Gegevensbeveiliging en continuïteit

Data Disaster Recovery in 5 stappen

Door / 3. Inkoopsystemen / / 5 minutes of reading

Data Disaster Recovery Plan in 5 stappen

Een goed werkend Data Disaster Recovery Plan vormt de basis om je organisatie te beschermen tegen de gevolgen van het uitvallen van kritische bedrijfsapplicaties en tegen gegevensverlies. Immers, organisaties zijn vaak kwetsbaar als het gaat om de beschikbaarheid van bedrijfsapplicaties, kantoorautomatisering en digitaal opgeslagen gegevens. 

In dit 3de artikel uit een serie over Continuïteit van bedrijfsapplicaties wordt beschreven hoe je in 5 stappen komt tot een goed werkend Data Disaster Recovery Plan. 

1. Maak een risico- en impactanalyse

De eerste stap bestaat uit het inschatten van de invloed op de bedrijfsvoering van het (tijdelijk) niet beschikbaar zijn van een bedrijfsapplicatie en/of het niet kunnen beschikken over de bijbehorende gegevens.

Zoals in ons vorig artikel beschreven biedt de analyse voor de diverse bedrijfsprocessen en -applicaties belangrijke inzichten in

  • De relevante gebeurtenissen die kunnen leiden tot systeemuitval en gegevensverlies
  • De kans dat deze gebeurtenissen plaatsvinden
  • De invloed van systeemuitval en dataverlies op onder andere
    • De voortzetting van bedrijfsprocessen
    • Herstelkosten
    • Omzetverlies
    • Reputatieschade
    • Aansprakelijkheden
  • Aandachts- en verbeterpunten voor de huidige gegevensbeveiligingssituatie, zowel ten aanzien van de fysieke omgeving als voor het beleid

Op basis van de verkregen inzichten in het belang van de verschillende bedrijfsprocessen moeten tevens de continuïteitsdoelstellingen (Recovery Time Objective en Recovery Point Objective) voor deze processen worden bepaald.

Lees meer over het uitvoeren van een risico- en impactanalyse, RTO en RPO in het tweede deel van deze reeks over continuïteit van bedrijfsapplicaties en gegevens.

2. Inventariseer de beschermings- en herstelmogelijkheden

De risico- en impactanalyse maken het tevens makkelijker om gericht te zoeken naar de mogelijkheden om belangrijke risico’s te verminderen. 

Naast fysieke en beleidsmatige maatregelen binnen de eigen werkomgeving spelen externe data centers een steeds belangrijkere rol bij het realiseren van continuïteitsdoelstellingen. Immers, een belangrijk deel van de bedrijfsprocessen wordt tegenwoordig ondersteund via Software as a Service die off premise in externe data centers wordt gehost. En ook voor on premise software (lokaal te installeren) kunnen externe data centers worden ingeschakeld om via virtualisatie systemen en gegevens vanuit een externe, veilige plaats beschikbaar te hebben.

Lees meer over diverse mogelijkheden in het eerste deel van de reeks over continuïteit van bedrijfsapplicaties en gegevens.

3. Bepaal de herstelstrategie (Recovery Strategy)

Op basis van de bovenstaande informatie kan voor de verschillende bedrijfsprocessen en -applicaties een herstelstrategie worden gekozen.

Belangrijke overwegingen hierbij zijn

  • Of en in welke mate met de huidige omstandigheden en maatregelen de doelstellingen (RTO, RPO) behaald kunnen worden. Denk hierbij onder andere aan de huidige beschikbaarheid van mensen, back-up faciliteiten en kwaliteit van infrastructuur.
  • Welk budget beschikbaar moet zijn om de doelstellingen voor de verschillende processen en systemen te kunnen behalen

Zonder hier dieper in te gaan op herstelstrategieën zijn er een aantal vormen van gegevensbeveiliging die afzonderlijk of in combinatie en in verschillende uitvoeringen de basis vormen van veel voorkomende herstelstrategieën. Dit zijn:

  • Virtualisatie van on premise software
  • Back ups
  • Mirroring

Lees meer over deze opties in het eerste deel van de reeks over continuïteit van bedrijfsapplicaties en gegevens.

