De gewoonte om je voor te bereiden op downtime en stappen te ondernemen om een snelle terugkeer naar de normale situatie te garanderen, wordt ook wel disaster recovery (DR) genoemd. Helaas is het niet altijd voor de hand liggend om een doeltreffend disaster recovery plan op te stellen, vooral als je maar een klein bedrijf bent. Om het goed te doen, heb je tijd, kennis en expertise nodig. Het meten van de ROI kan bovendien moeilijk zijn.
Gelukkig is er hulp beschikbaar. Door even te googelen zou je een heleboel gratis bronnen moeten vinden die je kunt gebruiken bij het proces voor DR-planning, inclusief templates voor noodherstelplannen van diverse omvang en complexiteit. We hebben er zelf ook eentje gemaakt: Het Ontrack disaster recovery template.
Je bedrijf beschermen met een disaster recovery plan
Het maakt niet uit hoe groot of klein je bedrijf is, we kunnen aannemen dat je op IT vertrouwt om te functioneren. En elke vorm van IT, of het nu gaat om een mobiel apparaat, een e-mailserver of een Cloud gebaseerde toepassing, is gevoelig voor storingen.
Dit gegeven wordt steeds belangrijker. Volgens onderzoek gepubliceerd door Statista kost downtime bedrijven wereldwijd gemiddeld $ 400.000 per uur. Bovendien bleek uit een studie van het Ponemon Institute uit 2018 dat de wereldwijde gemiddelde kosten van gegevensverlies maar liefst $ 3,6 miljoen waren of ongeveer $ 141 per gegevensrecord. In de wereld van vandaag, waarin we zo afhankelijk zijn van data, kan een onherstelbare IT-storing genoeg zijn om je bedrijf de nek om te draaien.
Wat is een disaster recovery plan eigenlijk?
Een disaster recovery plan bestaat uit het beleid en de procedures die een bepaalde entiteit - in dit geval je bedrijf - zal volgen wanneer IT-services worden verstoord. Dit kan gebeuren door een natuurramp, technische defecten of menselijke factoren zoals sabotage of terrorisme. Het basisidee is om de getroffen bedrijfsprocessen zo snel mogelijk te herstellen, hetzij door verstoorde services weer online te brengen of door over te schakelen naar een noodsysteem.
Je disaster recovery plan moet rekening houden met het volgende:
- IT-services: welke bedrijfsprocessen worden door welke systemen ondersteund? Wat zijn de risico's?
- Mensen: wie zijn de stakeholders, zowel aan de zakelijke als aan de IT-kant, in een bepaald DR-proces?
- Leveranciers: met welke externe leveranciers moet je contact opnemen bij een IT-storing? Je data recovery provider bijvoorbeeld.
- Locaties: waar ga je werken als je gebruikelijke werklocatie geen optie meer is?
- Testen: hoe ga je het DR-plan testen?
- Opleiding: welke training en documentatie bied je eindgebruikers?
Centraal in de meeste DR-plannen staan twee uiterst belangrijke KPI's, die doorgaans afzonderlijk worden toegepast op verschillende IT-services: Recovery Point Objective (RPO, oftewel beoogd herstelpunt) en Recovery Time Objective (RTO, oftewel beoogde hersteltijd). Laat je niet verwarren door het jargon, want het is heel eenvoudig:
- RPO: de maximale leeftijd van een back-up voordat deze niet meer nuttig is. Als je het je kunt veroorloven om een dag aan gegevens in een bepaald systeem te verliezen, houd je een RPO van 24 uur aan.
- RTO: de maximale tijd die mag verstrijken voordat de back-up wordt geïmplementeerd en de normale services worden hervat.
De opbouw van het perfecte disaster recovery plan
Zelfs een DR-plan voor kleine bedrijven kan een lang en complex document zijn. De meeste plannen volgen echter een vergelijkbare structuur, die definities, taken, stapsgewijze reactieprocedures en onderhoudsactiviteiten omvat. In onze template hebben we de volgende opzet gebruikt:
- Inleiding: een samenvatting van de doelstellingen en scope van het plan, inclusief de IT-services en locaties die door het plan worden afgedekt, RPO's en RTO's voor verschillende services en test- en onderhoudsactiviteiten. Het document bevat ook een overzicht van wijzigingen.
- Rollen en verantwoordelijkheden: een lijst van de interne en externe stakeholders die bij elk DR-proces betrokken zijn, compleet met hun contactgegevens en een beschrijving van hun taken.
- Reactie op incident: wanneer moet het DR-plan worden geactiveerd en hoe en wanneer moeten werknemers, management, partners en klanten worden geïnformeerd?
- DR-procedures: zodra het DR-plan in werking is gezet, kunnen de stakeholders beginnen met het uitvoeren van een DR-proces voor elke getroffen IT-service. In deze sectie worden die procedures stap voor stap beschreven.
- Bijlagen: een verzameling van alle andere lijsten, formulieren en documenten die relevant zijn voor het DR-plan, zoals details over alternatieve werklocaties, verzekeringen en de opslag en distributie van DR-middelen.
Je disaster recovery plan in leven houden
Zoals elk beleidsdocument is een DR-plan nutteloos als het plan het grootste deel van zijn bestaan ergens in een la ligt. Het heeft geen zin om een plan op te stellen als je niet voldoende middelen toewijst aan het opleiden van personeel. Alleen door medewerkers te trainen, kunnen ze weten van het bestaan van het plan en wat hun rollen en verantwoordelijkheden zijn in het geval van een IT-storing.
Het plan up-to-date houden is ook essentieel. Naarmate de tijd verstrijkt en je bedrijf groeit, moet je nieuwe systemen en IT-services opnemen in je DR-plan. Zorg ervoor dat je alle betrokken stakeholders op de hoogte stelt wanneer je dit doet.
Testen, testen, testen!
Ten slotte moet je je DR-plan testen en weten of je RPO- en RTO-KPI's realistisch zijn en of je procedures überhaupt geschikt zijn. Het kan verleidelijk zijn om je DR-plan in fasen te testen, maar vergeet niet om het ook van tijd tot tijd in zijn geheel te testen. Zo kun je zien of verschillende processen elkaar verstoren wanneer ze tegelijkertijd worden uitgevoerd en of er iets is waar je geen rekening mee hebt gehouden.
Heb je meer hulp nodig bij disaster recovery? Kijk dan ook op onze andere blog:
Wat is een disaster recovery plan en waarom heb je er één nodig?
Wil je er graag voor zorgen dat Ontrack deel uitmaakt van je disaster recovery plan, neem dan vandaag nog contact op met een van onze experts.
Meer informatie: