Dataprotectie anno 2020: verzekeren of betalen?

Arnold Derksen, Giant ICT

10-09-2020

Dataprotectie anno 2020: verzekeren of betalen?

Dataprotectie – ofwel back-up en disaster recovery (DR) – heeft de afgelopen jaren een flinke inhaalrace gemaakt wat betreft urgentie en priorisering op de IT kalender bij organisaties. Ooit waren back-up & DR sluitposten waaraan IT managers en directies zo min mogelijk geld uit wilden geven. Echter, tijden veranderen. Door de continue digitalisering en innovatie bij organisaties, maar ook de enorme toename van het aantal datagijzelingen, komen organisaties alsnog in actie om hun data beter veilig te stellen en beschermen. De vele voorbeelden van incidenten zoals een datadiefstal en datagijzeling, welke bijna dagelijks in de media verschijnen, hebben IT managers en directies aan het denken gezet.

Het laatste wat je als organisatie wilt is dat jouw organisatie negatief in het nieuws komt in verband met een datadiefstal en/of datagijzeling. Niet alleen de directe gevolgen, zoals tijdelijk niet kunnen werken en tijdelijk geen klanten kunnen bedienen, zijn schadelijk. Ook de indirecte gevolgen hebben enorme impact. Denk aan reputatieschade of claims/boetes/juridische procedures (bijvoorbeeld door tijdelijk niet of niet volgens afspraak kunnen leveren). Je wilt dit als organisatie natuurlijk altijd voorkomen. Maar tegen welke prijs? Wat is reëel en wat niet?

Wat levert een goede back-up en DR-oplossing dan concreet op?
IT managers en directies hebben zich altijd afgevraagd wat een goede back-up en DR-oplossing nu concreet aan meerwaarde biedt. Dat is simpel uit te leggen. Zodra data op de productieomgeving om welke reden dan ook corrupt of versleuteld raakt, is het cruciaal om een goede back-up oplossing en back-up inrichting te hebben die:
• snel terug te zetten is;
• betrouwbaar en volledig is;
• niet muteerbaar is (na het slagen van een back-up job)

Organisaties kijken daarbij naar variabelen als RTO (Recovery Time Objective) en RPO (Recovery Point Objective). Met andere woorden: hoe snel kan ik mijn (laatst gecompleteerde) back-up terugzetten en hoeveel dataverlies (de tijd tussen het incident en de laatste gemaakte en gecompleteerde back-up. De back-up & DR-strategie van een organisatie moeten in feite aansluiten op de business doelstellingen. 

Wanneer IT-management meepraat op strategisch niveau, is de kans groot dat de back-up & DR-strategie aansluit op die business doelstellingen. Echter, wanneer IT-management vooral operationeel en/of tactisch ingezet wordt, is er extra aandacht nodig om tot de juiste back-up & DR-strategie te komen.

Vaak wordt de 3-2-1-regel toegepast. De 3-2-1-regel houdt in: er moeten ten minste drie kopieën van de data op twee locaties worden opgeslagen, waarvan ten minste één off-site. Wanneer de back-up & DR-strategie goed werkt – daartoe voeren organisaties periodieke DR-tests uit – weet een organisatie dat de directe- en indirecte schade beperkt kan blijven.

Niet muteerbaar

Maar wat als de ransomware ook toeslaat in de back-up omgeving (binnen de back-up storage)? Die vraag stellen veel IT managers en directies zich terecht af. Met de juiste tooling, hardware (die compatible moet zijn met de tooling) en inrichting kan een geslaagde back-up job als het ware ingekapseld worden en de data daarbinnen is daardoor niet langer muteerbaar (de Engelse term immutable wordt in dit kader ook vaak gebruikt). Zo weet je zeker dat een geslaagde back-up job (en de inhoud daarvan) bruikbaar is in het geval van een calamiteit. Enig dataverlies, gekoppeld aan je RPO, kun je in veel gevallen niet voorkomen. 

Back-up van SaaS-applicatiedata

Toch blijft er een belangrijk aandachtsgebied dat vaak over het hoofd gezien wordt. De back-up van applicatiedata binnen SaaS-applicaties. De SaaS-leveranciers werken met een consumptiemodel (prijs per gebruiker per maand bijvoorbeeld), waarin – in de meeste gevallen – ook de back-up meegenomen is. Organisaties die SaaS-applicaties afnemen denken dan vaak dat de SaaS-leverancier ‘het allemaal regelt en onder controle heeft’. Het punt wat ik wil maken is dat organisaties vaak niet weten hoe, hoe vaak en op welke wijze de back-up van hun SaaS-applicatiedata gemaakt wordt. Hoe groot is de kans op datacorruptie- en dataverlies? Doordat de back-up van deze SaaS-applicatiedata vaak buiten het zichtveld van de afnemer wordt ingeregeld is dit een aanvullend aandachtspunt voor IT-afdelingen. Met name vanuit de regiefunctie.

Hybride- & multi-cloud

Bijkomende uitdaging is dat steeds meer organisaties een hybride- of zelfs multi-cloud aanpak hanteren. Hierbij staat bedrijfskritische data verspreid over allerlei ‘clouds’. Soms maken organisaties zelfs gebruik van meerdere publieke cloud-platformen zoals Microsoft Azure en AWS (Amazon Web Services) met als doel om risico te spreiden en continuïteit te kunnen garanderen. Het is dan ook steeds lastiger om vanuit een back-up & DR-perspectief grip te houden over die wijdverspreide data en databronnen. Ook hiervoor zijn goede tools beschikbaar die automatisering en orkestratie inregelen.  Giant ICT zet Veeam dataprotectie/datamanagement software in bij (hybride) cloud en traditionele on premises infrastructuren.

Door: Arnold Derksen, Giant ICT

 

Terug naar nieuws overzicht