Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. maj 2004.
Information Lifecycle Management er et yndlingsemne for fabrikanterne af lagringssystemer. Danske revisorer mener, at virksomhederne skal tænke sig om, før de gør deres data rodløse, karakteriserer dem efter vigtighed og flytter dem for at spare penge på storage. En datapolitik er nødvendig for at sikre lovlighed og fortrolighed.
Muligheden for, at data kan blive flyttet til billigere lagermedier afhængig af, hvornår de sidst er blevet brugt, kaldes Information Lifecycle Management (ILM). Ifølge fabrikanterne af lagringssystemer sparer det penge for brugerne, fordi de kan nøjes med systemer med lavere ydelse og billligere pris til de ældre data og bånd til de ældste data.
Men at klassificere data udelukkende efter tid er ifølge flere revisorer et problem, for på den måde tages der hverken hensyn til datas betydning eller til deres sikkerhedsniveau.
Partner i Ernst & Young, Otto Winterskov fortæller, at en virksomhed bør klassificere data efter vigtighed i forhold til virksomhedens drift og i yderste tilfælde dens overlevelse.
Det er simpelthen et spørgsmål om, hvilke data der er essentielle for virksomhedens overlevelse. Det kunne være dem, der findes i et ERP-system. Dernæst vigtige data, hvilket kunne være e-post og endelig de supplerende data, hvilket kunne være webdata, korrespondance med mere.
- Netop for at sikre, at en virksomhed overlever et nedbrud, kan det være nødvendigt, at nogle dele af it-systemerne skal overdimensioneres eller dubleres. Og hele backupstrategien skal indrettes efter datas vigtighed. Det koster naturligvis ekstra, men kalkulen for en virksomheds it skal være komplet, fordi omkostningerne ved, at en virksomhed ligger stille, kan være langt større end investeringerne i ekstra it-udstyr. Tankegangen hos den ansvarlige ledelse skal være rigtig - også her, siger Otto Winterskov.
Data skal sikres
Virksomheder, der overvejer ILM, skal også overveje sikring af data. For data må ikke ændres på nogen måde under deres flytten rundt mellem forskellige lagringsmedier. Og det skal dokumenteres, understreger Otto Winterskov.
- Der skal kunne ske en komplet genskabelse af data ved en restore-operation Denne procedure skal øves af virksomhederne, der jo skal kunne vise, at de har styr på deres data. Her er det vigtigt, at virksomheden ændrer tankegang fra "disaster recovery" til "business continuity". Man skal ikke tænke: "Hvad gør vi, hvis vi går ned?", men i stedet overveje: "Hvordan sikrer vi vores forretning bedst muligt?"
ILM for tidligt markedsført
Blandt lagringsbranchens egne rækker er der også advarende røster om ILM. De mener, at teknologien markedsføres for tidligt.
- Teorien bag ILM er besnærende. Men hvordan ser virkeligheden ud? I dag er det kun flade filer og e-post, der kan håndteres. Vi mener, at ægte ILM tidligst kan realiseres om et par år, siger Jørgen Kjærgaard, administrerende direktør, Hitachi Data Systems Danmark.
- Dagens definition af begrebet "information" omfatter ustrukturerede, forretningsrelaterede data såsom e-mails (tilbud, accept), papirdokumenter, Word-dokumenter (kontrakt), regnearksmodeller (priskalkulation) og ERP-transaktioner.
- Ægte ILM vil, baseret på afdelingschefernes definitioner af data, kunne håndtere alt dette og migrere data over på billigere lagringsmedier, efterhånden som data taber i betydning. En sådan løsning eksisterer ikke i dag.
Jørgen Kjærgaard fortæller, at Hitachi Data Systems er urolig for markedsføringen af ILM-begrebet.
- Vi ønsker at undgå den situation, som it-branchen så ofte er havnet i: At der skabes badwill mod en rigtig tankegang, fordi begrebet markedsføres for tidligt, og kundernes forventninger derfor ikke kan indfries. Vi investerer voldsomt i at udvikle ILM-løsninger, og vi samarbejder tæt med IXOS, der er en specialiseret leverandører på området, Men vi gør også meget ud af at fortælle kunderne, at vi - og branchen - ikke har færdige løsninger endnu.
Ifølge EMC, Veritas og IBM kommer besparelserne ved anvendelse af ILM primært som følge af stordrift. Derfor er teknologien oplagt for virksomheder, der driver outsourcing. Her er det netop oplagt at spare på primære og dyre lagringsenheder for at give bedre økonomi i driften.
Men heller ikke her kan en virksomhed, der anvender outsourcing, undvære en aktiv datapolitik. For nok passer outsourcingsvirksomheden på ens data, men hvem passer på denne virksomheds håndtering af virksomhedens data?
- Det gør en virksomheds revisorer. Og her skal der tjekkes efter, om outsourcingen er ok ifølge lovgivningen. Her er der både persondataloven og bogføringslovgivingen at tage hensyn til. En virksomhed skal til enhver tid kunne opfylde Told og Skats krav om dokumentation.
- Kommer man i den situation, at virksomheden har outsourcet til en global serviceleverandør, hvor det kunne tænkes, at data fysisk blev flyttet uden for landets grænser, er der her specifikke lovgivningskrav, som skal overholdes, siger Otto Winterskov.
