Het is voor de meeste organisaties gebruikelijk zeer regelmatig een back-up van hun data te maken. Een groot deel van hen test daarbij ook regelmatig of het lukt om data te restoren. Dat is, voor ons als IT Security partner, natuurlijk een prettige constatering. Helaas ontbreekt in deze keten vaak de laatste stap: het evalueren van de back-up strategie. Een verandering in bedrijfsvoering, IT-infrastructuur of nieuwe dreigingen zou zomaar kunnen betekenen dat de huidige manier voor het maken van een back-up niet meer past.
Een voorbeeld is de toename van Ransomware, waarbij computerbestanden worden versleuteld die alleen maar ontsloten kunnen worden door de daders te betalen. Het restoren van de meest recente data zal hier vaak niet helpen, omdat de malware ook in deze back-ups is meegenomen. De meest recente back-up zonder de Ransomware kan weken of maanden geleden gemaakt zijn. De vraag is nu hoeveel impact het niet hebben van recente data op een onderneming heeft voor bestellingen, leveringen, facturatie, voorraad maar ook wettelijke verplichtingen en is die impact acceptabel? Het bepalen hoeveel data een onderneming kan verliezen voordat dit een onacceptabele impact heeft noemen we het Recovery Point Objective (RPO). Moet door de toename van Ransomware de huidige back-up strategie aangepast worden zodat het RPO haalbaar blijft?
Een ander voorbeeld is dat de hoeveelheid data waarvan een bedrijf een back-up wil maken alleen maar toeneemt en vaak in een Cloud omgeving is opgeslagen. Hoewel we in Nederland over snelle en betrouwbare verbindingen beschikken, kost het restoren van een alsmaar groeiende hoeveelheid data tijd. Past de tijd die dat kost wel bij de initiële eisen die een bedrijf had ten aanzien van het terugzetten van data of zijn die eisen in het verloop van de tijd veranderd? Deze afwegingen noemen we Recovery Time Objective (RTO).
De toegenomen dynamiek bij organisaties heeft ook gevolgen voor de back-up strategie. Het is tegenwoordig gemakkelijk extra capaciteit in te zetten, bijvoorbeeld in een online winkel rondom Black-Friday. Hoe integreren we deze toegenomen dynamiek en de back-up eisen ten aanzien van extra capaciteit in onze back-up strategie?
Bovenstaande voorbeelden laten zien dat het bepalen van een back-up strategie geen eenmalige IT-activiteit is en een regelmatig terugkerend proces moet zijn waar op basis van veranderde bedrijfsmatige eisen gekeken moet worden of de back-up strategie nog afdoende is.
Onderdelen die in een back-up strategie horen, zijn niet alleen de eerdergenoemde RPO en RTO, maar ook encryptie, toegang, retentie en opslaglocaties (online/offline). Deze back-up strategie zou dan weer passen in een overkoepelend plan waarin de organisatie beschreven heeft hoe te handelen in geval van calamiteiten (het Business Continuity Plan).
Binnen het KEMBIT-security team kijken we vanuit Strategie, Techniek, Organisatie, Processen en Personen (STOPP) naar informatiebeveiliging en helpen wij helpen organisaties met alle vraagstukken op het gebied van back-up strategie en Business Continuity, maar ook met informatiebeveiligingsbeleid, dataclassificatie en dataprotectie, bewustwording, bewaking, audits en compliance. Benieuwd wat het Security Team voor jouw organisatie kan betekenen? Neem eens contact op met Michel, Carool, Ricky, Luc of een van onze andere Security Experts voor een vrijblijvend, kundig advies.
