Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Beschikbaarheid

Concepten

De zekerheid dat gebruikers in een digitaal systeem of bij informatie kunnen of gebruik kunnen maken van digitale diensten of processen wanneer zij dat willen of zouden moeten kunnen. Gepland onderhoud telt niet mee.

Beschikbaarheid is een van de drie pijlers van informatiebeveiliging, samen met vertrouwelijkheid en integriteit. Het principe van beschikbaarheid houdt in dat informatie, systemen en diensten toegankelijk zijn voor geautoriseerde gebruikers op het moment dat ze deze nodig hebben. In het Nederlands wordt vaak gesproken over de BIV-classificatie: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Internationaal staat dit bekend als de CIA-triad: Confidentiality, Integrity en Availability. Een inbreuk op beschikbaarheid betekent dat systemen of data onbereikbaar zijn, met potentieel ernstige gevolgen voor de bedrijfsvoering.

Waarom is beschikbaarheid belangrijk?

Beschikbaarheid is vaak het aspect van informatiebeveiliging dat het meest direct voelbaar is wanneer het faalt. Als een webshop offline gaat, lopen inkomsten direct mis. Als een ziekenhuis geen toegang heeft tot patientendossiers, kan dat gevolgen hebben voor de patientveiligheid. Als een productiebedrijf zijn controlesystemen kwijtraakt, staan de productielijnen stil. De financiele schade van downtime kan oplopen van duizenden tot miljoenen euro's per uur, afhankelijk van het type organisatie.

In een steeds meer gedigitaliseerde wereld neemt de afhankelijkheid van IT-systemen continu toe. Organisaties die hun processen volledig hebben gedigitaliseerd, zijn bij een beschikbaarheidsprobleem vaak volledig lamgelegd. Er is geen papieren back-up meer om op terug te vallen. Dit maakt beschikbaarheid niet alleen een technisch vraagstuk, maar een strategisch bedrijfsrisico dat aandacht verdient van het bestuur.

De toename van Denial of Service aanvallen (DDoS) onderstreept de dreiging voor beschikbaarheid. Deze aanvallen zijn specifiek gericht op het onbereikbaar maken van diensten door systemen te overspoelen met verkeer. Ze zijn relatief eenvoudig uit te voeren en kunnen zelfs grote organisaties met goed beveiligde infrastructuur treffen.

Dreigingen voor beschikbaarheid

DDoS-aanvallen zijn de meest bekende dreiging voor beschikbaarheid. Bij zo'n aanval wordt een systeem of netwerk overspoeld met verkeer uit talloze bronnen tegelijkertijd, waardoor het niet meer kan reageren op legitieme verzoeken. Moderne DDoS-aanvallen kunnen volumes bereiken van honderden gigabits per seconde en zijn zonder specialistische bescherming niet te weerstaan.

Ransomware vormt een groeiende bedreiging voor beschikbaarheid. Bij een gijzelsoftware-aanval worden bestanden en systemen versleuteld, waardoor ze onbruikbaar worden totdat losgeld is betaald of de systemen vanuit back-ups zijn hersteld. De impact op beschikbaarheid kan dagen tot weken duren, afhankelijk van de omvang van de aanval en de kwaliteit van het herstelproces.

Hardwarestoringen en natuurrampen kunnen eveneens leiden tot beschikbaarheidsproblemen. Een defecte harde schijf, een stroomstoring of een overstroming van een datacenter kan systemen onbereikbaar maken. Hoewel deze risico's minder spectaculair zijn dan cyberaanvallen, komen ze vaker voor en moeten ze worden meegenomen in het beschikbaarheidsbeleid.

Menselijke fouten zijn een onderschatte oorzaak van beschikbaarheidsproblemen. Een verkeerde configuratie, een foutief uitgevoerde update of het per ongeluk verwijderen van kritieke data kan leiden tot langdurige uitval. Training en procedures helpen om deze risico's te beperken, maar menselijke fouten zijn nooit volledig uit te sluiten.

Beschikbaarheidsniveaus en SLA's

Beschikbaarheid wordt vaak uitgedrukt in percentages die aangeven hoeveel procent van de tijd een systeem operationeel is. De bekende "nines" classificatie geeft het niveau aan: 99% beschikbaarheid staat ruim 3,5 dag downtime per jaar toe, 99,9% staat 8,7 uur toe, 99,99% staat 52,5 minuten toe en 99,999% (vijf nines) staat slechts 5,25 minuten downtime per jaar toe.

Service Level Agreements (SLA's) leggen de afgesproken beschikbaarheidsniveaus contractueel vast. Bij het afsluiten van SLA's met leveranciers of cloudproviders is het belangrijk om niet alleen te kijken naar het beschikbaarheidspercentage, maar ook naar de definitie van downtime, de meetmethode, de compensatieregelingen bij niet-naleving en de ondersteuningsuren die worden geboden.

