Disaster Recovery 2.0: hoe bescherm je je organisatie tegen het onvoorspelbare?

Hoewel niet nieuw, staat DRaaS weer volop in de belangstelling

Onvoorspelbaarheid hoort bij het leven. Een overstroming, storm, aardbeving of andere natuurramp kan het openbare en het zakenleven volledig tot stilstand brengen. Veel bedrijven denken dat het hen niet overkomt. Zij zijn verzekerd tegen eventuele schade en denken dat ze het daarmee goed hebben geregeld. Een verzekering dekt inderdaad eventuele directe schade, maar dat is nog geen oplossing voor een dringender probleem: langdurige downtime waardoor er geen IT-diensten mogelijk zijn en de totale bedrijfsvoering dus flink wordt aangetast.

Ongeacht de oorzaak – een natuurramp, een technisch probleem of een menselijke fout – uitval van de IT-omgeving heeft ingrijpende gevolgen. Maar de vermeende kosten en complexiteit van disaster recovery-plannen weerhouden bedrijven ervan er concreet mee aan de slag te gaan. Daardoor zijn veel organisaties afhankelijk van gedateerde of niet-geteste processen of – erger nog – hebben ze geen enkel herstelplan.

En wie wel een plan had, hanteert de oude ‘zestien kilometer’-regel die zegt dat twee back-ups ten minste zestien kilometer van elkaar vandaan opgeslagen moeten worden. Maar nu natuurrampen hele steden of zelfs hele regio’s treffen, hebben dit soort regels weinig betekenis meer. Bedrijven moeten nu vertrouwen op de cloud en Disaster Recovery as a Service (DRaaS) om er zeker van te zijn dat hun applicaties en data goed beschermd zijn.

Uitval kost geld

De gevolgen van een uitval van de IT-omgeving kunnen zeer uiteenlopend zijn. Enerzijds is er uiteraard verlies van arbeidsproductiviteit. Volgens Gartner verliest een organisatie gemiddeld 5.600 dollar voor iedere minuut aan downtime.

Naast de interne arbeidsproductiviteit is er de druk op bedrijven om ‘always on’-service te bieden aan klanten. In april 2018 had de Britse bank TSB te maken met een grootschalige en langdurige storing waardoor klanten wekenlang niet konden bankieren via de app of internet. Duizenden klanten maakten meldingen van boetes op betalingen of misbruik van hun bankrekening. Een en ander leidde tot acht keer meer klanten die de bank de rug toekeerden. De situatie leidde tot een halfjaarverlies van 176,4 miljoen pond.

Ongeplande uitval kan ieder bedrijf op ieder moment overkomen. IT-teams moeten daarom een plan ontwikkelen dat voorziet in continue beschikbaarheid van data en een zo laag mogelijke impact van een incident op de totale bedrijfsvoering. Disaster recovery is niet langer ‘nice to have’ of een signaal van overbodige bezorgdheid, maar een harde zakelijke eis.

Veiligheid in de cloud(s)

Disaster recovery is veelal gericht geweest op off-site servers of tapes, afhankelijk van hoe ver we teruggaan in de tijd. Tegenwoordig biedt de cloud echter een uitstekend alternatief voor deze traditionele middelen. Dat kan door een dienst af te nemen op basis van Disaster Recovery as a Service (DRaaS) of door zelf back-ups in de cloud te plaatsen. Het voordeel van de cloud is dat een organisatie bij een uitval geen on-premise server hoeft te herstellen en dat IT-teams niet per se naar de recovery-locatie moeten afreizen.

DRaaS is een zeer waardevol cloudmodel. Het concept voorziet in complete disaster recovery door de fysieke of virtuele servers van een organisatie te repliceren. Dankzij DRaaS zijn bedrijfskritische applicaties nagenoeg direct na een incident weer in de lucht te brengen.

Net als andere ‘as a Service’-modellen biedt DRaaS belangrijke voordelen voor ieder type bedrijf. Door de lagere kosten kunnen ook kleinere bedrijven ervan profiteren. Daarnaast zorgt de enorme schaalbaarheid ervoor dat grote bedrijven gemakkelijk capaciteit kunnen afnemen en groei eenvoudig kunnen opvangen.

Verder profiteert ieder type bedrijf van het feit dat beheerders geen kostbare tijd meer kwijt zijn aan eenvoudige back-ups. DRaaS wordt dan ook steeds populairder en groeit naar verwachting jaar op jaar met 25 procent.

Implementeren van DRaaS

Om te komen tot de juiste strategie en de juiste rol van DRaaS, moet een organisatie disaster recovery in de context plaatsen van de totale bedrijfsstrategie. Het beste startpunt is het uitvoeren van een business impact assessment.

Het is onder meer belangrijk te bepalen welke applicaties en bedrijfsprocessen het meest kritisch zijn voor de business. Probeer vast te stellen wat de maximale downtime is voor ieder van die processen. Van daaruit is het mogelijk om in kaart te brengen wat de ideale recovery-doelen zijn voor iedere applicatie en ieder proces.

Het is in dit verband raadzaam om enkele hypothetische scenario’s te doorlopen. Hoeveel dataverlies kunt u aan? Hoe snel moet u weer up en running zijn? Wat kost downtime u in termen van output? Dit type vragen helpt bij het bepalen van de Recovery Time Objectives (RTO’s); de hersteltijddoelstellingen.

Ook compliance is een belangrijke overweging bij het bouwen aan een disaster recovery-strategie. Nu de AVG- en de NIS-richtlijn in werking zijn getreden, moet een organisatie precies weten waar gegevens heengaan als deze gedeeld worden. Iedere betrouwbare serviceprovider heeft dit nu geregeld voor de regio waar hij actief is. Door het juiste platform te kiezen, kan een organisatie gerust zijn dat ze én een goede strategie volgt én voldoet aan wet- en regelgeving.

Wat vaak vergeten wordt, is dat het hebben van een disaster recovery-plan alleen niet genoeg is. Het is ook nodig om de kwaliteit van back-ups regelmatig te testen en ervoor te zorgen dat gegevens goed te herstellen zijn. Een organisatie moet er zeker van zijn dat het plan in de praktijk doet wat ervan verwacht wordt. Het laatste wat u wilt, is erachter komen dat een plan niet helemaal compleet is of – erger – dat niet alle workloads te herstellen zijn.