Geef een disaster recovery simulatieworkshop

Het is eenvoudig om dr-testen uit te stellen, omdat het een kostbare activiteit is, zowel qua uren als qua infrastructuur. Maar wanneer je niet test in een volledig en realistisch scenario, kan dat ervoor zorgen dat je organisatie hopeloos onvoorbereid is op sommige bijkomstige activiteiten, zoals de communicatie en de verantwoordelijkheid voor de uitvoering. De eerste keer dat het crisisteam samenkomt, zou dus nooit tijdens een crisis moeten zijn. 

Het simuleren van een cyberaanval wanneer je om de tafel zit met een paar collega’s vervangt live testen natuurlijk niet, maar het onthult wel dingen waar je anders niet aan zou denken. Deze blogpost helpt je bij het opstellen en uitvoeren van een simulatieoefening voor het testen van je dr-plan. Ik laat je zien hoe je de ontwikkeling van een ramp kunt simuleren en vervolgens je dr-strategie daarop kunt toepassen. 

Het voordeel van zo’n simulatieoefening is de geringe impact op tijd en middelen. Deze oefeningen kunnen een echt beeld geven over hoe (on)voorbereid je bent in het omgaan met een digitale aanval. Lees hier hoe je aan de slag kunt gaan.

De eerste stap bij het uitvoeren van een simulatieoefening is vaststellen wie er betrokken moeten zijn in het geval van een cyberaanval. De simulatie moet leden van het kerncrisisteam bevatten, zoals de cio, de ciso, de i/o-leider(s), it disaster recovery- en de business continuity-manager. Eventueel kunnen ook functies die direct met externe partijen werken in de mix worden opgenomen. Als het salarissysteem bijvoorbeeld plotseling een verzoek om losgeld vertoont, dan moet hr in de loop zitten. Verschillende scenario’s vereisen verschillende stakeholders en het is altijd weer stuitend om te zien hoeveel afdelingen worden getroffen bij een ramp. 

Nu we de lijst met genodigden hebben, wil ik op de zakelijke rechtvaardiging ingaan. Het overtuigen van je team om in de weer te gaan met denkbeeldige hackers en trollen kan een uitdagende stap blijken. Je zult je verhaal op orde moeten hebben om iedereen zover te krijgen hierin mee te gaan. 

Wanneer je het aan je team vertelt, leg dan uit waarom het werken met een fictief dr-scenario goed is voor het out-of-the box-denken en hoe dit je dwingt na te denken over dingen die je nog niet eerder in overweging had genomen. Simulatieoefeningen leren ons om creatiever te zijn en bestaande dr- en business continuity management-plannen verbeteren.

De volgende stap is het begrijpen van je essentiële zakelijke applicaties. Het kwantificeren van het belang van elke individuele toepassing voor het bedrijf kan een uitdaging zijn, dus begin met het identificeren van de applicaties die het bedrijf draaiende houden. Stel jezelf de vraag: wat doet het bedrijf en wat levert het op? Welke diensten worden er geleverd? Wie is daarvoor verantwoordelijk? Breekt de noodtoestand uit wanneer we geen bestellingen kunnen verzenden en ontvangen of is dat slechts een tijdelijk ongemak omdat andere afdelingen gewoon door kunnen blijven draaien? Wanneer je een aanval bijvoorbeeld meet in termen van ‘het aantal goederen per uur dat niet is geproduceerd’, dan kun je bepalen wat echt essentieel is en beschermd moet worden.  

Applicaties maken allemaal deel uit van een keten die het bedrijf draaiende houdt, dus de volgende stap is om erachter te komen hoe alles met elkaar verbonden is. Wanneer je kijkt naar de aanvoer- en distributieketens en het contingentiebeheer, komen de kwetsbare onderdelen scherp in beeld. Ik heb in het verleden workshops zoals deze gegeven en je staat versteld van wat er allemaal ontbreekt tijdens een planning op papier voor dr. Stel dat je een logistiek bedrijf runt, wat gebeurt er dan als je geen nieuwe bestellingen kan doen of zendingen kan volgen? Als je een autofabrikant bent, wat gebeurt er dan als er belangrijke onderdelen van de toeleveringsketen uitvallen? Welke applicaties en diensten ondersteunen die activiteiten (bijvoorbeeld dns, tijdservers en ad)? 

Nu start je met de simulatieworkshop. Begin met het in kaart brengen van de malware-aanval en de schade die deze heeft aangericht, terwijl hij zich voltrekt. Tijdens de aanval zul je veel details ontdekken die tijdens een echte crisis ad hoc behandeld zouden moeten worden. 

Stel jezelf vragen als: is het haalbaar om alle getroffen systemen te herstellen? Hebben we meer informatie nodig? Kunnen we op dit punt redelijkerwijs een back-up terugzetten? Als een replicatie wordt uitgevoerd, hebben we dan snapshots die we kunnen vertrouwen? Wie krijgt wanneer een melding? Is het tijd om de ceo te informeren? Is het tijd om klanten, leveranciers of de media op de hoogte te stellen? Is er een analoge failover mogelijk met papier en potlood of een whiteboard? Dit draagt allemaal bij aan de realiteit van de situatie en zorgt ervoor dat de groep gaat nadenken over welke afdelingen bij al deze taken moeten worden betrokken. De eerste keer zullen ze geheid falen en dat moet ook. 

Nadat het scenario is uitgespeeld, komt er het deel achter de schermen waarbij het gordijn omhoog wordt gehesen.