Continuïteit is bij veel MKB bedrijven een groot probleem dat snel vergeten wordt. Men gaat ervan uit dat de backup systemen allemaal wel in orde zijn en dat men veilig hierop terug kan vallen.
Zodra dit uiteindelijk een keer gebeurt, blijkt dat de backup systemen toch niet helemaal in orde waren.

Veel voorkomende problemen:

  • De backups zijn maanden oud
  • Systemen zijn niet getest en werking is daardoor niet verzekerd
  • De Backups zijn wel in orde, maar worden op dezelfde locatie opgeslagen als waar de servers staan, een groot probleem wanneer het pand in vlammen op gaat

Uw ICT ondervindt dus een blijvend proces van analyse en aanpassing op de resultaten, blind vertrouwen op een backupsysteem dat ooit een keer is ingesteld is dus absoluut niet aan te raden.

Denk hierbij aan de sirene die op de 1ste maandag van de maand om 12 uur wordt getest.
Toen men voor het eerst met deze test begon waren er veel sirenes die niet werkten, nu, jaren later is het juist vreemd als we de sirene niet horen.

Zo is het ook met uw ICT, continuïteit is belangrijk.

Regelmatig uw backup systemen testen is hier een onderdeel van, klopt alles nog, werkt alles nog naar behoren?

Tips voor Continuïteit

  • Verantwoordelijkheid – (Bedrijfs)continuïteit wordt vaak gekoppeld aan de ICT.  De verantwoordelijk ligt echter bij de directie/bestuur, zij zijn verantwoordelijk voor de continuïteit van de operationele bedrijfsprocessen en bedrijfsmiddelen (gebouwen, systemen en data).
  • Accountant – Bij de jaarrekeningcontrole test de accountant of de informatiestromen nog wel up-to-date zijn en of hier aanpassingen in nodig zijn. Zij zijn dus prima in staat om de Management van het bedrijf advies te geven over wijzigingen die nodig zijn om stabiliteit te handhaven.
  • Analyseer kritische bedrijfsprocessen – Continuïteitsrisico’s zijn divers van aard, zoals stroomuitval, brand, verlies van informatie, faillissement van de softwareleverancier of diefstal. Directe schade is meestal verzekerd, maar de indirecte schade zelden. Bespreek wat de kritische bedrijfsprocessen zijn, en welke risico’s men bereid is te om nemen.
  • Recovery Point – Een eis bij deze inrichting is het voorkomen van ongewenst dataverlies. Het RP is het punt in de tijd tot waar men minimaal de gegevens moet kunnen herstellen. Het is dus de acceptabele hoeveelheid aan dataverlies uitgedrukt in tijd. Afhankelijk van mutaties kan deze tijd zeer kort zijn, zoals in een office omgeving waarbij resultaten behouden moeten blijven om het verlies te beperken, tot systemen die minder muteren waarbij de backup ouder mag zijn.
  • Recovery Time – Een belangrijke eis is het tijdsbestek waarin herstel van de bedrijfsprocessen mogelijk moet zijn. De RT is de tijd waarna een proces na een onderbreking moet zijn teruggebracht op een aanvaardbaar niveau. Dit moet zo snel mogelijk gebeuren en mag eigenlijk niet langer duren dan 48 uur.
  • ICT Risico Analyse – Bepaal per kritisch bedrijfsproces welke risico’s de ICT infrastructuur bevat en wat de impact op de dienstverlening is. De snelste methode is een diagram van de ICT architectuur te gebruiken en 1 voor 1 systemen door te strepen om te bepalen wat er kan gebeuren.
  • Shit Happens – Ongelukken gebeuren nu eenmaal, denk hierbij aan oorzaken buiten eigen invloed (stroomuitval, netwerkkabel kapot graven, etc.) de grootste risico’s kunnen betekenen. Ook defecte harde schijven (nog steeds hoofdoorzaak voor gegevensverlies) of simpelweg een router als single point of failure. De oorzaak kan je helaas niet wegnemen, maar je kan er wel op voorbereid zijn. Als je erop voorbereid bent kan er bij problemen makkelijker geschakeld, ook al kan het probleem niet direct worden opgelost, zo beperk je de schade.
  • Mitigerende Maatregelen – Voor de grootste risico’s waarbij niet voldaan wordt aan de RP-/RT-eisen dienen mitigerende continuïteitsmaatregelen (backup en recovery, fysieke beveiliging en uitwijk) te worden voorgesteld. Stel met directie/bestuur vast of men bereid is de kosten te dragen versus de bereidheid bewust bepaalde risico’s toch te willen lopen.
  • Backup en Recovery – Hanteer een backup-schema (maandelijks integrale (full) backup, en dagelijks/wekelijks incrementele backups). Bepaal aan de hand van de logging of de backup geslaagd is. Bewaar backups op een externe locatie en voer periodieke tests uit van het terugzetten van de backup (recovery test).
  • Uitwijken – Een uitwijklocatie is relatief kostbaar ten opzichte van het geringe risico dat een dataroom of een extern datacenter volledig uitvalt. In plaats daarvan is het vaak ook mogelijk met leveranciers afspraken te maken over vervangende apparatuur.
  • Draaiboek – Bij een incident dat de bedrijfsvoering dreigt te belemmeren (calamiteit) dient er snel en adequaat gereageerd te worden. Leg in een draaiboek de verantwoordelijkheden, procedures, communicatie vast en test dit jaarlijks.

Wilt u weten of uw ICT omgeving voldoet aan de maatstaf? Werkt uw Draaiboek?
Neem contact met ons op en vraag een Risico Analyse aan.