Cyberdreigingen slaan om zich heen. Ze discrimineren niet: elke organisatie kan blootgesteld worden aan ransomware, een phishing-mail of een datalek. Hoe blijf je overeind, zelfs als het noodlot toeslaat?
Een weerbare organisatie wordt niet uit het veld geslagen met een enkele cyberaanval. Dit principe staat bekend onder de term van business continuity. Dat is wat anders dan de gebruikelijke back-up, waar bijna iedereen wel van gehoord heeft. Maar Hans ten Hove, Area Vice President Continental Europe bij Datto, denkt dat organisaties veel eerder aan continuity moeten denken dan enkel het herstel van je data.
Continuity versus back-up
“Een back-up beschermt je tegen dataverlies. Business continuity beschermt je tegen downtime”, vertelt Ten Hove. Het is een belangrijk onderscheid, want onder continuity wordt verstaan dat je organisatie operationeel blijft. Back-ups bieden die garanties niet en het kan een hels karwei zijn om je IT-infrastructuur terug te zetten. Denk aan al je gegevens en al je programma’s, inclusief de juiste configuraties. “Ben je een productiebedrijf, dan kan de responstijd het verschil zijn tussen het wel of niet voortbestaan van je bedrijf”, aldus Ten Hove.
Vanzelfsprekend spelen back-ups alsnog een kritieke rol in de cyberweerbaarheid van organisaties. Ze vormen de basis voor een herstelplan als al je apparatuur plotseling onbruikbaar is. Ten Hove benoemt echter dat precies die back-ups juist in het vizier staan van 98 procent (!) van aanvallers. En soms ben je helemaal niet zo beschermd als je denkt. Organisaties hebben al meermaals gedacht dat ze te redden waren door een externe back-up die er helemaal niet bleek te zijn, zo benoemt Ten Hove. Dat op orde hebben is een goede start. Met andere woorden: het uittesten van je back-up is van essentieel belang.
Overigens zijn het niet alleen cyberaanvallen die tot problemen leiden. Je moet erop voorbereid zijn dat je IT-apparatuur om wat voor reden dan ook onbruikbaar wordt. “Business continuity zorgt ervoor dat, als een calamiteit zich voordoet, je in een hele korte tijd door kan met je bestaande business.”
Maar wat houdt een business continuity-oplossing precies in? Bij Datto spreekt men over een ‘volledige back-up’; dat is inclusief het besturingssysteem en al je programma’s. Deze bevindt zich op een tweede server naast je actieve machine. Eén kopie wordt naar de cloud gestuurd en één lokale kopie wordt tevens bijgehouden. Het welbekende 3-2-1-principe, ofwel 3 keer dezelfde data op 2 verschillende media (productiedomein, back-updomein) en 1 off-site back-up, houdt hier stand.
Onder de streep is het voordeel duidelijk: daar waar een simpele back-up-oplossing uren of dagen kan vereisen voor een volledig herstel, belooft business continuity deze recovery te leveren binnen enkele minuten. Dat voordeel geeft je de tijd en de rust om je IT-infrastructuur veilig te stellen zonder dat collega’s hun werkzaamheden moeten afblazen.
Prioriteiten helder
Dat klinkt als een schot in de roos voor organisaties. Toch is de inschatting bij hen anders, waarbij de nadruk wisselvallig is en incompleet als het om cybersecurity gaat. Zo bestaat er de aanname dat een hyperscaler je data beschermt. Dat komt vaak voor bij Microsoft 365. De gebruikersovereenkomst biedt alleen geen enkele garantie dat je bij je gegevens kunt komen als er een storing is. Dergelijke storingen komen helaas regelmatig voor. Dit kan voor een organisatie al gauw leiden tot het mislopen van inkomsten, maar ook tot boetes op basis van cyberwetgeving.
“Business continuity zou een prioriteit moeten zijn in de begroting, maar het is bij organisaties vaak een sluitpost”, laat Ten Hove van Datto weten. Dat gaat regelrecht in tegen de realiteit. Je kunt het je als organisatie niet veroorloven om onderuit te gaan, weet Ten Hove. “De eerste euro die je uitgeeft aan security, zou je eigenlijk in een business continuity-oplossing moeten stoppen. Je moet er vanuit gaan dat ook je overige oplossingen een keer niet reageren. En als er een gebruikersfout is, dan zal je EDR- of AV-oplossing niks zeggen.”
