De meest elementaire stap in het beveiligen van een informatiesysteem is het zorgdragen voor een goede back-up. Vorige week schreef ik over de 3-2-1 methode die hiervoor veel gebruikt wordt. Hierbij wordt ook een kopie van de back-up buiten de deur opgeslagen, ofwel een kopie in de cloud. Dit is minder foutgevoelig omdat er geen menselijke handelingen zijn en de RPO en RTO doelstellingen zijn beter te realiseren.
RPO (Recovery Point Objective)
Dit bepaalt het punt waarnaar we terug keren in de tijd, na een calamiteit. Dit wordt bepaalt door de laatste volledige back-up die gemaakt is. Als je alleen ’s nachts een back-up maakt kun je terug naar de situatie van gisteren eind van de dag (maximaal 8 uur werk kwijt bij normale kantoortijden). Als je ook tussen de middag een back-up maakt ben je maximaal 4 uur werk kwijt. RPO slaat dus op de maximale hoeveelheid data die je mogelijk verliest na een crash.
RTO (Recovery Time Objective)
Deze term slaat op de tijd die je nodig hebt om jouw systeem na een crash weer operationeel te krijgen. Dit is sterk afhankelijk van de onderliggende systemen, de hoeveelheid data, eventuele redundantie in de systemen etc.
Idealiter bepaalt het management van de gebruikersorganisatie welke waardes voor RPO/RTO acceptabel zijn voor de organisatie. Dit verschilt per systeem. Mail of logistiek krijgt bijvoorbeeld een veel hogere prioriteit dan het boekhoudsysteem. Dit is zeer afhankelijk van de organisatie. In overleg met de ICT partner kijk je naar de mogelijkheden om deze parameters in overeenstemming te brengen met de organisatiedoelstellingen. Zo voer je systemen bijvoorbeeld volledig fault-tolerant en redundant uit. Waardoor je het risico op langdurige uitval en dataverlies tot een minimum beperkt voor die systemen die cruciaal zijn voor de organisatie. Vaak is dit een kwestie van risico beoordeling en een goede kosten/baten analyse.
In de praktijk komt het vaak voor dat er op locatie eerst een back-up wordt gemaakt naar een tweede lokale dataopslag apparaat (veelal een NAS) en dat van hieruit automatisch een back-up naar de Cloud wordt gemaakt. Het voordeel van deze constructie is dat je zeer snel zaken terug zet van de tweede lokale kopie naar de eerste. Het terugzetten van bestanden uit de Cloud duurt vaak langer.
Back-up naar de Cloud
Een back-up naar de Cloud begint met een initiële back-up van alle systemen. Dit duurt even (afhankelijk van beschikbare bandbreedte naar internet). Als je deze back-up maakt, bewaar je alle wijzigingen t.o.v. deze back-up in aparte files in de Cloud. Dit gebeurt volledig automatisch. Om te beschikken over een altijd actuele back-up moet je dus voldoende ruimte reserveren in de Cloud. Daar breng je de initiële back-up en de file(s) met wijzigingen in onder. Zet op bepaalde datums een kopie van deze files apart zodat je terug kunt naar meerdere punten in tijd. Je kiest er bijvoorbeeld voor om maandelijks een kopie weg te zetten van de files met wijzigingen zodat je altijd naar elke maand terug kunt qua back-up. Uiteraard neemt met elk extra restorepunt de ruimtebehoefte in de Cloud toe.
Last but not least
Je hebt een complete back-up van alle voor de organisatie cruciale data. Je hebt de 3-2-1 regel geïmplementeerd. Je maakt van sommige systemen meerdere back-ups/snapshots per dag in overeenstemming met gestelde doelen vanuit het management (op basis van RPO/RTO). Ben je er dan? Nog niet helemaal. Een laatste belangrijke voorzorgsmaatregel is dat je de back-up altijd op een geheel eigen netwerk huisvest, separaat van het normale bedrijfsnetwerk en alleen toegankelijk met een eigen unieke username en wachtwoord combinatie. Dit is de laatste verdedigingslinie tegen ransomware en hackers die (bijv. middels phishing) toch toegang krijgt tot het systeem. Zo voorkom je dat de back-up versleuteld kan worden.
En voor de zekerheid… Minimaal jaarlijks een complete restoretest van de back-up. Hierbij zet een ICT partner op een ter beschikking gestelde omgeving de complete back-up terug., Vervolgens loopt men na of de back-up compleet is, hoeveel tijd het duurt om systemen weer operationeel te krijgen etc. Dit ontvang je in een officiële rapportage die je ook kunt delen met eventuele auditors of accountants. Dit is de laatste stap in het voorkomen van verrassingen op het moment dat ze niet welkom zijn. Zo maak je in de praktijk prima een back-up op een relatief goedkope NAS voorziening maar kan uit de test blijken dat de restoretijd ver buiten de RPO/RTO doelstellingen van de organisatie ligt.
Pas als al deze stappen zijn gezet is er sprake van een prettige nachtrust!
Security Assessment
Maak je beveiligingsrisico’s glashelder en ontdek of jouw IT omgeving veilig is én hoe je deze veilig houdt. Vraag een security assessment aan.