Het moderne bedrijfsleven draait 24/7 door en medewerkers en klanten verwachten dat een bedrijf en zijn diensten te allen tijde beschikbaar zijn. Downtime kan een zeer nadelige invloed hebben op de omzet en reputatie van een bedrijf, maar ook op de klanttevredenheid. Het is dus van groot belang dat de it-infrastructuur hierop berekend is en continue beschikbaarheid kan bieden. Toch zijn veel bedrijven zich onvoldoende bewust van het belang van bedrijfscontinuïteit en disaster recovery.
Van oudsher zijn er maar weinig bedrijven die gebackupte data testen om er zeker van te zijn dat deze data beschikbaar zijn in geval van nood. Uit een onderzoek van Vanson Bourne blijkt dat enterprise-ondernemingen hun back-ups maar één keer in de drie maanden testen. En hierbij wordt in slechts 7,4 procent van de gevallen de volledige back-up getest, omdat dit te veel tijd zou kosten. Daarnaast blijkt uit onderzoek dat 67 procent van de virtuele omgevingen binnen het mkb gebackupt wordt, wat betekent dat bijna een derde van alle virtuele infrastructuren niet beschermd is. Toch is 63 procent van het mkb van mening dat hun huidige backup-oplossingen minder effectief zullen worden, naarmate de hoeveelheid data en servers in hun organisatie groeit. Daarbij geeft ruim de helft aan hun huidige backup-oplossing voor het einde van 2014 te willen vervangen.
Bedrijven realiseren zich dus wel degelijk dat een groeiende hoeveelheid data effect gaat hebben op de prestaties van hun it-omgeving. Echter, het feit dat een derde van de virtuele infrastructuren niet beschermd is en enterprise-ondernemingen sporadisch backups testen, blijkt dat er nog veel werk aan de winkel is om het bewustzijn als het gaat om bedrijfscontinuïteit en disaster recovery te vergroten.
Dit bewustzijn moet op ieder niveau gecreëerd worden. Daarom moet de directie er allereerst op toezien dat er beleid gemaakt wordt voor zowel bedrijfscontinuïteit als disaster recovery. Daarnaast moet de it-afdeling in samenwerking met het management sla’s opstellen. Wanneer de verschillende afdelingen samenwerken kan er een gedegen disaster recovery- en bedrijfscontinuïteitsplan ontwikkeld worden en kan het hiervoor benodigde budget vrijgemaakt worden. Alleen zo is een bedrijf ervan verzekerd dat er bij elk nieuw project of nieuwe dienst direct budget beschikbaar is voor disaster recovery en/of bedrijfscontinuïteit en het risico op downtime is afgedekt.
De relatie
Bedrijfscontinuïteit en disaster recovery kunnen los van elkaar gezien worden, maar ook als één geheel. Als het gaat om bedrijfscontinuïteit wordt doorgaans slechts 5 procent van de workloads aangepakt en bovendien wordt het als duur ervaren. Bedrijfscontinuïteit biedt de mogelijkheid om failover te voorspellen, waardoor dataverlies of downtime voorkomen kan worden. Voor de overige 95 procent van de workloads moet een oplossing ontworpen worden die een hoge recovery point objective (rpo) en recovery time objective (rto) biedt om snel te kunnen herstellen. Zelfs als bedrijfscontinuïteit is gegarandeerd, kan echter een zwaar incident voorvallen. Dit betekent dat er ook naar het disaster recovery-gedeelte gekeken moet worden. Vanaf dat moment is het een integraal onderdeel van de disaster recovery-oplossing.
Als het gaat om bedrijfscontinuïteitsplanning is het belangrijk dat de focus ligt op die diensten die geen ruimte laten voor downtime of dataverlies. In het geval van een webshop zal downtime in veel gevallen direct resulteren in omzetverlies. Of wanneer de assemblagelijn op een server draait, kan downtime veel geld kosten. Nadat in kaart is gebracht welke diensten cruciaal zijn, is het belangrijk de juiste tools te vinden die bedrijfscontinuïteit mogelijk maken. Denk hierbij bijvoorbeeld aan clustering en replicatie. Het is hierbij belangrijk om te bedenken dat dit niet alle uitdagingen op het gebied van databescherming oplost. Wanneer er corruptie optreedt in bijvoorbeeld een database zal de corruptie ook effect hebben op het failover cluster of de replica. Om die reden is het belangrijk dat er ook andere databeschikbaarheidsoplossingen worden ingezet.
