73 procent van de Nederlandse bedrijven test nooit of hooguit één keer per jaar het scenario voor disaster recovery van bedrijfsdata. Bijna de helft van de ondervraagde bedrijven (48 procent) heeft geen officieel data recovery-plan klaarliggen. Dat blijkt uit onderzoek onder middelgrote en grote Nederlandse organisaties door onderzoeksbureau Duo Market Research dat in opdracht van i3 groep en Symantec is uitgevoerd. Aan het onderzoek werkten honderdzestig cio’s, ict-managers, en systeembeheerders mee uit verschillende sectoren.
Rob Vissers, managing director i3 groep, noemt de uitkomst ‘zorgwekkend’. ‘Nu steeds meer organisaties in grote mate afhankelijk zijn van de beschikbaarheid van data is het een groot risico om niet te weten of je terug kunt vallen op back-ups.’
Vissers wijst erop dat borging van data een bestuurlijke verantwoordelijkheid is. Volgens hem zien veel organisaties dat over het hoofd. ‘Met dit onderzoek willen we bewustwording creëren dat er echt nog heel wat te winnen valt op de veiligheid van data. Je moet er niet aan denken wat de gevolgen zijn van een epd, gemeentelijke basis-administratie of klantdata die je niet kunt terughalen, dat kan organisaties de kop kosten.’
Imago- en financiële schade
Organisaties vrezen bij problemen met data recovery vooral voor imagoschade, financiële schade komt op de tweede plaats, zo blijkt uit het onderzoek. 46 procent van de respondenten verwacht grote imagoschade op te lopen als data niet te recoveren blijkt.
Vissers: ‘Men is zich ervan bewust dat wanneer je niet op een back-up kan vertrouwen dat funest kan zijn voor het bedrijf. Tijd dus voor organisaties om back-up en recovery op de agenda van het management te krijgen.’
Het blijft moeilijk bedrijven te overtuigen van de kostenposten die optreden als er data verloren gaat. Veel bedrijven onderschatten het risico en zien de backup als een kostenpost. Hte blijft een feit dat voor een backup hetzelfde geldt als voor een verzekering. Je doet het om risico’s (en kosten) te beperken als het nodig is. Jaarlijks zal je dus moeten kijken of je verzekering/backup nog aan je bedrijfsprofiel voldoet. En uiteindelijk hoop je dat je de verzekering/backup nooit nodig zult hebben.
Het is ook vaak onwetendheid, directies van organisaties gaan er nog steeds onterecht vanuit dat de IT-Manager het wel heeft georganisseerd zonder te bedenken dat het uiteindelijk een verantwoording is van de directie en onderdeel is van Business Continuity Managment. IT is nog altijd ondersteunend aan het bedrijfspocess.
Het is niet alleen het onderschatten van risico’s, maar ook het besef dat databorging een bestuurlijke verantwoordelijkheid is. Niet alleen interne verantwoordelijkheid, maar ook extern naar stakeholders zoals klanten, leveranciers, auditers, overheid etc. Back-up gaat ook duidelijk verder dan een appliance of softwarepakket installeren en blijkt maar weer echt een vak apart.
Er wordt hier over back-up gesproken terwijl je in een DR/BC plan over diensten met hun beschikbaarheid, toegankelijkheid, integriteit, juiste werking in de keten en nog meer hebt.
Een BC/DR inrichten en testen kost veel geld. De vraag is of je echt hierin wilt/moet investeren! Hoe groot je (financiële) schade is vergelijking met de omvang van de investering in een BC/DR.
De brand die in april 2012 woedde in een netwerklocatie van Vodafone, heeft ervoor gezorgd dat de provider alle gegevens verloor. Had de business van Vodafone daar echt last van gekregen? Zijn ze hun klanten kwijt? Hebben ze nu slechte naam? Wat had de investering in een BC/DR kunnen kosten om zo iets te voorkomen? Misschien heeft Vodafone toch kosten kunnen besparen door geen investering doen in een BC/DR plan!
Ik zeg niet dat je een BC/DR plan in de prullenbak moet gooien, nee zeker niet. Ik probeer aan te geven wees bewust en bekijk het verhaal van verschillende kanten. Misschien is een BC/DR plan voor je business een “MUST”!
@Reza
Zoals je al zegt is een disaster recovery wat anders dan voorkomen dat data verloren gaat, het is vooral de tijdsfactor die hier bepalend is. Zo mag het best wel een paar dagen duren voordat het archief weer beschikbaar is maar zullen de kritische processen dus wel zo snel mogelijk hersteld moeten worden. Classificatie van je data is dus belangrijk en dit wordt nog te weinig gedaan in de meeste organisaties waar een ander onderbelicht punt in de DR planning is dat je feitelijk maar weinig aan al die data hebt als personen (of applicaties) er niet zijn om deze te verwerken.