Han fortæller, at regnskabsdata kan ligge inden for EU, men at ToldSkat skal vide dette. Kommer data uden for EU, skal der være en aftale om, at danske myndigheder skal kunne komme til disse data, og at myndighederne skal underrettes om, at disse data ligger uden for EU.
- Det er vigtigt, at virksomhederne i deres kontrakter med en outsourcingsvirksomhed forbeholder sig ret til at inspicere virksomheden og tjekke efter, at alt er i overensstemmelse med deres kontrakter for datasikkerhed og dataopbevaring, siger Otto Winterskov.
- Virksomhedens revisorer vil tjekke dette gennem stikprøver, men en fysisk inspektion er en god indikator for, om forholdene nu også er i orden. Det gælder specielt fortrolighed af data. Kan outsourcingvirksomheden for eksempel styre, at ens fortrolige og essentielle data er opbevaret på forsvarlig vis? Man kan i denne sammenhæng sætte spørgsmålstegn ved, om en virksomhed overhovedet skal outsource data, der er essentielle for dens overlevelse, siger Otto Winterskov.
Dataejerens ansvar
Steen Gellert-Kristensen, partner i Deloitte er i høj grad enig med Otto Winterskov. Han påpeger, at en virksomheds sikkerhedspolitik og datapolitik skal være afstemt efter hinanden.
- Ansvaret over for loven ligger hos den, der ejer data. Her gør outsourcing ikke nogen forskel. Men det betyder, at virksomheden skal sikre sig, at outsourcingsvirksomheden overholder både lovgivningskravene og virksomhedens egen datapolitik. Jeg er dog ikke bekendt med, om nogen direkte stiller krav om, at data holdes internt i landet, siger Steen Gellert-Kristensen.
Han fortæller, at en virksomheds revisorer og outsourcingsvirksomhedens revisorer naturligt vil samarbejde, fordi outsourcingsvirksomheden skal leve op kravene i FSR's (Foreningen af Statsautoriserede Revisorer) revisionsvejledning 14.
- Allerede i dag pålægger finanstilsynet finansielle institutioner at kontrollere deres outsourcingsvirksomheder. Og i kølvandet af skandaler som Enron, kan det meget vel blive et bredere krav. Derfor er det vigtigt, at virksomhederne på dette punkt er proaktive, siger Steen Gellert-Kristensen.
Billedtekst:
- Kalkulen for en virksomheds it skal være komplet, fordi omkostningerne ved, at en virksomhed ligger stille, kan være langt større end investeringerne i ekstra it-udstyr, siger Otto Winterskov, Partner i Ernst & Young. Foto: Torben Klint
Billedtekst:
- Allerede i dag pålægger Finanstilsynet finansielle institutioner at kontrollere deres outsourcingsvirksomheder. Og i kølvandet på skandaler som Enron, kan det meget vel blive et bredere krav. Derfor er det vigtigt, at virksomhederne på dette punkt er proaktive.
Boks:
Information Lifecycle Management
Ideen om at genarkivere data alt efter, hvornår de sidst har været brugt, bygger på, at mere end 80 procent af alle dokumenter kun anvendes meget i en kort periode, efter at de er dannet. Hvor stor procentdelen er, og hvor lang aktivitetsperioden er, varierer kraftigt alt efter virksomhedens type.
Logikken bag ILM er, at disse dokumenter flyttes til et billigere lagringssystem efter en periode, og til sidst ender de på bånd. Der sættes en markering i det originale lagringssted for, hvor dokumentet er henne.
Derfor vil en bruger, der ønsker at få fat i et arkiveret dokument opleve, at det tager længere at indlæse dokumentet, eller at dokumentet i de mest ekstreme tilfælde skal hentes fra en båndbackup.
Fordelen for virksomheden er, at man kan spare på investeringerne i lagringssystemer med høj ydelse. Mange lagringssystemer tilbyder, at man kan anvende diske baseret på pc-teknologi, hvilket betyder, at der kan spares omkring 65 procent på diskprisen.
Og backup-funktionen bliver simplere, fordi disse "hvilende" dokumenter kun behøver en sikkerhedskopi, når de ændres.
Ulempen er en kompliceret restore-procedure, idet ILM-systemet skal sikre, at data lander det rigtige sted. Og endnu er der ingen løsninger, der kan pille inaktive data ud af for eksempel et ERP-system. Inaktive data er ikke det samme som uvigtige data. Regnskabsdata, der er fire år gamle, er nødvendige og skal være tilgængelige i forhold til regnskabsloven, men de bliver forhåbentlig ikke opdateret.
Boks:
Revisionsvejledning 14
I Foreningen af Statsautoriserede Revisorers revisionsvejledning 14 er der tre delelementer for en vurdering af it-anvendelse:
- Risikoen for at regnskabet ikke kan aflægges som følge af, at elektronisk registrerede data mistes. (Datasikkerhed).
- Risikoen for fejl i regnskabet som følge af edb-anvendelsen.
- Risikoen for væsentlige økonomiske tab ved reduktion eller bortfald af virksomhedens edb-kapacitet. (Driftsikkerhed).
Når edb-anvendelsen skal vurderes, vurderes de tre elementer i sammenhæng i relation til risikoen for virksomheden. De tre elementer er ligeværdige, rækkefølgen er derfor underordnet.
Væsentligheden og risikoen ved edb-driften vurderes. Det er vigtigt, at den indledende vurdering foretages på baggrund af den iboende risiko, det vil sige uafhængigt af de etablerede kontroller.