Aandachtspunten
Op technisch niveau dient voor iedere dienst vastgesteld te worden wat de rpo’s en rto’s zijn. Wanneer deze zijn vastgesteld, moet er gekeken worden naar de mogelijkheden van virtualisatie om disaster recovery-scenario’s te ontwikkelen en oplossingen te kiezen die speciaal ontwikkeld zijn voor virtualisatie. De oplossing moet gebruiksvriendelijk en eenvoudig zijn. Tijdens een rampscenario is er immers geen tijd om uit te zoeken hoe de oplossing werkt.
Op niet-technisch niveau moet nagedacht worden over het ‘worst case’-scenario en de uitdagingen waar een bedrijf mee te maken krijgt wanneer alle hardware het begeeft. Waar haal je in dat geval zo snel mogelijk nieuwe hardware vandaan? Wat als er medewerkers ziek worden of het bedrijf verlaten? Wie zijn in dat geval de belangrijkste personen? Daarnaast is het belangrijk dat het meest recente disaster recovery-plan offsite bewaard wordt en altijd toegankelijk is. Dit is een veelgemaakte fout. Het gebeurt namelijk regelmatig dat bedrijven het plan op een bestandsserver of Sharepoint-farm hebben opgeslagen die ook verloren is gegaan tijdens de storing. Tot slot is het raadzaam het disaster recovery-plan vanaf het begin regelmatig te testen, bij voorkeur automatisch.
Lage prioriteit
Helaas zien we vaak dat bedrijfscontinuïteit en disaster recovery meestal pas een prioriteit worden nadat er iets gebeurd is. Eén van onze klanten, de IJslandse softwareontwikkelaar Midverk, werd voordat ze met Veeam werkte geconfronteerd met de gevolgen van het ontbreken van een helder disaster-recovery-plan. Op het moment dat in het weekend de stroom in hun datacenter uitviel, had Midverk zeventig actieve virtuele machines in beheer, waarop zo’n 90 procent van de applicaties draaide. Nadat de elektriciteit weer was ingeschakeld, bleken de uninterruptible power supplies (ups’s) down te zijn en één van de san-arrays waarop belangrijke data draaide, bleek corrupt. Uiteindelijk kon deze array weer online gezet worden, maar er was geen redundante kopie of back-up van de data beschikbaar. Dit voorbeeld toont aan dat vooraf nagedacht moet worden over bedrijfscontinuïteit en disaster recovery en een belangrijk onderdeel moeten worden van ieder it-project.
It-professionals moeten dan ook continu de markt in de gaten houden om ervoor te zorgen dat zij de beste, meest kostenefficiënte en gebruiksvriendelijkste oplossingen gebruiken die ervoor zorgen dat hun bedrijf een eventuele storing aankan. Bedrijfscontinuïteit en disaster recovery moeten een continu proces zijn. Telkens als er iets verandert in de infrastructuur moeten de plannen op de nieuwe situatie afgestemd worden. Ook moet de directie bewust gemaakt worden van het strategische belang van bedrijfscontinuïteit en disaster recovery en inzien dat het een prioriteit is voor de it-afdeling.
Het is niet eenvoudig om bedrijfscontinuïteit en disaster recovery in kosten uit te drukken, omdat dit sterk afhangt van de specifieke situatie van het bedrijf, maar bedrijven kunnen zich wel de vraag stellen: ‘wat zou het mij kosten wanneer mijn datacenter gedurende langere tijd niet (volledig) online zou?’ Vaak komt men dan tot de conclusie dat deze kosten niet opwegen tegen de kosten van een oplossing voor bedrijfscontinuïteit en disaster recovery.