Een Business Impact Analysis (BIA) helpt bij het bepalen van de juiste beschikbaarheidsniveaus per systeem. Niet elk systeem vereist vijf nines. Door de impact van uitval per systeem te analyseren, kun je gedifferentieerde beschikbaarheidseisen stellen en je investeringen richten op de systemen waar hoge beschikbaarheid het meest kritiek is.

Maatregelen voor beschikbaarheid

Redundantie is de basis van beschikbaarheidsmaatregelen. Door kritieke componenten dubbel uit te voeren, blijft een systeem operationeel als een component uitvalt. Dit geldt voor servers, netwerkapparatuur, stroomvoorziening, opslagmedia en internetverbindingen. De mate van redundantie moet in verhouding staan tot de beschikbaarheidseisen en het beschikbare budget.

Back-ups zijn essentieel voor het herstellen van beschikbaarheid na een incident. Een effectieve back-upstrategie volgt het 3-2-1 principe: drie kopieen van je data, op twee verschillende media, waarvan een op een externe locatie. Test regelmatig of back-ups daadwerkelijk kunnen worden teruggezet. Een back-up die niet kan worden hersteld is waardeloos op het moment dat je hem nodig hebt.

Disaster recovery planning bereidt je organisatie voor op grootschalige incidenten. Een disaster recovery plan beschrijft de procedures om kritieke systemen en data te herstellen na een calamiteit. De Recovery Time Objective (RTO) bepaalt hoe snel systemen moeten worden hersteld, terwijl de Recovery Point Objective (RPO) bepaalt hoeveel dataverlies acceptabel is. Beide waarden moeten worden afgestemd op de resultaten van de BIA.

DDoS-scrubbing diensten filteren kwaadaardig verkeer voordat het je netwerk bereikt. Deze diensten analyseren inkomend verkeer en scheiden legitieme verzoeken van aanvalsverkeer. Voor organisaties die afhankelijk zijn van online dienstverlening is DDoS-bescherming een basisvereiste om de beschikbaarheid te waarborgen.

Monitoring en incidentrespons

Continue monitoring is onmisbaar voor het waarborgen van beschikbaarheid. Monitoringtools bewaken de status van systemen, netwerken en applicaties en waarschuwen bij afwijkingen of storingen. Moderne monitoringoplossingen kunnen ook predictieve analyses uitvoeren die potentiele problemen signaleren voordat ze leiden tot uitval.

Een goed ingericht incidentresponsproces zorgt ervoor dat beschikbaarheidsproblemen snel worden opgepakt en opgelost. Definieer escalatieprocedures, verantwoordelijkheden en communicatieprotocollen zodat bij een incident direct duidelijk is wie wat doet. Oefen regelmatig met het herstelproces zodat het team voorbereid is wanneer een echt incident zich voordoet.

Veelgestelde vragen over beschikbaarheid

Wat is het verschil tussen beschikbaarheid en uptime?

Uptime meet de tijd dat een systeem technisch operationeel is. Beschikbaarheid gaat verder en meet of het systeem daadwerkelijk bruikbaar is voor geautoriseerde gebruikers. Een systeem kan technisch draaien maar toch niet beschikbaar zijn als het netwerk onbereikbaar is of als de responstijden onacceptabel hoog zijn.

Hoe meet je beschikbaarheid?

Beschikbaarheid wordt berekend als het percentage van de afgesproken servicetijd waarin het systeem operationeel en bereikbaar is. Gebruik monitoringtools die automatisch de beschikbaarheid registreren en rapporteren, zodat je objectieve data hebt voor SLA-evaluaties en verbeterinitiatieven.

Wat is het verband tussen beschikbaarheid en de BIV-classificatie?

De BIV-classificatie beoordeelt informatie en systemen op drie assen: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Per systeem of dataset kun je op elke as een classificatie toekennen (laag, midden, hoog) om de beveiligingsmaatregelen af te stemmen op het risicoprofiel.

Is 100% beschikbaarheid haalbaar?

In de praktijk is 100% beschikbaarheid niet haalbaar. Zelfs de meest geavanceerde systemen kennen momenten van gepland onderhoud of onvoorziene storingen. Het streven naar vijf nines (99,999%) wordt doorgaans beschouwd als het hoogst haalbare niveau voor kritieke systemen.

Wat kost downtime gemiddeld?

De kosten van downtime variieren enorm per branche en organisatie. Voor een grote webshop kan een uur downtime al tienduizenden euro's kosten aan gemiste omzet. Voor een productiebedrijf kan het stilliggen van een productielijn nog veel duurder uitvallen wanneer je contractuele verplichtingen en reputatieschade meeneemt.

Beschikbaarheid waarborgen

Het waarborgen van beschikbaarheid vereist een combinatie van technische maatregelen, processen en expertise. Via het platform vind je managed security service providers die je helpen met monitoring, DDoS-bescherming en disaster recovery om de beschikbaarheid van je kritieke systemen te garanderen.

Zorg voor optimale beschikbaarheid van je IT-systemen met experts via IBgidsNL.