Disaster Recovery en GDPR en AVG

Disaster Recovery en GDPR en AVG

Disaster Recovery
Wat? Ramp? Bedrijven denken vaak dat een strategie omtrent disaster recovery overbodig is. Er wordt gedacht het is niet iets dat ik nodig heb. Waarom zou ik hier veel geld aan uitgeven? Mijn bedrijfsgebouw is veilig en brandveilig.
Een IT-ramp is vaak het gevolg van menselijke fouten en/ of ransomware (link: https://nl.wikipedia.org/wiki/Ransomware). Wanneer een ICT-afdeling (intern of extern) software patches op belangrijke (productie)systemen installeert kunnen er onverwacht productieverstoringen optreden. Vaak zijn de gevolgen dan vooraf niet goed ingeschat en niet te over zien. Er zijn inmiddels veel voorbeelden bekend van gevallen van ransomware, vaak onbedoeld veroorzaakt door één van de (eigen) gebruikers, maar wel met ernstige gevolgen.
Gelukkig zijn er diverse opties om zware productieverstoringen te voorkomen.

De algemene regel is: bewaar drie kopieën. Waarvan twee on-site en één externe kopie (3-2-1 regel).

Algemene beschrijving Disaster Recovery (DRaaS)
In de perfecte wereld maken we gebruik van een primaire bedrijfslocatie (bijvoorbeeld een serverruimte op een hoofdkantoor van een bedrijf of een primair datacenter welke een bedrijf primair gebruikt) en een offlocatie bedrijfslocatie in dit geval kan de primaire bedrijfslocatie een failover starten naar de externe bedrijfslocatie (beide eigendom van de klant). Dit deel van de IT-infrastructuur wordt steeds vaker in een datacenter ondergebracht (in een muti-datacenter constructie).

Deze (DRaas) locaties beschikken normaal gesproken over gerepliceerde opslag en vaak over een uitgerekt netwerk(stretched vlan). Wanneer dit niet mogelijk is (of niet wenselijk vanuit de business), kan de DRaaS-locatie als de secundaire (uitwijk) locatie dienen.
In de media zijn er inmiddels diverse gevallen besproken van onvoorziene uitval (productieverstoring) bij bedrijven. Dit maakt bedrijven pijnlijk bewust van de noodzaak van Disaster Recovery (DR) en dat een DR-strategie noodzakelijk is. Het anticiperen van uitval van een datacenter (of een onpremise situatie) gaat echter niet alleen over een effectieve DR-strategie, maar meer over het verminderen van de bedrijfsimpact!

Enkele voorbeelden:
https://www.forbes.com/locaties/leemathews/2017/08/16/notpetya-ransomware-attack-cost-shipping-giant-maersk-over-200-million/#198ecf124f9a

https://www.nu.nl/internet/4691349/parkeerbedrijf-q-park-kampt-nog-steeds-met-ransomware-aanval.html

Failover / DR-planning is een tweeledig proces.
– De primaire locatie mislukt, de secundaire locatie wordt gestart
– Primaire en secundaire locatie mislukken, de DR-kopie start.


Referenties:
https://en.wikipedia.org/wiki/Recovery_point_objective
https://nl.wikipedia.org/wiki/Recovery_point_objective

DRaaS beschikbaarheid:
Om hoge beschikbaarheid te garanderen, wordt bedrijfsdata gekopieerd naar een externe locatie in een extern datacenter. De kopie van de bedrijfsdata wordt DRaaS genoemd (Disaster Recovery as a Service), DRaaS wordt alleen alleen ingezet in het geval dat de primaire en secundaire locatie falen c.q. down zijn. Idealiter is een DRaaS locatie op een minimale geografische afstand van meer dan 40 km van de primaire en secundaire locaties (dit in verband met een regionale calamiteit). In een DRaaS situatie wordt data wordt met een vertraging (a-synchroon) geschreven. Het is ook mogelijk om een gedeeltelijke DR-failover uit te voeren. Zodat je bijvoorbeeld: alleen e-maildiensten hersteld of een ERP-systeem hersteld.

Vaak wordt de public cloud gebruikt als een DRaaS-locatie (MS Azure, Amazon AWS). Zie onze blog over de Hybid cloud (https://www.itvalidation.nl/blog-post/de-hybride-cloud/).

Er zijn verschillende scenario’s, waarin een secundaire locatie niet in staat is om gebruikers van dienst te zijn. Deze scenario’s omvatten o.a:
• Stroomuitval in de regio;
• internetmislukkingen in de regio;
• Virus / malware-infectie;
• Natuurrampen.

Bruikbaarheid DRaaS
In het geval van calamiteitenherstel worden in het algemeen de volgende stappen genomen om de beschikbaarheid te blijven garanderen:
• Zorg ervoor dat de primaire locatie en secundaire locatie niet beschikbaar zijn en niet binnen redelijke tijd herstellen;
• Start de herstelomgeving (neem contact op met de DRAAS-provider en start servers);
• Toegankelijkheid testen;
• Herstel van beschikbaarheid.

Test scenario DRaaS
Het wordt aanbevolen om het DRaaS scenario minstens één keer per jaar (bij voorkeur vaker) uit te proberen. In een gecontroleerde omgeving kan een situatie in de praktijk worden gesimuleerd.

GDPR en AVG
De komende EU Databescherming Regulering GDPR vraagt van organisaties wereldwijd dat zij de data beveiligen die zij beheren en bezitten van Europese burgers. In Nederland zullen GDPR richtlijnen vertaald worden in de wetgeving AVG. De AVG wetgeving zal per 25 mei 2018 actief zijn en gehandhaafd worden. ITValidation kan uw organisatie helpen met het mitigeren van de AVG wetgeving op uw organisatie.

Meer informatie AVG:
https://europadecentraal.nl/onderwerp/informatiemaatschappij/gegevensbescherming-en-de-avg/

Wat nu te doen en meer informatie
ITValidation kan u helpen met een continuïteitsplan en met gedegen (DRaaS) testplannen zodat uw organisatie beter beschermd is tegen het verlies van bedrijfsdata.

Neem contact op met ITValidation als u de diverse DRaaS opties voor uw zakelijke omgeving wilt bespreken met ons of als onze hulp nodig heeft inzake GDPR of AVG. Meer contactgegevens vindt u op onze contactpagina https://www.itvalidation.nl/contact/.

Voor meer informatie, neem vrijblijvend contact met ons op.

Vragen? Neem contact met ons op!

085-0292296

info@itvalidation.nl