Ontwikkelingen
Er komen steeds meer applicaties op de markt die helpen de kloof te dichten tussen bedrijfscontinuïteit en trage, legacy backup-oplossingen. Deze applicaties bieden nieuwe methodes voor het maken van snelle back-ups en het creëren van meerdere herstelmogelijkheden, en bieden ook tools waarmee it-afdelingen onder andere herstelacties kunnen testen en virtuele labs kunnen bouwen. Deze oplossingen bieden een grotere functionaliteit, verlagen de tco en zorgen voor meer gebruiksgemak. Dankzij de technologie van tegenwoordig kan de kloof tussen bedrijfscontinuïteit en legacy disaster recovery-oplossingen op een effectieve manier aangepakt worden. De gehele infrastructuur en dienstverlening profiteert hiervan.
Mike Resseler, EMEA-evangelist bij Veeam Software
Heel goed stuk. Ik mis alleen de periodiek verplichte simulatie in het verhaal. Verder echt helder.
Als eerste is continuïteit en disaster recovery niet een IT probleem, tenminste niet voor het geheel. Nog te vaak wordt vergeten dat BCIV matrix binnen een informatieketen meer omvat dan een server, som der delen in de BCIV matrix van informatieketens omvat iets meer dan back-up product. Proces zelf is uiteindelijk bepalender dan de middelen en dat je gebruikte back-up product afstemt op de infrastructuur is logisch maar niet alles is virtueel.
Nu wordt met het idee van virtualisatie nog weleens gedacht dat de infrastructuur er zelf niet meer toe doet waardoor automatiseren van DR als de ‘heilige graal’ wordt wanneer er geen samenwerking is tussen IT en de business. Ervaring leert dat tussen het herstellen van een dienst en het terugzetten van een back-up helaas nog wel enige gaten zitten.
Ewout,
Goede toevoeging. Het is een combinatie tussen proces en technologie.
Breng in kaart wat je hebt. Bepaal samen met de business wat er belangrijk is en wat niet. En kies dan pas de juiste technologie/methodiek er bij.
In back-up / DR land werkt one size fits all namelijk niet. Dit is vaak alles behalve “kosten” / effectief.
Ik heb hier in het verleden al veel over geschreven:
https://www.computable.nl/artikel/opinie/storage/5162344/1277017/backup-one-size-doesnt-fit-all.html
https://www.computable.nl/artikel/opinie/storage/4564285/1277017/veiligstellen-van-data-is-nog-een-hele-kunst.html
@NumoQuest
Klopt, dit is een probleem dat zich nog steeds voordoet. Spijtig genoeg zijn er nog te veel bedrijven waar er niet genoeg middelen, tijd en mensen zijn om dit op regelmatige basis te doen. Gelukkig zijn er tegenwoordig systemen die dit kunnen automatiseren, maar zoals altijd bij dit soort technieken dient er hier eerst ook geinvesteerd te moeten worden en regelmatig up-daten. Zou een goed volgend opinie artikel kunnen zijn 😉
@Ewout, @Ruud
Ik ga zeker akkoord met jullie toevoegingen. Het artikel is dan ook geschreven voor slechts een bepaalde laag binnen het DR en BC verhaal, namelijk de IT infrastructuur
Ik ga akkoord met je stelling dat BC en DR geen IT probleem zou mogen zijn en dat IT slechts 1 laag(je) is binnen het hele proces. Spijtig genoeg is dit in heel weinig gevallen zo… Het merendeel van de bedrijven zal IT de opdracht geven “om iets te implementeren” zodat de RPO en RTO zo laag mogelijk zijn (binnen een budget uiteraard…)
Wat ik vooral wou bedoelen is dat er vandaag vanuit IT veel te weinig investeringen gebeuren (en dan bedoel ik zeker niet alleen financieel…). En ergens begrijp ik dit vrij goed. Waarom tijd en resources steken in iets dat (hopelijk) nooit nodig is…
Vandaag de dag echter staat de technologie een stuk verder om ook dit probleem eleganter op te lossen. Ja, virtualisatie lost zeker niet alles op, maar het kan de zaken wel een stuk gemakkelijker, en goedkoper maken. (op voorwaarde van de processen… zoals je zelf aangeeft.)
