4 december 2007

Het is al een wat ouder bericht, maar desalniettemin is het nog steeds actueel in deze tijd van toenemende aandacht voor beveiliging. Zo blijkt nu dat de meeste scenario's die bedrijven klaar hebben liggen om rampen het hoofd te bieden, niet zozeer adequaat een calamiteit te lijf gaan, maar eerder op een fiasco zullen uitlopen. De reden daarvoor is de gebrekkige wijze waarop calamiteitenplannen worden getoetst. 'Disaster recovery simply doesn’t work', zegt Gil Hecht, Chief Executive Officer van het New Yorkse bedrijf Continuity Software Inc., die claimt dat op zijn minst 60 % van alle testen van calamiteitenplannen mislukken. Het feit dat de procedures voor gegevensherstel na storingen of rampen slecht worden getest veroorzaakt waarschijnlijk een enorme chaos als er echt eens een calamiteit is. Symantec, leverancier van beveiligingssoftware, kan dat op basis van een wereldwijd onderzoek onder ICT-managers beamen.

88 procent van de respondenten uit dat onderzoek heeft voor tenminste één gevaar onderzocht wat de kans op een noodsituatie is en wat de gevolgen daarvan zouden kunnen zijn. 4 op 10 ICT-managers deed dat voor alle mogelijke gevaren. Symantec is niet verbaast dat 48 procent aangaf dat de test mislukte. Sean Derrington, directeur Storage Management bij Symantec in Cupertino, Californie, zegt dat uit het onderzoek blijkt dat in 50 % van de gevallen de testen faalden. 'The reason? Primarily, it’s you or your staff', zegt Hecht. 'IT people make changes all day long to operational systems. While they do test the changes in their production environments, it’s almost certain they don’t test them from a DR perspective even if they make the updates to the DR systems themselves'. Waarom dan niet de calamiteitenkant van het verhaal getest ? Hecht antwoordt met een analogie. 'The only way you can test an airbag in your car is if you hit a tree'. In andere woorden: 'You can’t test your DR systems without a major disruption to your daily production environment'. Uiteraard heeft Hecht een oplossing daarvoor: 'a software tool that detects whether your DR system is out of sync with your day-to-day operating environment'. De gevolgen van een uitval van informatiesystemen kunnen zwaar zijn, zo weten de respondenten. Zo worden reputatieschade, afname van de klantenloyaliteit en een verzwakte concurrentiepositie genoemd. De helft van de ICT-managers blijkt de calamiteitenplannen al eens te hebben moeten gebruiken. Zelfs als de tests wel de gewenste resultaten opleveren, blijkt dat plannen niet volledig worden getest en dat niet wordt onderzocht hoe groot de kans op een noodsituatie is en wat de effecten ervan zijn. 'Het omgaan met eventuele noodsituaties zou wel eens het verschil kunnen betekenen tussen blijven bestaan en failliet gaan', zo zegt Carla Arend van analistenkantoor IDC. 'Maar uit dit onderzoek blijkt dat wereldwijd veel bedrijven dit probleem nog niet serieus genoeg nemen'. Voor het onderzoek werden 1088 ICT-managers ondervraagd, waaronder 105 in de Benelux. Schokkende resultaten, wetende hoeveel nadruk er al jarenlang op beveiliging is gelegd. Het benadrukt maar weer eens dat alle nadruk niet altijd leidt tot werkelijke verbeteringen in de praktijk.