Recovery

Calamiteiten worden in principe onderverdeeld in 3 categorieën, namelijk:

  • Onbedoelde fouten tijdens reguliere werkzaamheden (bijv. beheerder verwijdert per ongeluk duizenden identiteiten, of verwijdert bijv. de DC met de PDC Emulator);
  • Geplande aanvallen door kwaadwillenden, van binnenuit of buitenaf (bijv. malafide beheerder met wrok jegens de organisatie, of kwaadwillenden gebruiken virussen/ransomware om u bedrijfsvoering stil te leggen);
  • Ongeplande calamiteiten (bijv. een natuurramp of gevolgen van andere omgevingsgerelateerde acties).

In alle gevallen, en zeker in een hybride scenario (*), moet u voorbereid zijn en uw procedures, zowel technisch als logistiek, up-to-date hebben. Bovendien moet u deze scenario’s ook periodiek naspelen (bijvoorbeeld 1x per jaar). Het naspelen van de scenario’s zorgt ervoor dat: 1) de huidige procedures geëvalueerd worden en waar nodig worden bijgewerkt i.v.m. eventuele veranderingen in de omgeving, 2) de betrokken mensen de vereiste kennis hebben en behouden over wat te doen wanneer dat nodig is. Stel uzelf de volgende vragen: “kunt u een back-up herstellen en deze daadwerkelijk gebruiken?“, “Bent u er zeker van dat iedereen weet wat te doen wanneer het nodig is?“, “Bent u voorbereid op een ransomware-aanval en kunt u indien nodig uw kern identiteits- en authenticatiesystemen herstellen?“. Zorg ervoor dat herstelplannen niet ontbreken als onderdeel van uw bedrijfscontinuïteitsplan. Het is uw verzekering om identiteiten en/of systemen te kunnen herstellen wanneer dat nodig is. Afhankelijk van uw bedrijfsvoering, regelgeving etc. moet u beslissen welke risico’s u wel en niet wilt en/of kunt nemen. Voor de laatste categorie is het advies om use cases te definiëren, herstelplannen voor die use cases op te stellen en bij te houden, deze op te nemen in uw bedrijfscontinuïteitsplan en deze periodiek na te spelen.

Waar mogelijk worden de juiste tools (zelfgemaakt, geleverd door derden, lokaal en/of in de cloud) ingezet en ingericht op basis van een vooraf gedefinieerde lijst van eisen. Dit zorgt ervoor dat tooling correct wordt geïmplementeerd en het voorkomt dat teveel tools met overlappende functionaliteit worden aangeschaft. Het voorkomt ook dat u een vals gevoel krijgt van “voorbereid te zijn”, terwijl u dat in feite mogelijk niet bent. Onthoud dat u zelfs met betaalde tools van derden nog steeds uw procedures voor specifieke scenario’s moet opstellen. Tooling van derden is niet noodzakelijk de zogenaamde magische zilveren kogel. Met tooling is het niet per se beter om er zoveel mogelijk te hebben. Het doel is om tooling te hebben voor de juiste gelegenheden en/of scenario’s.

(*) in een hybride scenario, spelen de volgende systemen, waar van toepassing, een belangrijke rol: 1) Active Directory (AD), 2) Active Directory Federation Services (ADFS) (of vergelijkbaar), 3) Azure AD Connect, 4) PKI infrastructuur, 5) iedere MFA solution.

Wees voorbereid, blijf voorbereid, maar ook voorop!

KvK: 78.70.27.20 || BTW ID: NL002970959B74

Tenzij anders vermeld en/of overeengekomen, zijn op al onze aanbiedingen en overeenkomsten de NLdigital Voorwaarden 2020 van toepassing, gedeponeerd bij de Rechtbank Midden-Nederland, locatie Utrecht.