En iedereen die met deze materie te maken heeft zou zijn huidige methode op regelmatige basis moeten evalueren om te zien of het niet gemakkelijker, goedkoper, maar vooral… beter voor de business kan.
Nogmaals, dit is slechts een onderdeel van een BC / DR plan. Er komt veel meer bij kijken dan IT alleen, maar het is soms zo moeilijk om de business daarvan overtuigd te krijgen… (Misschien een goede topic voor een nieuw artikel?)
Mike
Hallo Mike,
Goed dat je reageert en ik zou graag in willen gaan op de door jouw genoemde KPI’s van Recovery Point Objective (RPO) en Recovery Time Objective (RTO), twee termen die dus behoren bij de BUSINESS CONTINUITY PLANNING want zoals ik reeds aangaf dienen deze door de business bepaald te worden en omvatten ze dus wat meer dan een back-up. Neem bijvoorbeeld de enigzins bedriegelijke maat die voor de RPO gehanteerd wordt want in een real-time systeem raak je vaak meer kwijt dan je denkt. Kijken we bijvoorbeeld naar de RTO van alle online diensten dan is het grappig hoe panisch er gereageerd wordt als volledig irrelevante services het eventjes niet doen, de invulling van het DR/BC vraagstuk is namelijk nog weleens imago gedreven.
Wil niet vervelend doen maar er zijn dus nogal wat organisaties die hun omgeving gevirtualiseerd hebben zonder naar de processen zelf te kijken, RPO en RTO worden dan middels ‘loketautomatisering’ ingevuld door laagje-op-laagje te bouwen. Denk dat ik er – door enige ervaring wijzer geworden – niet ver van af zit als ik stel dat 9 van de 10 IT afdelingen niet weten wat de ‘value chains’ van een bedrijf zijn door niet alleen de eerder genoemde ‘loketautomatisering’ maar ook alle puntoplossingen die gekozen zijn. Opmerkelijk vaak kom ik dan ook nog oplossingen tegen die – zoals Ruud al zegt – vanuit het ‘one-size-fits-all’ principe van een back-up in plaats van een restore ontworpen zijn.
Om nog even de puntjes op de i te zetten dienen we ook onderscheid te maken in de back-up en de archivering, RPO en RTO gaan namelijk om DR/BC voor met name de ‘hot data’ die direct nodig is in het proces. Overwegende dat gemiddeld 70% tot 80% van de ‘cold data’ meedraait in de back-up dan valt er met alle snel groeiende volumes aan ongestructureerde data nog wel wat te besparen. Niet zo lang geleden leverde dat een bedrijf een besparing van €2,8 miljoen per jaar op, tegen een investering van €1,4 miljoen want IT afdeling die de kosten van de back-up capaciteit voor 3 jaar ‘fixt’ op aantal processors en deze op basis van volume doorbelast aan de business hoeft zich niet meer zo druk te maken om de investeringen.
Oja, sommigen overwegen de cloud om te besparen op de back-up maar er zijn maar weinig providers die een RTO garantie geven of je moet er dus voor kiezen om verder te gaan in de cloud. Probleem hierbij is dat je meestal na 3 jaar dus weer voor een verrassing komt te staan als je op het altijd terugkerende ‘break-even’ point komt van de economische IT modellen. Betreffende de opmerking van ‘legacy’ back-up dient namelijk wel rekening gehouden te worden met de lifecycles van services versus de techniek, betreffende het laatste zijn er namelijk meerdere opties zoals Ruud eerder al in een presentatie uiteen heeft gezet:
http://www.slideshare.net/edekkinga/data-veiligstellen-is-nog-een-hele-klus
P.S.
De gratis consultancy zijn door eerdere behaalde besparingen dus niet meer van toepassing, wie kiest voor goedkoop gaat maar naar de V&D.