Nu we massaal overstappen op hybride werken is het zaak voor organisaties om te onthouden dat het beheer en de bescherming van data van bedrijfskritisch belang zijn. Het inrichten van een hybride werkomgeving met saas-oplossingen zoals Office 365 biedt tal van voordelen. De inzet van saas-oplossingen voor hybride werken kan echter achterdeurtjes openzetten waarlangs cybercriminelen toegang tot het bedrijfsnetwerk krijgen.
Er zijn zestig miljoen gebruikers van Microsoft Office 365 (saas-)applicaties. Deze waaier van tools bestaande uit Exchange, OneDrive, SharePoint en Teams maakt data op elk gewenst moment en op elke gewenste locatie beschikbaar. Tijdens de coronacrisis stelden ze ons in staat om te blijven vergaderen, samenwerken en innoveren, ook als we niet op dezelfde locatie konden werken. Maar in welke mate zijn deze applicaties en hun bijbehorende data beschermd en herstelbaar? Dit is een belangrijke vraag om te stellen, want er zijn geen tekenen die op een afname van het aantal cyberaanvallen wijzen.
Bedrijven van elke omvang hebben gerichte tools nodig voor de langdurige opslag van data, snel gegevensherstel en het waarborgen van de naleving van sla’s. Zonder een gestructureerd lange-termijnplan kan het herstellen van gegevens weken of zelfs maanden in beslag nemen. Volgens een schatting van Gartner kost downtime bedrijven gemiddeld bijna vijfduizend euro per minuut. Geen enkele organisatie wil daarom een seconde langer offline zijn dan strikt noodzakelijk is.
Waarom zorgen maken over backup en recovery bij saas-platform?
- Toenemende cybercriminaliteit
Het gebruik van saas-oplossingen heeft door de coronacrisis een vlucht genomen. Helaas geldt voor cybercriminaliteit hetzelfde. Neem de recente opleving in ransomware. Deze malware richt zich op gevoelige data in de cloud. Hackers dringen je bedrijfssystemen binnen, versleutelen essentiële gegevens zodat die niet langer leesbaar zijn en vragen vervolgens om een fikse som losgeld in ruil voor het ontsleutelen van je data. Bedrijfsprocessen worden daarmee ernstig verstoord, of zelfs compleet stilgelegd.
Met het oog op deze groeiende bedreiging kan een oplossing voor de bescherming van saas-data als bedrijfsbreed veiligheidsnet dienen. Hiermee kunnen organisaties kopieën van Office 365-data opslaan in een veilige locatie buiten de applicatieomgeving, zodat data na een ransomware-aanval snel is te herstellen.
- Menselijke fouten
Cybercriminelen zijn niet het enige probleem. Onschuldige fouten komen maar al te vaak voor. Denk aan het per ongeluk verwijderen van een gebruikersaccount, het wijzigen van een website of bestand of het wissen van een belangrijk e-mailbericht. Volgens onderzoek zijn fouten van gebruikers en beheerders de oorzaak van bijna de helft van alle gevallen van verlies van saas-data. Het is belangrijk er rekening mee te houden dat het herstellen van data die per ongeluk verloren gaan of worden aangetast veel tijd, energie en mankracht vereist. En van klanten die daar hinder van ondervinden, hoef je weinig geduld te verwachten.
- Compliant blijven
Cyberaanvallen en menselijke fouten kunnen de overeenstemming met de wet- en regelgeving en interne richtlijnen op losse schroeven zetten. Microsoft biedt weliswaar ingebouwde replicatiemogelijkheden, maar het probleem is dat die niet speciaal zijn ontwikkeld om te voldoen aan sla’s voor het herstel en de bewaring van data. Met een robuuste back-up- en recovery-oplossing voor saas-data kunnen organisaties beschikken over onbeperkte opslagcapaciteit en bewaarperioden en uitgebreide herstelopties die veel verder gaan dan de ingebouwde mogelijkheden van Office 365. Beheerders kunnen op die manier voldoen aan de strenge eisen van sla’s en compliant blijven.
Wat zijn overwegingen bij planning van back-up- en recovery-strategie voor saas?
