Het aantal gebruikers van Office 365 groeit als kool. Maar hoe zit het met de back-upmogelijkheden binnen het software-as-a-service (saas)-platform, voldoen die wel aan de voorwaarden die bedrijven moeten stellen aan een back-up?
Applicaties zoals Exchange, SharePoint en OneDrive zijn de olie in de motor van menig bedrijf. Het gebruik van Office 365 groeit zo hard dat het zelfs Microsoft verbaast. Het bedrijf berekende dat in 2019 twee derde van zijn Office-businessklanten het saas-platform zal gebruiken, een jaar eerder dan oorspronkelijk verwacht.
Ondernemingen zijn logischerwijs op zoek naar de wendbaarheid en schaalbaarheid van cloudgebaseerde applicaties, maar in de haast om zo snel mogelijk te migreren vanwege gemak en efficiëntie zie je ook de verantwoordelijkheid verschuiven voor security en back-up van applicaties. Organisaties moeten zich hier bewust van zijn. Ze kunnen rekenen op Microsoft voor de bescherming en continuïteit van bedrijfskritieke applicaties en de onderliggende infrastructuur en hoeven deze acties niet langer zelf uit te voeren. Maar de verantwoordelijk voor de bescherming van de gevoelige bedrijfsdata die door deze applicaties wordt gebruikt, ligt nog altijd volledig bij de onderneming zelf. Dit betekent dat organisaties zich ervan moeten verzekeren dat er back-ups worden gemaakt van alle data, zodat deze beschermd zijn tegen security- en productiviteitsbedreigingen. Eventuele hiaten in back-up moeten gedicht worden.
Door de snelle opmars van Office 365 kijken meer ondernemingen met een kritische blik naar hoe back-up is geregeld in hun organisatie; een balans vinden tussen productiviteit, databescherming, security en compliance is hierbij het streven. Aanvullende back-up blijkt hard nodig bij het gebruik van Office 365.
Herstellen
Niet verrassend, maar Microsoft kent haar gebruikers behoorlijk goed en biedt in Office 365 een aantal vangnetten dat onnodig dataverlies moet voorkomen. Per ongeluk verwijderde mailboxen in Exchange zijn te herstellen en bestanden in OneDrive die verwijderd, door ransomware encrypted of onbedoeld overschreven zijn, zijn ‘terug te brengen’ naar een tijdstip voor het incident. In beide gevallen zit er echter een tijdslimiet op de mogelijkheid van herstel: dertig dagen is de magische grens. Wanneer je er pas na een maand achterkomt dat er iets fout is gegaan, ben je de bestanden of e-mails voorgoed kwijt.
Het oplossen van problemen die worden veroorzaakt door onbedoelde fouten is één ding, het herstellen van bewust aangericht schade is een tweede. Volgens het Verizon Data Breach Investigations report is de op één na meest voorkomende oorzaak van datalekken misbruik van rechten of aanvallen van binnenuit. Een ontevreden werknemer die bedrijfsgevoelige informatie verwijdert, zal dit niet binnen een maand dagen melden. Wanneer zijn actie na dertig dagen wordt ontdekt, is het te laat. Er is geen enkele mogelijkheid meer de bestanden te repareren tenzij de data ook nog op een andere plek is opgeslagen.
Een ander probleem heeft te maken met standaardgebeurtenissen, zoals werknemers die het bedrijf verlaten. Office 365 bewaart hun e-mails dertig dagen, daarna verdwijnt alle kennis van de betreffende werknemer.
Compliance vormt het meest steekhoudende argument om een onafhankelijke back-up te maken. Organisaties die moeten voldoen aan bepaalde regelgeving rondom het bewaren van verwijderde data, voldoen met alleen Office 365 niet aan de voorwaarden.
Data die beheerd, gedeeld en opgeslagen wordt in Office 365 is bedrijfsgevoelig. Gezond verstand alleen al is voldoende om dezelfde back-ups in te stellen voor deze data als dat ook bij andere systemen gebruikelijk is. Zo voorkom je dat je een onvolledige back-up maakt, die kan leiden tot gevoelig dataverlies.
3-2-1-regel
Zodra organisaties de noodzaak inzien van het back-uppen van hun Office 365-data, moeten ze bepalen hoe ze dit het beste aanpakken.