4. Stel het Disaster Recovery Plan op

Indien de herstelstrategieën zijn goedgekeurd moeten daarvoor enerzijds de benodigde fysieke en beleidsmatige aanpassingen worden doorgevoerd en externe dienstverleners worden gecontracteerd. Anderzijds dienen procedures te worden opgesteld om de juiste mensen in staat te stellen de juiste, gecoördineerde herstelmaatregelen in gang te zetten in geval van een calamiteit. Deze procedures vormen de kern van het Disaster Recovery Plan.

Het ontwikkelen van procedures en het verwerken ervan wordt nog wel eens gezien als een niet alledaagse, complexe en ingewikkelde klus. Het volgende stappenplan biedt hiervoor een praktische uitkomst:

  1. Bedenk een structuur waarmee je een praktische onderverdeling kunt maken voor de verschillende processen en systemen. Maak bijvoorbeeld een onderverdeling naar afdelingen, locatie, servers of data centers.
  2. Stel voor de verschillende processen en systemen vast wat de scope en doelstellingen zijn
  3. Stel vast welke functionarissen verantwoordelijk zijn voor het uitvoeren van de recovery procedures
  4. Bepaal (afhankelijk van de herstelstrategie) voor de onderkende processen en systemen (zie 1.) vast waar of vanuit waar de alternatieve hardware, software en gegevens beschikbaar moeten zijn na een calamiteit
  5. Schrijf de recovery procedures uit, inclusief over de (bereikbaarheid van) de betrokken personen, instanties en dienstverleners en de interne en externe communicatie
  6. Schrijf voor de relevante processen een plan B voor het geval dat (delen van) de hoofdprocedure (zie 4.) niet tot het gewenste resultaat leiden
  7. Beschrijf een testprocedure voor de periodieke toetsing en actualisering van de procedures

5. Test het Disaster Recovery Plan

Een veel voorkomende fout bij het maken van contingency plannen, ofwel noodplannen, is dat deze niet worden getest. Met als gevolg dat in geval van een calamiteit niet of niet meer tot een oplossing leiden. Bijvoorbeeld omdat verantwoordelijke functionarissen uit dienst zijn getreden, contactgegevens zijn veranderd, de processen en/of de toegepaste systemen zijn aangepast of dat de oorspronkelijke externe dienstverlening is veranderd.
Daarbij komt dat voor alle betrokkenen geldt dat oefening kunst baart. Wat nodig is om bij de Formule 1 een snelle bandenwissel te realiseren geldt tevens als onder druk de beschikbaarheid van bedrijfsapplicaties en gegevens moet worden hersteld.

Samenvatting

In een serie van drie artikelen is ingegaan op de praktijk van risico’s die de continue beschikbaarheid van bedrijfsapplicaties en gegevens bedreigen en de maatregelen om de soms desastreuze gevolgen ervan te beperken. Centraal hierbij staat de Data Disaster Recovery Plan waarin voor alle relevante processen en systemen is vastgesteld wie welke actie uitvoert bij een calamiteit zodat de nadelige gevolgen ervan binnen de gestelde perken kan blijven.

Daarbij is ook duidelijk gemaakt dat dit plan geen papieren tijger mag zijn. Het gaat hier immers om een noodplan dat alleen waarde indien het zijn werking bewijst wanneer dit het hardste nodig is. Het opstellen en organiseren van een praktisch uitvoerbaar en gedragen Data Disaster Recovery Plan vraagt dan ook om actieve betrokkenheid van belanghebbenden: de gebruikers van bedrijfsapplicaties. Een gezamenlijk gedragen verantwoordelijkheid zorgt voor een actieve beheersing van de risico’s 

Mocht u praktische ervaring willen delen over Disaster Recovery Planning of vragen hebben over gegevensbeveiliging in het algemeen, het uitvoeren van een impactanalyse of het opstellen van een werkend Disaster Recovery Plan, neem dan gerust contact met ons op.

Wim Vriend
Kennispartner E-proQure

Aanmelden nieuwsbrief
Aanmelden nieuwsbrief
Download Marktonderzoek Inkoopsoftware
Download Marktonderzoek Inkoopsoftware
Scroll naar boven