Waarom hebben we geen SLA's voor security?

IT-organisaties schieten tekort aan beveiliging in vergelijking met wat de business verwacht. Kunnen we die verwachtingen niet beter managen door afspraken te maken over wat reeël is? En zo ja, hoe zou zo'n SLA eruit kunnen zien?

Je hoort altijd over de vijf negens voor uptime als het gaat over Service Level Agreements (SLA's). Daarmee definieer je de beschikbaarheid die een netwerk moet hebben om te voldoen aan de gestelde eisen van de SLA. Zou zoiets ook mogelijk zijn voor beveiliging, definiëren wat de eisen zijn voor de security van een organisatie?

Leveranciers denken van niet. "Het zou erg moeilijk zijn om een specifieke set van meetbare niveaus vast te stellen over de IT-beveiliging", zegt Danny Allan, clouddirecteur bij Veeam. "Ik kan geen parameters bedenken die je zou kunnen gebruiken voor een dienstverleningscontract." Maar laten we eens kijken naar hoe zoiets wel zou werken. Hoe zou een security-SLA-definitie eruit moeten zien?

Kosten door downtime

Ten eerste: waar hebben we het precies over? Nou, veel bedrijven schijnen als ze goed kijken problemen te hebben met recovery na een security-incident, vooral als ze het vergelijken met de SLA-achtige verwachtingen van het bedrijf. In onderzoek van Veeam gaf zelfs 82 procent van de respondenten aan niet te kunnen voldoen aan de eisen van de bedrijfsafdelingen.

Als een netwerk neergaat vanwege beveiligingsissues, loopt dat behoorlijk in de kosten. De gemiddelde kosten van zo'n uitval voor bedrijven komen op zo'n twintig miljoen euro. Verder gaf twee derde van de respondenten aan dat digitale transformatie-projecten op een laag pitje komen te staan vanwege ongeplande downtime.

Problemen voor de IT

Jason Buffington, databeveiligingsanalist bij de Enterprise Strategy Group, zegt dat zelfs grote, internationale bedrijven worstelen met fundamentele back-up en recovery. Daardoor daalt niet alleen de productiviteit van personeel, maar het benadeelt ook strategische initiatieven om IT-dienstverlening te transformeren.

"Als je kijkt naar de gaten van wat geboden kan worden qua Beschikbaarheid en Beveiliging zie je dat IT niet voldoet aan de wensen van de business. Dat zou een grote zorg moeten zijn van IT-managers en andere mensen die zich moeten verantwoorden tegenover een bestuur."

Utopie

Volgens het rapport heeft verder zes van de zeven organisaties er geen vertrouwen in dat de virtuele omgevingen voldoende zijn beveiligd of te herstellen zijn. Meer dan 70 procent is niet in staat data frequent genoeg te beveiligen om aan de bedrijfsverwachtingen van dataverlies te kunnen voldoen.

Het idee van altijd en overal bereikbaar is volgens Veaam Software-directeur Peter McKay daarom voor veel organisaties slechts een utopie. "We moeten dus anders denken over digitale transformatie en aannames over onze bestaande infrastructuren veranderen. Bedrijven worden geconfronteerd met een grote crisis als concurrenten wel de verwachte uptime kunnen bieden."

Op de volgende pagina: Ideeën voor parameters van een security-SLA.

Related:
1 2 Page 1
Page 1 of 2
7 inconvenient truths about the hybrid work trend
Shop Tech Products at Amazon