Uit recent onderzoek van CA Technologies is gebleken dat bijna alle Nederlandse bedrijven te maken hebben gehad met dataverlies. Naast het feit dat dit zeer vervelend is, de continuïteit van de business verstoord en dus geld kost, toch schokkend om te constateren dat databeveiliging voor veel organisaties een onderbelicht onderwerp is waarbij de focus ook nog eens verkeerd ligt.
Dat bedrijven hun data veilig moeten stellen zal iedere manager beamen. Vanuit de it- organisatie zal dan in eerste instantie direct verwezen worden naar het inzetten van backup technologie en procedures. Uitstekend, maar dat is slechts de eerste stap. Het zou moeten beginnen bij de vraag welke data cruciaal is voor de organisatie en welke data van minder belang, kortom de classificatie van data. Daarna zal gekeken moeten worden op welk medium deze data het best kan worden opgeslagen.
De lokale schijf van het werkstation is leuk voor vluchtige niet belangrijke data maar voor de kritische bedrijfsdata zal al snel een storage omgeving op basis van bijvoorbeeld RAID5 technologie ingezet kunnen worden. Bij dit soort oplossingen kunnen diverse onderdelen zoals schijven van de storage omgeving defect gaan zonder dat het direct effect op de opgeslagen data heeft. Hoe met data moet worden omgegaan en wat de waarde van bepaalde data is, is een protocol dat binnen de organisatie zal moeten worden vastgelegd.
Wildgroei in oplossingen
Maar wat nu als er één van de it-systemen het loodje legt? Tot deze vraag komen veel organisatie nog wel maar dan begint de wildgroei in oplossingen. Een backup zal meestal ook nog worden gemaakt, maar is er ooit nagedacht of deze backup kan worden teruggezet en welke tijdspanne daarvoor nodig is. Als een bedrijf na vier uur stil te liggen in de problemen raakt moet een backup dus binnen die tijd kunnen worden terug gezet.
Dit probeert men veelal te ondervangen door disaster recovery-scenario's in te zetten. In het kort gezegd de data parallel op een andere locatie of systeem plaatsen. En hier gaat het nu juist mis. Disaster recovery (dr) wordt meestal alleen in de techniek gezocht. Data wordt keurig naar een tweede storage omgeving gerepliceerd. Storage omgevingen kunnen dit real time verwerken wat op zich prachtig lijkt en er altijd per direct een exacte kopie van de data bestaat. Maar wat nu als één van de ijverige medewerkers per ongeluk cruciale data verwijderd? Dan is die data ook per direct op de dr-omgeving verdwenen. Hetzelfde met een database die corrupt raakt, ook de databasekopie in de dr-omgeving is op datzelfde moment waardeloos geworden.
Beschikbaarheid
Ook wordt door bedrijven veelvoudig de data toevertrouwd aan cloud oplossingen. Daarbij wordt gekeken naar beschikbaarheid die de leverancier afgeeft en die is meestal uitstekend. Maar de beschikbaarheid zegt niets over hersteltijden van data in geval van een probleem. Veel cloud diensten zijn prima om data in onder te brengen, maar kennen geen dr-scenario's of backup-oplossingen. Bij een echt disaster is dus niet terug te vallen op backups en is men overgeleverd aan hetgeen de cloudleverancier qua data nog kan terugzetten. De kpi's hiervoor worden door de klant veelal niet gevraagd en door de cloudleveranciers niet afgegeven of er zal in de kleine lettertjes staan dat daar geen rechten aan ontleend kunnen worden.
Een ander probleem doet zich voor wanneer data bij wijze van dr of backup in een clouddienst wordt ondergebracht. Het opslaan van de data op afstand in een cloud is niet tijdkritisch. Wanneer de omgeving van een bedrijf het echter af laat weten, wil men zo snel mogelijk de originele data terug hebben. Om echter de vele GB's en tegenwoordig zelfs TB's terug te zetten is tijd nodig, gerelateerd aan bandbreedte. Dan blijkt het gekozen backup of dr-scenario technisch wel te werken, maar veel te veel tijd te vergen.
Het veilig stellen van data begint dus met inventariseren van de eisen die een organisatie aan data en beschikbaarheidscijfers stelt. Aan de hand daarvan kan worden bepaald welke technieken in aanmerking komen om dit te ondersteunen. Hierbij kunnen clouddiensten worden ingezet maar voor andere specifieke vraagstukken zullen mogelijk alternatieve diensten in aanmerking komen.
Vervolgens dient een Disaster Recovery plan te worden opgesteld. Hierin is vastgelegd wie welke acties moet uitvoeren binnen welke tijdsspanne omdata en diensten weer beschikbaar te stellen bij een calamiteit. Eventueel moeten aan de hand van dit dr-plan de technische oplossingen en producten worden aangepast.
Conclusie
Alleen wanneer alle procedures en techniek op elkaar aansluiten is data met zekerheid veilig te stellen. Het is dus van wezenlijk belang om tijdens outsourcingtrajecten goede voorlichting te krijgen die is toegespitst op de eisen van de organisatie en een oplossing te kiezen die past bij al deze eisen en niet enkel gebaseerd is op beschikbaarheidscijfers die bijvoorbeeld een cloudleverancier op papier afgeeft.
“Hoe met data moet worden omgegaan en wat de waarde van bepaalde data is, is een protocol dat binnen de organisatie zal moeten worden vastgelegd.”
Hier wordt wel heel makkelijk voorbijgegaan aan het meest essentiele aspect van een goed data beheer. Kwantificatie en kwalificatie van de data is in vrijwel geen enkele organisatie op orde, en zal m.i. ook nooit op orde komen.
Goede backup/restore- archieve/retrieve- en DR-plannen bestaan bij de gratie van een diepgaande, uitputtende inventarisatie van de data. Zonder die inventarisatie, geen goede plannen.
Maar zelfs met een goede inventarisatie en goede plannen en een goede IT en organisatorische structuur (utopisch at best), blijft men het risico op dataverlies houden. Er wordt namelijk geen/weinig aandacht besteed aan de complexiteit van zowel systemen als organisatie. Gooi daar cloudoplossingen tegenaan en voor de meeste organisaties zal het schier onmogelijk worden om tegen redelijke kosten (de impact van) dataverlies te voorkomen.
Dit artikel sluit goed aan op wat wij in de dagelijkse praktijk zien.
De meeste bedrijven hebben de indruk dat alles goed is geregeld maar dit blijkt regelmatig niet de realiteit.
In de meeste gevallen wordt er inderdaad een back-up gemaakt en men gaat er vaak blindelings vanuit dat dit voldoende is.
Bedrijven verwachten dat het systeem na een crash snel weer online is maar in de praktijk is dit (te) vaak niet het geval.
Gezien de groeiende hoeveelheid data en programmatuur wordt het steeds belangrijker te bepalen welke software en data bedrijfskritisch is en welke niet. Het is in de meeste gevallen onmogelijk om alles binnen korte tijd weer online te hebben en er zal dus meestal een keuze gemaakt moeten worden. Door vooraf te bepalen welke software en data snel beschikbaar moeten zijn kan veel tijd en geld worden bespaard.