Toen de meeste bedrijven nog eigen datacenters hadden, werden ze meestal geacht zelf voor de back-up van hun data te zorgen. Tegenwoordig gaan veel bedrijven er vanuit dat hun SaaS-provider dat voor hen regelt. Helaas is dat niet altijd het geval, met alle risico’s van dien. Lees hier hoe je in vier stappen een eigen cloud back-up strategie ontwikkelt.
Steeds meer bedrijven stappen over naar cloud gebaseerde kantoorsoftware als Office 365. Dit betekent dat de aanbieder, Microsoft in dit geval, verantwoordelijk is voor de beschikbaarheid en ook voor de disaster recovery als de dienst uitvalt. De gegevens in het platform zijn echter eigendom van de bedrijven zelf en daarom is het hun verantwoordelijkheid om ze te beveiligen. Gegevens kunnen echter nog steeds verloren gaan of niet meer beschikbaar worden, bijvoorbeeld als gevolg van:
- Onopzettelijke verwijdering
- Opzettelijke verwijdering
- Bestandscorruptie
- Cyberaanvallen en ransomware
Kortom: de behoefte aan goede informatiebeveiliging is groter dan ooit. Reden temeer voor cloudgebruikers om actie te ondernemen en een effectieve back-up strategie te ontwikkelen. Hiervoor zijn de volgende stappen noodzakelijk, waarbij we voor het gemak Office 365 als voorbeeld nemen.
Bepaal het beleid en de vereisten
De back-up behoeften van elk bedrijf zijn verschillend. In sommige sectoren moet bijvoorbeeld aan bepaalde wetgeving en andere voorschriften voldaan worden. Om te beginnen moet een organisatie daarom een eigen service level agreement (sla) opstellen en de vereisten voor de back-up van zijn gegevens definiëren. Hierbij adviseer ik de volgende zaken in overweging te nemen:
* Recovery point objective (rpo): Hoe vaak moet een organisatie zijn gegevens back-uppen, zodat de hoeveelheid verloren gegevens in het geval van een stroomstoring niet groter is dan acceptabel voor de bedrijfsvoering?
* Recovery time objective (rto): Wat is de tijdsduur waarin gegevens hersteld kunnen worden na een storing of ramp, en wat is acceptabel?
* Recovery granularity objective (rgo): Op welk detailniveau wil je gegevens kunnen herstellen? Is dat bijvoorbeeld per individuele mailbox of per individuele e-mail?
* Content: Welke typen content en welke platformen wil je back-uppen?
* Bewaarperiode: Hoe lang wil je de back-up van je gegevens bewaren? En verschilt dat per opslaglocatie, bijvoorbeeld Microsoft Teams en SharePoint versus Exchange?
Bepaal hoe dit van toepassing is op Office 365
Bekijk vervolgens hoe je back-up beleid in Office 365 toegepast kan worden. Volgens de bovenstaande criteria biedt Office 365 hier de volgende opties voor:
* 30 dagen in de Recycle Bin voor eindgebruikers, 30 dagen in de Second-Stage Recycle Bin, en nog 33 dagen door gebruik te maken van PowerShell.
** Verwijdering nadat de werknemer/gebruiker het bedrijf heeft verlaten.
*** Het is belangrijk op te merken dat Project Online deel uitmaakt van de content-database en als zodanig volledig wordt geback-upt. Om die reden is er geen aparte optie voor het herstellen van één enkel object beschikbaar.
Oplossingen van derden
Als de ingebouwde functionaliteit voor back-up in Office 365 niet tegemoet komt aan het beleid van je organisatie, raden Gartner en Forrester aan om hiervoor oplossingen van derden te overwegen en te implementeren. Houd er rekening mee dat veel leveranciers weliswaar reclame maken voor Office 365-backups, maar dat ze vaak alleen exportmogelijkheden van Exchange Online naar een .pst-bestand aanbieden. Naast dat dit problemen met de databescherming kan veroorzaken, bestaat Office 365 uit meer dan alleen Exchange. Er kan ook tal van belangrijke data op de volgende locaties opgeslagen zijn:
- SharePoint
- OneDrive for Business
- Office 365 Groepen
- Microsoft Teams
- Project Online
- Dynamics 365
Bij de vergelijking tussen verschillende leveranciers met back-updiensten, zou je daarnaast nog de volgende zaken in overweging moeten nemen.
- Gebruik van eigen private encryptiesleutels, zodat je altijd zelf je back-upgegevens beheert en niet de leverancier.
- Gebruik van verschillende opslagproviders. Als je de risico’s verder wilt beperken, is het een optie om back-ups bij verschillende opslagproviders onder te brengen, en wellicht zelfs in je eigen datacenter op locatie. Let hierbij op alle voors en tegens bij de opties die verschillende opslagproviders aanbieden, zoals bandbreedte of extra kosten voor gegevensoverdracht.
- Ook het releasemanagement van SaaS-oplossingen van derden is belangrijk. Cloudproviders hebben de neiging om snel nieuwe productupdates door te voeren die soms de cloud-omgevingen van een klant verstoren. Goed en regelmatig releasemanagement van een third-party SaaS-aanbieder is daarom van cruciaal belang.
Let er ten slotte op dat cloudproviders een ISO-beveiligingscertificering hebben voor de platformen die ze gebruiken (MSFT, AWS, Google), evenals voor hun eigen infrastructuur. ISO 27001 is een goede basis.
Monitoring en verificatie
Nadat alle gegevens binnen een organisatie in een back-up zijn opgeslagen, is het van cruciaal belang om die te blijven monitoren via (1) back-up dashboards en logboeken en (2) door regelmatige recovery-tests te plannen. Hiermee kun je vaststellen of de huidige processen goed werken en of beveiligde objecten nog steeds succesvol hersteld kunnen worden. Ik adviseer de volgende regelmaat:
Met deze vier stappen zou je in staat moeten zijn om een nieuwe of een betere Office 365-back-upstrategie te ontwikkelen. Als je aan strenge (wettelijke) eisen moet voldoen, kunnen intuïtieve oplossingen van derden je helpen de standaard back-upfunctionaliteit van Microsoft op een eenvoudige manier uit te breiden. Ik hoop in elk geval dat deze stappen je op weg helpen om bedrijfsgegevens in Office 365 beter te beschermen en ongewenst dataverlies te voorkomen.