Zeven benodigdheden
Onder de motorkap bestaat Datto’s oplossing uit zeven componenten. Het betreft alles van Datto File Protection en Datto Workplace tot Datto Backup for Microsoft Azure en Datto Siris BCDR. Dit pakket aan diensten is ontworpen om security op peil te houden, maar moet ook beheersbaar blijven. Dit omdat mkb’ers vertrouwen op Managed Service Providers (MSP’s), die normaliter niet groot genoeg zijn om 24/7 dekking te bieden. Een MSP bestaat veelal uit circa 50 medewerkers en bedient allerlei kleinere organisaties. Dit in tegenstelling tot bijvoorbeeld het IT-personeel van een bank, waarbij een geheel team zich enkel hoeft bezig te houden met patchmanagement. MSP’s moeten dus hun beperkte middelen zo slim mogelijk inzetten.
Ten Hove vertelt ook dat dit proces om de mkb-klant draait. Wat kan een specifieke organisatie tolereren als het om downtime gaat? Welke applicaties moeten vooral in de lucht blijven, wat kan even wachten? En wat als je wegens compliance-vereisten je clouddata terug naar on-prem brengt en dus veel gegevens lokaal moet back-uppen? Hiervoor heeft Datto FLEXspend geïntroduceerd. Het houdt in dat MSP’s hun uitgaven aan Datto’s back-up-oplossingen dynamisch kunnen herinvesteren. Zonder extra kosten is er over te schakelen naar meer Azure-back-up, meer databescherming voor SaaS-diensten of voor lokale gegevens. “Als je een deal voor drie jaar sluit en na een jaar ontdekt dat een andere technologie van ons beter voor je werkt, kun je gebruikmaken van FLEXspend. Die credits mag je meenemen”, geeft Ten Hove als voorbeeld.
Ten Hove stipt aan waarom dit zo handig is: hij ziet dat elke organisatie graag rondshopt om te kijken naar de juiste securitydekking. Maar via het pakket aan Datto-diensten is er een ‘one-stop shop’ om voordelig beschermd te zijn, zonder de problemen die losse oplossingen opleveren voor back-up in de cloud enerzijds en on-prem bescherming anderzijds.
Rol van de klant
Klanten krijgen de relevantste technologieën om door MSP’s beschermd te worden. Maar welke verantwoordelijkheid hebben zij om hun cyberweerbaarheid op peil te hebben? “De menselijke component speelt daarin een grote rol.” Zo moeten organisaties in kaart gebracht hebben hoe sterk hun bedrijfsnetwerk beschermd is. Ten Hove noemt pentests, antivirus-oplossingen en managed SOC als verscheidene manieren om tegen malware te beschermen. Voorkomen is immers beter dan genezen.
Maar business continuity draait erom, vertelt hij, dat je erop voorbereid bent dát het een keer misgaat. Een medewerker kan nu eenmaal op een verkeerde link klikken in een phishing-mail of een zero-day blijkt tot een infiltratie te hebben geleid. Portals waar toeleveranciers op zitten, kunnen leiden tot een brede impact qua cyberaanvallen. Dat is een realiteit waar organisaties op in moeten spelen, vertelt Ten Hove. Dat komt ook door regelgeving.
“NIS2-wetgeving is helaas noodzakelijk omdat het niveau van de cyberweerbaarheid van Europese bedrijven te laag is. Binnen NIS2 is daarin een keuze gemaakt voor bepaalde industrieën die noodzakelijk zijn voor het goed functioneren van onze maatschappij.” De wetgeving kan organisaties in deze sectoren ertoe dwingen om meer te investeren in business continuity. Voor alle andere bedrijven is het echter zaak om de boodschap van NIS2 al ter harte te nemen. Wees weerbarstig tegen cyberproblemen en, bovenal, weet waar je staat als het misgaat. Daarin kan business continuity je welzijn als organisatie garanderen.
Meer te weten komen? Bezoek de website van Datto.