelen van je bedrijfsmiddelen en andere gegevensverwerkende omgevingen om er zeker van te zijn dat je de juiste dingen plant.
Je zou continuïteitsplannen moeten maken, bijvoorbeeld voor dit soort ongewenste gebeurtenissen (die je continuïteit in gevaar kunnen brengen):
Continuïteitsplannen zijn het concrete niveau van continuïteitsplanning. Je continuïteitsplannen moeten het volgende omvatten:
U bouwt aan een cruciaal onderdeel van de veerkracht van uw bedrijf. Als u deze elementen integreert, zorgt u ervoor dat uw bedrijf goed kan navigeren en snel kan herstellen van een verstoring.
In de digitale wereld van informatietechnologie staan back-ups gelijk aan vangnetten. Het zijn kopieën van je waardevolle en gevoelige gegevens die veilig zijn opgeslagen op verschillende locaties en die een waterdichte manier bieden om die gegevens te herstellen als ze verloren gaan of beschadigd raken. Back-ups zijn absoluut essentieel voor elk bedrijfscontinuïteitsplan, omdat ze ervoor zorgen dat de uitvaltijd van je bedrijf bij ongunstige gebeurtenissen tot een minimum wordt beperkt en dat de activiteiten snel kunnen worden hervat zonder dat er veel informatie verloren gaat.
Om ervoor te zorgen dat je back-upprocessen proportioneel zijn, zijn er een aantal cruciale aspecten waar je aan moet denken. Zorg ervoor dat je de volgende vragen kunt beantwoorden:
Hier zijn enkele problemen die je kunt vermijden met betrekking tot continuïteitsplanning en back-ups.
Gebrek aan betrokkenheid en steun van het management: Je moet je best doen om het bewustzijn over de voordelen van continuïteitsplanning te vergroten en samenwerking aan te moedigen - zodat belangrijke ongewenste gebeurtenissen vanuit alle gezichtspunten kunnen worden geïdentificeerd.
Beperkte middelen (tijd, budget, personeel) en teamwerk: Als je begrijpt welke catastrofes continuïteitsplanning probeert te beheersen, begin je de relevantie ervan in te zien. Beslis afzonderlijk over voldoende middelen en de mensen die nodig zijn voor het werk - met steun van het topmanagement.
Gevoel van complexiteit in IT-infrastructuur: Een complexe omgeving kan het gevoel geven dat het moeilijk is om bovenop je back-upprocessen te komen. Maar als u stap voor stap te werk gaat - eerst het documenteren van back-upprocessen, dan het categoriseren van back-upverantwoordelijkheden voor datasystemen - maakt u gestage vorderingen en al snel zal het onderwerp niet meer zo complex lijken.
Het onvoldoende testen en onderhouden van continuïteitsplannen: Een plan is niet krachtig genoeg als het voor de eerste keer in een echte situatie wordt geïmplementeerd. Alle beveiligingsraamwerken vermelden het regelmatig oefenen van continuïteitsplannen en back-upherstel, zodat de implementatie in een stressvolle praktijksituatie succesvol kan zijn.
ISO 27001 adresseert continuïteit in verschillende controles, die betrekking hebben op aspecten zoals de beveiliging van informatie tijdens verstorende gebeurtenissen, de gereedheid van de ICT van de organisatie voor continuïteit en redundantie van informatieverwerkingsfaciliteiten.
Er is ook een andere ISO-norm, ISO 22301, die exclusief gewijd is aan het beheer van bedrijfscontinuïteit. Deze norm ondersteunt het plannen van, reageren op en herstellen van verstorende incidenten door een meer overkoepelend raamwerk te bieden voor continuïteitsplanning. Als je dit als een kernaspect van je informatiebeveiligingsprogramma beschouwt, is het verstandig om ook met deze norm bekend te raken.
Deze controle benadrukt de noodzaak voor het maken van continuïteitsplannen om ervoor te zorgen dat de informatiebeveiliging op een passend niveau blijft, zelfs tijdens verstoringen, met als doel informatie en gerelateerde middelen veilig te stellen in moeilijke omstandigheden.
Deze continuïteitsplannen moeten duidelijke eigenaars hebben en ze moeten worden getest en regelmatig worden herzien om de informatiebeveiliging in kritieke bedrijfsprocessen in stand te houden of te herstellen na een onderbreking.
Deze controle zorgt ervoor dat de ICT paraatheid van de organisatie hoog genoeg is om de bedrijfscontinuïteitsdoelstellingen en ICT continuïteitsvereisten te kunnen halen. In principe betekent dit dat bijvoorbeeld datasystemen die nodig zijn voor kritieke operaties hersteld moeten kunnen worden in hetzelfde tijdsbestek als vereist is voor het hoofdproces.