Moderne bedrijven hebben onder meer behoefte aan lange-termijnopslag, fijnmazige back-upmogelijkheden, scheiding van gegevensbronnen en flexibele herstelopties. Deze mate van grip op zaken voorkomt niet alleen gegevensverlies, maar maakt ook een einde aan downtime door bedrijven de mogelijkheid te bieden om data sneller, nauwkeuriger en op elke gewenste schaal te herstellen. Branche-experts raden aan om oplossingen van externe leveranciers in te zetten als laatste verdedigingslinie. Hier zijn drie punten om van begin af aan rekening mee te houden:
- Omarm automatisering
Hoe groot of klein je organisatie ook is, het automatiseren van het back-upproces voor je Office 365-omgeving is een belangrijke eerste stap op weg naar het beschermen van je data en het waarborgen van snel gegevensherstel. Als je regelmatig back-ups van je bestanden maakt, maakt je organisatie aanzienlijk meer kans om van een systeemstoring of malware-aanval te herstellen.
- Zorg voor fijnmazige herstelmogelijkheden
Ga op zoek naar een oplossing waarmee je alle SaaS-data in een handomdraai kunt vinden. Organisaties moeten in staat zijn om gerichte herstelprocedures uit te voeren, bedrijfskritische datasets te behouden en productie- en sandbox-omgevingen eenvoudig te beheren. Dit vraagt om fijnmazige zoek- en herstelmogelijkheden. Maar het is ook een goed idee om tools voor point-in-time recovery en herstel op versieniveau in te zetten, zodat je in een noodgeval direct weer over je gegevens kunt beschikken.
- Zorg voor gelaagde beveiliging
Effectieve databescherming maakt het tegelijkertijd eenvoudiger om compliancy te waarborgen. Ga op zoek naar een oplossing die aan strenge normen voldoet en mechanismen biedt voor privacybeheer en zero-trust-toegang. Die oplossing zou idealiter ook moeten voorzien in de opslag van back-ups op een veilige geïsoleerde locatie, ingebouwde GDPR/AVG-compliance en encryptie tijdens de opslag en overdracht van data. Een gelaagde beveiligingsaanpak biedt daarnaast de mogelijkheid om mechanismen voor op rollen gebaseerde sso- en saml-authenticatie toe te voegen.
Er wordt vaak aangenomen dat cloudproviders zoals Microsoft verantwoordelijk zijn voor het beheer van hun saas-oplossingen en het beschermen van de data die daarin worden gegenereerd en opgeslagen. Maar Microsoft hanteert net zoals cloudproviders Google en Salesforce een shared responsibility-model. Dat betekent dat Microsoft verantwoordelijk is voor het op peil houden van de infrastructuur, uptime, beschikbaarheid en toegang. Klanten blijven echter verantwoordelijk voor de bescherming van alle data die de saas-applicaties binnengaan en verlaten en daarin worden opgeslagen.
Daarom is het belangrijk dat it-beheerders en professionals inzien dat hun organisatie zelf zorg moet dragen voor de bescherming van Microsoft 365-data. En het is belangrijk om die verantwoordelijkheid serieus nemen. Organisaties moeten de bescherming van hun Office 365-omgeving onder de loep nemen en waar nodig herzien voordat het te laat is.
De titel is niet geheel correct omdat je uiteindelijk alleen maar de regie over je EIGEN data pakt, niet over het systeem welke een verantwoordelijkheid is van de provider. En ik spreek over eigen data omdat het een eigen verantwoordelijkheid is van de organisatie in een shared responsibility-model doordat er allerlei lokale straf-, civiel- en tuchtrechtelijke regels zijn waaraan je moet voldoen zoals het scheiden van privé data. Compliance is tenslotte meer dan bewaren en de simpele vraag hoe het zit het met de Whatsapp van een natuurlijke persoon die handelt uit naam van de rechtspersoon is nog niet zo eenvoudig te beantwoorden, zeker niet bij BYO. En door alle compliance aspecten kunnen we eigenlijk niet meer over back-up spreken want bewaar je deze lang dan ben je eigenlijk aan het archiveren.