Opmerkelijk is trouwens de conclusie uit het onderzoek dat imago schade meer gevreesd wordt dan de financiële schade, ik twijfel dan ook aan dit onderzoek omdat ik persoonlijk alle begrip heb voor enige vertraging in verwerking van uitbetalingen of orders als een bedrijf getroffen is door een ramp. Nu lijkt dat eerdere cijfers te bevestigen die ik al gaf in een eerder opinie en dataverlies niet zo zeer voortkomt uit rampen maar vaker uit falen:
78% hardware falen
11% Menselijke falen
7% Software falen
2% Computervirussen
1% Natuurrampen
1% Overige
Kortom, goedkope marketing waarbij het Stapel gehalte nogal hoog is en vooral ingespeeld wordt op suggestieve angsten als imago omdat financieel risico een veel objectievere waarde geeft van het probleem. In 9 van de 10 gevallen gaat het dus gewoon om een goede vertaling van je SLA – waarin vaak een clausule overmacht staat – om de juiste technische maatregelen te nemen. Niks meer en niks minder…..
Ewout,
Ik twijfelde ook aan dit onderzoek toen ik de conclusie las.
Als je als bedrijf goed verbonden bent met je klanten en als je altijd in de relatie met je klanten goed geïnvesteerd hebt dan gaan ze jou niet zomaar verlaten.
Bovendien soms weegt de moeite van verlaten niet op tegen wat je hiermee bereikt. Bijvoorbeeld, ik ga niet alle mijn bankzaken omleiden naar een andere bank omdat ING een paar keer storing gehad heeft.
Wat ik probeerde in mijn reactie verder duidelijk te maken was:
1- met data ben je er niet. Je hebt nog meer nodig om je dienst beschikbaar te kunnen stellen,
2- voor de beschikbaarheid van je dinst moet je naar de hele keten kijken en niet alleen de betreffende dienst,
Wat ik in je reactie opmerkelijk vind is dat het dataverlies 78% te maken heeft met het falen van hardware. Als je bij het samenstellen van je hardware hierop let dan zou je dit percentage aanzienlijk naar beneden kunnen brengen.
Ewout, welk rapport heb jij gelezen? In die van mij (Ebook Backupify : Reasons for data loss) zijn de percentages heel anders, namelijk groter dan 50% door menselijk falen en niet de hardware.
Verliezen van kritische data is een doodzonde voor zowel bedrijf als prive en in deze tijd met deze mogelijkheden ook niet nodig. Disaster recovery gaat zoals Reza zegt veel verder dan backup, maar gevalletje Vodafone vind ik wel erg kwalijk.
Het nadeel van het testen van Disaster Recovery (in de hele keten) is dat het EN heel duur is EN veel risico’s heeft.
Reza en Ewout,
Jullie zijn mij net voor. Geen speld tussen te krijgen.
Dank voor jullie toevoegingen.
@Henri
Mijn cijfers komen uit een Engels rapport van een jaar of wat geleden en of de grootste ramp nu de gebruiker of de apparatuur is maakt volgens mij niet zoveel uit als het resultaat hetzelfde is, dataverlies doordat er geen back-up is of omdat het gewoon te lang duurt om deze terug te lezen. Over laatste heb ik al meerdere opinies geschreven omdat nog weleens vergeten wordt dat je een back-up inricht voor het herstel terwijl dit nog vaak andersom gedaan wordt. Net als dat de back-up misbruikt wordt als archief waardoor de DR inderdaad moeilijk en duur wordt. Zal verder niet ingaan op de KPI’s uit een SLA in de vorm van RPO & RTO maar dat dient volgens mij wel de basis te zijn voor je DR plan en niet zoiets suggestiefs als imago. E.e.a. wordt ook uitgelegd in:
http://www.slideshare.net/edekkinga/data-veiligstellen-is-nog-een-hele-klus
Ik kom in het veld nog veel “one-size fits all” oplossingen tegen.
Ik ben zelf van mening dat de data en daar bijbehorende applicaties en (bedrijfs)processen eerst gekwalificeerd moeten worden. Er na de gehele keten gekeken moet worden, niet alleen naar data.
Niet alles is even bedrijfskritisch en dient even vaak veilig gesteld te worden.Door het op die manier aan te pakken bespaar je enorm. Het is zaak om vooraf in kaart te brengen wat je minimaal nodig hebt na een disaster. Je bedrijfkritische ERP systeem vergt heel andere technologie en software en RPO/RTO’s als je niet kritische data.
En DR is meer dan alleen back-up. Ook de logistieke kant dient goed ingericht te worden. Wat is een disaster? Wie hebben we nodig om weer in de lucht te komen? Is er spare apparatuur beschikbaar? Dit wordt nog te vaak vergeten.