Heb je per ongeluk gegevens verwijderd? Is je database gecrasht? Is je hele bedrijf overgenomen door ransomware? In al deze gevallen is het van groot belang dat jouw organisatie regelmatig een backup uitvoert. In deze tweedelige serie vertelt Joris, Cyber Security Consultant bij Cuccibu, je meer over backups. Daarbij kijken we zowel naar de Information Security als Cyber Security kant van het maken van backups. In het eerste deel vertellen we meer over het belang van het uitvoeren van backups en de rol van de proceseigenaar. Het volgende blog (deel 2) focust op het goed inrichten van backups en de rol van de IT afdeling in dit proces.
Een backup is een reservekopie van data op een ander medium of bestandslocatie. Maar waarom maken we eigenlijk backups? Het voor de hand liggende antwoord is het voorkomen van gegevensverlies. Organisaties zijn steeds vaker afhankelijk van IT-systemen voor de bedrijfsprocessen en het opslaan van data. Het risico van deze afhankelijkheid heeft te maken met de mogelijkheid dat deze IT-systemen stoppen met werken. Een backup van de gegevens van deze niet werkende server zal gegevensverlies voorkomen.
Daarnaast gebruiken we backups ook om bedrijfscontinuïteit te waarborgen. Bedrijfscontinuïteit is het vermogen van een organisatie, om na een verstorend incident, producten en diensten te blijven leveren op een acceptabel en vooraf vastgesteld niveau. Om dit te realiseren inventariseert een organisatie de potentiële dreigingen die de continuïteit van de bedrijfsvoering in gevaar brengen en onderneemt hier acties op. Door hier actief en op voorhand over na te denken kunnen nadelige gevolgen van een verstorend incident worden beperkt of wellicht volledig worden voorkomen. Een ransomware aanval is bijvoorbeeld een risico voor de continuïteit van jouw organisatie. Het inregelen van backups is één van de maatregelen om nadelige gevolgen hiervan te voorkomen. Dit maakt het namelijk mogelijk om de data op het aangevallen systeem terug te halen. Maar ook als een systeem waar géén gevoelige gegevens op worden bewaard uitvalt, kan dat nog steeds een risico zijn voor een bedrijfsproces. Dat systeem wil je niet helemaal opnieuw installeren en configureren als het stopt met werken, dus maak je een backup van de configuratie op dit systeem. Mocht dit systeem dan stoppen met werken kan een organisatie snel deze backup gebruiken en hiermee sneller bedrijfsprocessen operationeel krijgen.
Als proceseigenaar ben je verantwoordelijk voor de continuïteit van jouw (bedrijfs)processen. Dat betekent dat je ook verantwoordelijk bent voor de backups van jouw processen. In de praktijk zien wij vaak dat het initiatief voor het maken van backups vanuit de IT-afdeling komt. IT bepaalt dan de uitgangspunten, zoals hoe vaak backups plaatsvinden en hoelang ze bewaard worden. Dit doen zij vanuit goede wil om het geregeld te hebben, maar dit is niet de ideale situatie. De IT afdeling heeft als taak het faciliteren van backups, maar de uitgangspunten moeten worden opgesteld door de proceseigenaar. De proceseigenaren weten immers zelf het beste hoe belangrijk de data en de processen zijn. Hierdoor kan een proceseigenaar een beter beeld geven voor de frequentie van de backups en hoe lang deze bewaard moeten worden. Dit is kritieke informatie waartoe een IT afdeling niet altijd toegang heeft.
Om de uitgangspunten te bepalen dient de proceseigenaar vast te stellen hoelang het proces niet operationeel kan zijn. Hele kritische processen wil je misschien binnen een paar uur weer operationeel hebben, terwijl bij andere processen je best een week zonder kunt. Dit is natuurlijk omdat het bijvoorbeeld voor een webshop belangrijker is om de website operationeel te hebben dan een systeem om trendanalyses te doen. Voor elk proces stel je een maximale tijd vast dat een proces niet operationeel mag zijn. Het doel van de IT-afdeling, als het herstellen van backups nodig is, is het proces operationeel krijgen binnen deze tijd. Dit heet het Recovery Time Objective (RTO). Als het proces weer operationeel is betekent dat niet dat je direct verder kan met de reguliere gang van zaken, er is immers een backup hersteld die op een bepaald punt in het verleden is gemaakt. Alle informatie die het systeem heeft verwerkt na dat punt moet opnieuw verwerkt worden. Hoeveel werk er opnieuw gedaan moet worden hangt af van hoe ver dat punt in het verleden ligt. Hoe ver dit punt in het verleden ligt is weer afhankelijk van het proces. De proceseigenaar dient te kijken naar het proces om vast te stellen wat het maximale acceptabele gegevensverlies mag zijn uitgedrukt in een tijdsperiode. Hierbij moet gelet worden op de impact van het verstoren van het proces en met welk gemak gegevens hersteld kunnen worden. De IT-afdeling heeft als doel ervoor te zorgen dat er frequent genoeg backups gemaakt worden om binnen deze tijdsperiode te blijven. Dit heet het Recovery Point Objective (RPO). Zowel de RTO als de RPO moet worden vastgelegd per proces door de proceseigenaar, waarbij kritische processen voorrang krijgen. Vervolgens moet de frequentie van backups en het herstelplan hierop worden afgesteld.
Het maken van backups is noodzaak om de continuïteit van een organisatie te waarborgen. De proceseigenaren stellen vast welke processen belangrijk zijn en bepalen de RTO en RPO. Onze consultants hebben veel kennis en ervaring op het gebied van Business Continuity Management en kunnen de proceseigenaren van jouw organisatie ondersteunen bij het bepalen van de RTO en RPO. Na het vaststellen van de RTO en de RPO is de IT-afdeling aan zet. Zij faciliteren in het maken van de backups en zorgen dat de technische risico’s gemitigeerd worden. Hoe de IT-afdeling van jouw organisatie dit op een veilige en verantwoorde manier aan kan pakken, lees je in het volgende blog van deze serie.
Reduce Risk, Create Value!