De traditionele 3-2-1-regel voor back-up (bewaar drie kopieën op minstens twee verschillende plekken, waarvan er één vaak on-premises is met een kopie offsite) is door de alomtegenwoordigheid van de cloud aan vervanging toe. Data ontstaat tegenwoordig in de cloud waardoor het niet logisch is een kopie on-premises te bewaren. Het streamen van back-up data verbruikt onnodig kostbare breedbandcapaciteit. Daarnaast neemt het herstel van gegevens onnodig veel tijd in beslag. Het is daarom logischer back-ups te maken in twee verschillende cloudlocaties, elk in een andere geografische locatie zodat regionale disasters geen gevolgen hebben.
Een back-up-oplossing voor Office 365-data moet een aanvulling zijn op de tekortkomingen van reeds aanwezige mogelijkheden voor back-up. Belangrijke eigenschappen zijn oneindige opslagmogelijkheden en retentietijden, point-in-time-herstelmogelijkheden voor alle data (inclusief mail), volledig inzicht zodat beheer zo eenvoudig mogelijk wordt en audit- en compliance-mogelijkheden. Daarnaast is het uiteraard belangrijk dat, mocht het nodig zijn, het vinden en herstellen van data zo snel en eenvoudig mogelijk gaat. Ook is het van belang om een oplossing te implementeren die back-ups kan maken van zowel Exchange, SharePoint Online als OneDrive for Business.
De balans in verantwoordelijkheid voor security en back-up mag dan wel verschoven zijn, het belang van het beschermen van bedrijfsgevoelige gegevens is nog net zo hoog als eerst, als het niet al hoger is.
Als bedrijf hoef je helemaal niet vast te zitten aan Office 365. Je kan net zo goed Office 2016 of 2019 gebruiken en dan zelf je backup naar een NAS of SAN laten gaan. Goede IT Security software (die je toch al moet hebben, dat verschilt niet van elkaar), hardware firewall er tussen en niemand komt aan je gevoelige data.
Het scheelt behoorlijk wat aan operationele kosten per jaar en je hebt je data (mits je e.e.a. goed configureerd) altijd binnen handbereik
Mee eens Hans. Zelf save ik mijn WP51 bestanden op floppy en anders heb ik altijd nog de hardcopies die ik in gekleurde ordners bewaar. Als je je pc niet gebruikt, trouwens altijd uitzetten, tegen hackers.
De 3-2-1 regel stelt dat je 3 kopiëen hebt waarvan er 2 on-site op VERSCHILLENDE informatiedragers en 1 off-site, een opzet die je ook in de ‘cloud’ kunt realiseren als we uitgaan van het in Nederland veel gebruikte co-locatie concept. Je moet dan wel rekening houden met het risico van discontinuïteit als gevolg van een faillissement zoals ik in een eerdere opinie schreef:
https://www.computable.nl/artikel/opinie/cloud-computing/5020126/1509029/wa-verzekering-in-de-cloud.html
Archiveren is een geheel ander proces maar als ik kijk naar de wijze waarop er met e-mail omgegaan wordt denk ik dat de meeste voorkomende oorzaak van datalekken hier gezocht moet worden.
Uitstekende reactie van Hans van Veenendaal. Als er al iets zeker is dan is het wel de hiaten in de vele en verschillende systemen icm cloud achtige technieken en platforms. Uiteindelijk, als er werkelijk iets gebeurd, dan ben je als MKB-er meest zelf het haasje en heb je de tijd, kennis en zin niet je te verdiepen in de vraag wie nu waar verantwoordelijk voor is.
Je wil zo snel mogelijk gewoon up en running zijn. Adviseren dat een eigen back up achterhaald zou zijn als je als provider geen 99.99% garantie kunt geven op de integriteit van data? Immers, als er ook maar iets uitvalt tussen de MKB’er en cloudleverancier dan kan de MKBér niet bij haar/zijn data. Er zijn zelfs meerdere redenen aan te voeren waarom je MKB juist zou adviseren zelf de kopieen in eigen beheer te nemen en te houden. Voor het geld en ‘in geval van…’ hoef je het niet te laten. Maar voor de bestaande risico’s wel degelijk.
Office 365 biedt wel degelijk middelen om data langer dan 30 dagen veilig te stellen, bijvoorbeeld via retention policies. Toch kan het nog steeds zinvol zijn om back-ups buiten Office 365 te bewaren, bij voorbeeld voor archief vorming of disaster recovery.
Off topic, maar wat mij verbaast bij reacties op publicities rondom Office 365, is dat Office 20xx wordt aangedragen als alternatief voor Office 365. In mijn beleving zijn het volledig verschillende zaken. Office 20xx is suite van producten voor content creatie. Office 365 biedt uitgebreide on-line diensten voor samenwerking, waar producten voor content creatie een onderdeel van kunnen zijn.