De organisatie moet bepalen welke hersteltijden en herstelpunten verschillende ICT-diensten moeten kunnen halen, rekening houdend met de gedefinieerde hersteldoelen voor gerelateerde processen, en ervoor zorgen dat ze deze kunnen halen. In verband met de vorige controle moeten continuïteitsplannen voor ICT-diensten worden opgesteld, goedgekeurd en regelmatig getest.
Organisaties moeten hun gebruik van ICT en andere belangrijke middelen in de gaten houden. Dit helpt hen ervoor te zorgen dat ze voldoende informatieverwerkingsfaciliteiten, personeel, kantoren en andere faciliteiten hebben, rekening houdend met het bedrijfskritische karakter van de relevante systemen en processen. Het is gunstig om vroegtijdige detectie- en waarschuwingssystemen te hebben, zodat problemen kunnen worden opgemerkt en prognoses voor toekomstige capaciteit kunnen worden afgestemd op bijvoorbeeld bedrijfsgroei en technologische trends.
Deze controle benadrukt de behoefte aan reservesystemen en belangrijke gegevensverwerkende middelen om aan de beschikbaarheidsbehoeften te voldoen en de activiteiten draaiende te houden. De organisatie moet procedures plannen en opstellen voor het gebruik van redundante onderdelen en faciliteiten. De procedures moeten bepalen of de redundante onderdelen altijd actief zijn of automatisch of handmatig worden geactiveerd in noodgevallen. Het is belangrijk dat redundante onderdelen en faciliteiten hetzelfde beveiligingsniveau hebben als de primaire onderdelen.
ISO 27001 behandelt back-ups voornamelijk in één controle 8.13. Deze controle vereist regelmatig onderhouden en geteste back-ups, maar geeft ook veel belangrijke tips in de implementatierichtlijnen, bijvoorbeeld met betrekking tot het begrijpen van de bedrijfsvereisten voor back-ups, opslaglocaties voor back-ups, passende bescherming voor back-ups en encryptie.
De organisatie moet ervoor zorgen dat reservekopieën van informatie, software en systemen regelmatig worden onderhouden en getest, in overeenstemming met het vastgestelde beleid voor reservekopieën. Deze praktijk is belangrijk voor het herstellen van gegevens of systemen in geval van verlies.
Je moet je huidige back-upprocessen in kaart brengen en ervoor zorgen dat je evenredige antwoorden hebt op de belangrijkste vragen: Van welke gegevens wordt een back-up gemaakt? Waar worden de back-ups opgeslagen? Hoe vaak worden de back-ups gemaakt? Hoe lang moeten de back-ups worden bewaard? Wie is verantwoordelijk?
Als je eenmaal tevreden bent met de beschrijvingen van je back-upproces, is het moeilijke gedeelte voorbij. Dan hoef je er alleen nog maar voor te zorgen dat de back-ups werken, hun volledigheid te controleren en het herstel regelmatig te testen.
Deze controle heeft meer betrekking op veilige configuratie in het algemeen, maar het vaststellen en afdwingen van duidelijke regels voor encryptie en sleutelbeheer met betrekking tot back-ups is een belangrijk onderdeel van een sterke back-upstrategie.
Bij het gebruik van cloudservices moet de organisatie zorgen voor een duidelijke verdeling van de beveiligingsverantwoordelijkheden. Het maken van back-ups is vaak de verantwoordelijkheid van de serviceprovider, maar zaken als het gekozen plan en hostingtype kunnen van invloed zijn op de details van de back-up. Zorg ervoor dat u goed op de hoogte bent van de volledigheid van de back-ups die voor belangrijke systemen worden geleverd.
Om te voldoen aan NIS2 met betrekking tot bedrijfscontinuïteit en back-ups, moet u proportionele, duidelijk gedocumenteerde en geïmplementeerde maatregelen hebben voor deze beveiligingsonderwerpen. Door uw acties af te stemmen op de beproefde best practices van ISO 27001, kunt u er zeker van zijn dat u het onderwerp op de juiste manier hebt geïmplementeerd en uw algehele veerkracht en paraatheid tijdens het proces verbetert.
Vergeet niet dat continuïteitsplanning niet alleen gaat over het afvinken van een lijstje. Het gaat om het creëren van een robuuste structuur die bestand is tegen ongunstige gebeurtenissen en een soepele werking garandeert. Er kunnen dingen misgaan; het belangrijkste is om een goed doordachte strategie te hebben om te herstellen en door te gaan. En hoewel back-uptechnieken er zijn in verschillende complexiteiten, zou de primaire overweging een betrouwbaar en veilig systeem moeten zijn dat ervoor zorgt dat uw belangrijke gegevens toegankelijk blijven, zelfs in kritieke tijden.
In essentie zijn continuïteitsplanning en back-ups dus maatregelen voor het voorkomen en beheersen van de meest verschrikkelijke rampen met betrekking tot je activiteiten! Vanuit dit oogpunt zou je kunnen stellen dat ze een van de belangrijkste onderdelen zijn van elk veerkrachtig informatiebeveiligingsprogramma.
