Een Disaster Recovery Plan: voorkomen is beter dan genezen

Iedere organisatie is vatbaar voor bedreigingen. Zowel van binnen de organisatie als van buitenaf. Deze bedreigingen bestaan op verschillende niveaus:

Om te garanderen dat je organisatie na zo’n bedreiging weer snel up and running is, is een business continuity plan aan de orde. Dit plan beschrijft welke maatregelen genomen moeten worden (op voorhand en naderhand) om een organisatie zo snel mogelijk weer operationeel te krijgen.

Een business continuity plan richt zich op alle onderdelen van een organisatie, en een disaster recovery plan is daar een onderdeel van. Een disaster recovery plan richt zich specifiek op je infrastructuur en data.

In het huidige tijdperk zijn heel veel organisaties, groot én klein, afhankelijk van hun ICT-infrastructuur. Een bedreiging op (één van) die systemen, kan grote gevolgen hebben.

Bedenk maar eens wat voor verliezen je leidt:

  • als je klantcontactcenter een halve dag niet beschikbaar is door een elektriciteitsstoring;
  • of je niet bij belangrijke klantgegevens kunt omdat een server niet werkt;
  • je medewerkers niet (samen) kunnen werken door een internetstoring;
  • je bedrijfspaswoorden gehackt worden.

Dit soort ‘disasters’ zorgen voor grote verliezen en kunnen daarnaast de reputatie van je organisatie ernstig schaden. Iedere organisatie zou daarom voorbereid moeten zijn en een disaster recovery plan opstellen. Dit plan zorgt er niet alleen voor dat je na een bedreiging sneller up and running bent, het ‘dwingt’ je ook om op voorhand beter na te denken over mogelijke bedreigingen en je daartegen te wapenen.

Zeker ook voor KMO’s

Een disaster recovery plan is niet alleen voor grote organisaties die gebruikmaken van veel en grote technologische toepassingen. Voor KMO’s zijn deze toepassingen tegenwoordig ook zeer betaalbaar. Denk bijvoorbeeld aan een dubbele internetlijn op twee verschillende dragers, back-up of real-time werken in de cloud, enzovoort.

Als KMO wapen je je best dus ook tegen bedreigingen van buitenaf door het opstellen van een disaster recovery plan. Het schrijven van dergelijk plan hoeft niet duur te zijn. Het kost je voornamelijk tijd om je KMO eens goed onder de loep te nemen. Volgende stappen kunnen je helpen bij het opstellen van een plan.

Breng je bedreigingen in kaart

Een disaster recovery plan begint met het in kaart brengen van mogelijke dreigingen. Als we het hebben over de infrastructuur en data, kunnen we voornamelijk drie belangrijke bedreigingen onderscheiden:

  • verlies van data;
  • niet beschikbaar zijn van systemen en functionaliteiten;
  • schade aan hardware.

Deze drie dreigingen hebben altijd betrekking op de soft- of hardware binnen je organisatie. Daarom is het belangrijk een totaaloverzicht te maken van welke soft- en hardware er allemaal aanwezig is in je organisatie.

Bepaal de impact van iedere bedreiging

Als je een overzicht hebt van de verschillende typen soft- en hardware, kun je deze vervolgens combineren met je bedrijfsprocessen. Welke software en/of hardware wordt in welk bedrijfsproces gebruikt? Als je dat weet, kun je analyseren welke impact een dreiging op de verschillende bedrijfsprocessen heeft en waar de grootste verliezen liggen. De bedreigingen met de grootste verliezen, zijn uiteraard prioritair. Om de impact te bepalen kun je je op twee parameters richten.

Recovery Time Objective (RTO)

De RTO is de tijd waarbinnen het gewenst is dat een bepaald proces zich kan hervatten, zodat de schade voor de organisatie beperkt blijft. Hebben bepaalde bedrijfsprocessen een RTO van 3 uur, terwijl andere een RTO van 2 dagen hebben, dan richt je je het best op het proces met de RTO van 3 uur. Bij deze eerste categorie moet je er namelijk voor zorgen dat het proces binnen de 3 uur terug operationeel is.

Recovery Point Objective (RPO)

De RPO is de tijd die voorbij mag gaan tussen twee back-ups. Meestal gebeurt er ‘s avonds een back-up van de data. Maar stel nu dat er net voor de avond een storing is en er dus nog geen back-up is van de dag voordien. Gaan er dan te veel gegevens verloren? Als dat het geval is, dien je de back-upperiode korter te maken. Zo is het zelfs mogelijk om real-time back-ups te maken, zodat je altijd over de meest recente gegevens beschikt.

Daarnaast dien je in deze ‘impactbepaling’ volgende zaken mee te nemen:

  • Welke systemen/processen gaan er ook ‘last hebben’ van het uitvallen van dit systeem?
  • Zijn er al maatregelen die genomen worden?
  • Welke SLA’s zijn er voor dat betreffende systeem?
  • Is er al voldoende beveiliging voorzien voor het systeem?

Formuleer doelen voor iedere bedreiging

Heb je bepaald welke impact er kan ontstaan op de verschillende processen en software, dan kun je gaan prioriteren. De volgende stap is dan dat je voor ieder onderdeel concrete doelen opstelt“De downtime van de klantcontactcenter is 0.5 uur”“Onze klantgegevens moeten ten allen tijde beschikbaar zijn. Het systeem moet dus een zeer korte RPO hebben”.

Wie doet wat

Deze concrete doelstellingen giet je vervolgens in een duidelijk actieplan:

  • Wie zijn de aanspreekpunten in het geval van een ‘disaster’?
  • Wie is verantwoordelijk voor welke software en welk proces?
  • Binnen welke regels mogen deze personen opereren?
  • Welke stappen moeten er concreet allemaal doorlopen worden om het proces of de software zo snel mogelijk terug te herstellen?

Na het opstellen van dergelijk disaster recovery plan, is het van belang dat je het test en regelmatig bijstuurt: leveren de gedefinieerde acties wel de juiste RTO en RPO op? Worden er nieuwe systemen aan je infrastructuur toegevoegd, dan dien je ook deze te integreren in je disaster recovery plan.

Hoewel het opstellen van dergelijk plan niet heel ingewikkeld hoeft te zijn, merken we dat het vaak een taak is die ofwel niet, ofwel niet diepgaand genoeg gedaan wordt. En dat kan grote gevolgen hebben. Voor een complete doorlichting van je organisatie, kun je ook op Nextel rekenen. Samen bekijken we welke cloudoplossingen er reeds bestaan om je risico te bespreken en welke cloudoplossingen we nog kunnen integreren.

Meer inzicht krijgen in de gevaren voor jouw organisatie?

Ook interessant:
Contacteer ons

Wenst u meer info ? Heeft u een vraag of opmerking?

Typ je zoekwoord en druk op Enter om te zoeken!

Cybercriminaliteit voorkomen