Met ons stappenplan stel je een goede basis op voor het back-up & disaster recovery-plan van jouw organisatie. Een goede voorbereiding is namelijk essentieel om snel en adequaat te reageren bij calamiteiten. Ligt er al een plan? Doorloop hem dan eens aan de hand van de stappen voor een extra check.
Stap 1: stel de relevantie vast
Bepaal welke functionaliteiten en informatie kritiek zijn voor het draaien van jouw organisatie. Vraag je hierbij af hoe belangrijk elke functionaliteit en informatie is en wat de gevolgen zijn als deze verloren gaan. De prioriteitenmatrix geeft de verschillende gradaties waar functionaliteiten en informatie in worden onderverdeeld overzichtelijk weer. Belangrijke minder urgente zaken en minder belangrijke urgente zaken worden soms samengevoegd tot één categorie. Een afweging maken tussen kritiek, belangrijk en minder belangrijk voor alle functionaliteiten binnen jouw organisatie is niet alleen essentieel voor het stellen van prioriteiten, maar helpt ook bij de kostenafweging. Hoe meer kritieke functionaliteiten en informatie van belang zijn voor het draaien van jouw organisatie, des te hoger de investering die nodig is voor back-up en disaster recovery. Wanneer je back-up & disaster recovery als dienst afneemt is de investering lager. Je maakt er immers alleen gebruik van wanneer het nodig is.
Stap 2: bepaal de downtijd
De volgende stap van het back-up & disaster recovery-plan is het bepalen van de maximale lengte van de downtijd (recovery time objective). Dit is de periode waarin functionaliteiten en informatie niet beschikbaar zijn. Bij een calamiteit is hier helaas geen ontkomen aan, maar het is van belang om alles zo snel mogelijk weer draaiende te krijgen. Beoordeel voor elke functionaliteit die je bij de eerste stap hebt ingevuld hoelang deze maximaal down mag zijn. Maak voor elke functionaliteit een onderscheid tussen downtijd voor back-up en voor disaster recovery. Ook hier spelen kosten een rol. Hoe korter de downtijd, hoe hoger de investeringen.
Stap 3: bepaal het dataverlies
Nadat de maximale downtijd per functionaliteit is vastgesteld bepaal je de maximaal toelaatbare hoeveelheid dataverlies (recovery point objective) na bijvoorbeeld een servercrash of calamiteit. Beoordeel per functionaliteit wat het dataverlies mag zijn. Voor de kosten geldt weer: hoe minder dataverlies is toegestaan, hoe duurder de oplossing wordt. Het synchroon repliceren van data stelt alle data veilig, maar de investering is vele malen hoger dan wanneer data asynchroon wordt opgeslagen. Die laatste optie heeft het risico dat data verloren kan gaan.
Stap 4: stel de uitwijkvoorzieningen vast
Waar wijk je als organisatie naar uit wanneer een calamiteit plaatsvindt? Dit kan zowel intern, extern als in de cloud. Intern kun je uitwijken naar een ander gedeelte van het pand, waar bijvoorbeeld een extra serverruimte staat of waar het systeem opnieuw opgestart kan worden. Heeft jouw organisatie twee of meer locaties? Wijk dan uit naar een van de andere locaties. Dienstverleners of datacentra kunnen ook als externe locatie dienen. Bij het regelen van uitwijkvoorzieningen is het belangrijk goed na te denken over de noodzaak. Beantwoord onderstaande vragen om een volledig beeld te krijgen over de uitwijkvoorzieningen die voor jouw organisatie belangrijk zijn:
- Kies je voor een uitwijklocatie intern, extern of als dienst in de cloud?
- Welke functionaliteiten en informatie zijn nodig om jouw organisatie draaiende te houden (zie stap 1)?
- Voor welke gebruikers wil je een uitwijkvoorziening, allemaal of slechts een gedeelte?
- Hoe snel moet de uitwijkomgeving beschikbaar zijn?
Stap 5: stel een calamiteitenplan op
Een compleet calamiteitenplan bevat onder andere een ICT-sectie en een disaster recovery-plan. Een ICT-gericht calamiteitenplan spitst zich allereerst toe op de calamiteiten die van invloed kunnen zijn op de ICT. Dit kan een grote brand of overstroming zijn, maar ook een calamiteit die minder zichtbaar is. De functionaliteiten en informatie die zo snel mogelijk in de lucht moeten zijn komen terug in het calamiteitenplan. Gelukkig heb je deze al bepaald in stap 1.
Een aantal van de belangrijkste aandachtpunten voor een calamiteitenplan op een rijtje:
- Leg vast wie bepaalt of er überhaupt sprake is van een calamiteit. Heeft deze persoon de bevoegdheid hiervoor? Wie is een eventuele vervanger?
- Wijs iemand aan die de ernst van de calamiteit beoordeelt en bepaalt of het probleem binnen de gestelde normen van de back-up & recovery hersteld kan worden. Zo niet, dan moet worden uitgeweken.
- Bepaal welke kritieke functionaliteiten als eerste weer moeten werken. Dit heb je gedocumenteerd in stap 1 tot en met 3.
- Kies een regisseur bij calamiteiten en bepaal wie de plaatsvervanger is. Hebben beide personen een beslissingsbevoegdheid?
- Neem een actuele lijst op van alle contactgegevens van organisaties, instanties en personen waar je contact mee moet leggen in geval van een calamiteit.
Stap 6: test je plan
Je hebt stap 1 tot en met 5 doorlopen en er ligt al een goede basis voor een disaster recovery-plan. Elke functionaliteit in je organisatie is gecategoriseerd. De maximale downtijd, het maximale dataverlies en de uitwijkvoorzieningen zijn vastgelegd. ICT maakt een belangrijk onderdeel uit van het calamiteitenplan. Maar nu? Zoals bij alle plannen is het tijd om te testen. Tijdens een calamiteitenoefening check je of alles goed verloopt, inclusief uitwijk. Alleen door het plan te testen kun je alle essentiële zaken nalopen, controleren en waar nodig aanpassen. Zo weet je zeker dat jij goed voorbereid bent wanneer zich een calamiteit voordoet. Bespreek met het management van je organisatie hoe vaak alle onderdelen getest worden. Voor bepaalde organisaties zijn zelfs richtlijnen opgesteld voor het testen van calamiteitenplannen. Ook is het raadzaam om alle onderdelen opnieuw te testen zodra er (grote) veranderingen aan de infrastructuur zijn doorgevoerd.
Stap 7: zorg voor actualisering en onderhoud
Er ligt een sterke basis: je bent goed voorbereid wanneer zich een calamiteit voordoet. Nu is het van belang om het back-up & recovery- en disaster recovery-plan actueel te houden. Worden functionaliteiten en informatie toegevoegd aan de infrastructuur van jouw organisatie? Zorg dat ze in het overzicht worden meegenomen. Ook het doorvoeren van andere contactpersonen en verantwoordelijken is essentieel. Zorg ervoor dat je niet voor verrassingen komt te staan bij een calamiteit!
Klaar voor jouw eerste stappen?
Om het je gemakkelijk te maken hebben we een handig format opgesteld. Hierin kun je overzichtelijk stap 1 tot en met 3 invullen voor jouw organisatie. Het ingevulde schema komt goed van pas voor de volgende stappen. Lees meer over back-up & disaster recovery
