Disaster Recovery Testing – Wat als alles echt op zwart gaat?

31/03/2022

Laten we de koe meteen bij de horens vatten. Je hebt je back-up op orde, je bent ervan overtuigd dat je een kopie hebt van al je belangrijke data. Hé, je hebt zelfs een disaster recovery plan met bijbehorende state-of-the-art software. Alle lampjes staan op groen. Je bent voorbereid op iedere ramp die de organisatie kan treffen. Als het dan toch moet, laat die ramp maar komen? Toch…?

Nou... niet dus.

Er is een kloof is tussen perceptie en realiteit als het gaat om de mate waarin bedrijven klaar zijn voor disaster recovery. Het vertrouwen welke organisaties uitspreken, strookt niet met de realiteit. De ontwikkelingen in cyber security gaan razendsnel. Niemand kan de ontwikkelingen en de extreme groei van cyberaanvallen voorspellen.

Vertrouwen op alleen je disaster recovery plan is niet genoeg

Onderzoek uitgevoerd onder bedrijven in Australië, Noord-Amerika, Duitsland, Frankrijk en het VK over ‘ransomware readiness’ kwam tot een soortgelijke conclusie. Veel organisaties hebben vertrouwen in het vermogen om te herstellen van een aanval, maar de meeste voeren maar één keer per jaar een disaster recovery test uit. Uit de survey blijkt dat een kwart van de ondervraagden het disaster recovery plan helemaal niet test. Van diegene die wel testen doet bijna 40% dat maar één keer per jaar. Dat is veel te weinig.

"Wij spreken klanten waar de tapes weer uit de kast komen omdat de trend is dat online back-ups ook worden gehackt."

Roel Rens

Een geteste disaster recovery is veel goedkoper dan eentje die niet getest is

Een Disaster Recovery-test genereert geen inkomsten en kost tijd en middelen. Als je ergens kosten wilt besparen dan is dat meestal op testen. Dat is vragen om problemen. Je kan het vergelijken met de verdediging van ons land. In een visiestuk voor 2035 zegt defensie letterlijk; ‘Defensie mist het aanpassingsvermogen om met de onvoorspelbaarheid om te gaan van waar, wanneer en tegen wie moet worden opgetreden. Nieuwe ontwikkelingen worden onvoldoende bijgehouden en de mensen die we nog hebben zijn onvoldoende toegerust, geoefend en getraind’. Zonder hulp van buitenaf zijn we nergens, met als gevolg dat we door de huidige ontwikkelingen rondom de Oekraïne enorme veel geld gaan uitgeven om onze verdediging weer op orde te brengen.

Zolang er geen acute dreiging is geloven we het allemaal wel

In de realiteit blijkt geld niet de grootste uitdaging voor het gebrek aan Disaster Recovery testen. Andere dringende zaken eisen de aandacht op zoals de snelle groei van data en de ontwikkeling van de steeds complexere IT-omgeving. Er is simpelweg gewoon geen tijd. Veel IT-managers besteden hun tijd liever aan andere zaken als er geen acuut probleem is. Tenslotte heb je het ingericht, het draait en de lampjes staan op groen. Regelmatig testen is echter de enige manier om zeker te weten dat je er echt klaar voor bent wanneer de boel op zwart gaat. Alleen als je iets zeker weet je kan echt voldoen aan wet- en regelgeving en certificering. Disaster recovery-testing is daarom een belangrijk onderdeel van je ‘business continuity’ plan.

Testen alleen is niet voldoende?

Iedere IT-omgeving is continue aan verandering onderhevig. Nieuwe technologie en updates zijn aan de orde van de dag. Test daarom minimaal één keer per maand. Breng in kaart hoeveel data je mag missen en hoeveel tijd je nodig hebt om de organisatie weer op gang te krijgen.

Maandelijkse testen

Ik hoor je denken. Iedere maand testen? Dat vraagt nogal wat van onze organisatie. De maandelijkse test kan daarom een leestest zijn, waarbij het plan door het disaster recovery team wordt doorgenomen. Nieuwe ontwikkelingen binnen de organisatie worden toegevoegd of aangepast. Tip; bewaar je plan ook altijd op een veilige plek offline. Het lijkt logisch, maar je wilt niet weten hoeveel organisaties dat niet goed geregeld hebben. Naast de leestest voer je iedere maand een data test uit. Controleer hierbij of je een stukje kritische data kan terughalen uit de back-up.

Ieder kwartaal testen

Elk kwartaal testen met alle stakeholders is toch wel echt het minimum als je je zaken goed op orde wilt hebben. Regelmatig testen geeft bovendien vertrouwen. Collega’s weten wat ze moeten doen en het herstelproces zal na een rampscenario efficiënter verlopen. Bij deze test worden individuen geconfronteerd met de gevolgen van een rampscenario.

Jaarlijks testen

Voer ieder jaar een simulatie uit. Deze test vraagt om tijd en middelen. Afhankelijk van het type organisatie ga je hier testen met schaduw systemen doormiddel van bijvoorbeeld een parallel test. Deze test is bedoeld om te evalueren hoe goed het herstelproces werkt, waarbij een virtuele machine wordt gebruikt om het systeem te "herstellen", terwijl deze in je normale infrastructuur blijft draaien.

Testen alleen is niet voldoende, het is zeker zo belangrijk om de resultaten te analyseren. Zo weet je waar de uitdagingen zitten. Communiceer deze analyse ook met de betrokkenen zodat ze begrijpen wat er speelt.

Angst is een geweldige motivator

Berichten over grote en bekende organisaties waar de systemen compleet plat worden gelegd door hackers zorgen er gelukkig voor dat steeds meer bedrijven de disaster recovery plannen evalueren.

Raadpleeg een specialist

Conclusie: Disaster Recovery Testing is niet niks. Het vergt organisatorische inspanningen, er moet veel vooraf geregeld en bepaald worden en het testen zelf verloopt het beste via een sterke strategie. Het doel is duidelijk; voorkomen dat alles op zwart gaat. Misschien kunnen onze experts jouw organisatie helpen? Neem vrijblijvend contact op.