B.A., profile picture
Uploaded byB.A.
63 views

BC, DR & SLA's

Talk voor de SBM IT Club op 28 maart 2018 over Business continuity, Disaster Recovery en bijhorende Service Level Agreements. Een verhaal over risico en vooral leugens, grote leugens en SLA's.

Embed presentation

Business Continuity, Disaster Recovery & SLA IT Club SBM - 28 maart 2019 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 25 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  “Gecertificieerd” DPO en informatieveiligheidsconsulent  R&D (vooral security)
Samengevat: COMMON SENSE AS A SERVICE (CAAS)
Business continuity Disaster Recovery ● Business Continuity : alle dingen die stakeholders doen om de business verder te laten gaan als er een catastrofe (disaster) zich voordoet. ● Disaster Recovery : is alle systemen terug in de lucht krijgen na een catastrofe.
Procedures
BC: inventaris ● Aan welke minimale beschikbaarheidsvereisten moet je voldoen : ● Wettelijk : – GDPR, PCI DSS, SOX, etc. ● Contractueel – Wat heb je contractueel afgesproken met je klanten ? ● Wenselijk – Wat vind je management ervan ? Wat is wenselijk ? Wat moet er geïnvesteerd worden? ● Vooral: ken uw business en wat belangrijk is !
BC: Risico Analyse ● Risico : overzicht van alle mogelijke risico’s die de goede werking van de business kunnen bevorderen. Risico = waarschijnlijkheid x impact Of Risico = kans x gevolg ● Maak een inventaris van alles wat mis kan gaan maak een gewogen gemiddelde ervan : ● Bepaal ook hoe je ze kan beheren : ● Preventie, detectie, repressie, correctie, acceptatie, overdragen
Business impact ● Kwantificieer de financiële impact van een onbeschikbaarheid in € ● Kan een complexe of een moeilijke berekening zijn : – Verkoopsverlies – Productieverlies – Reputatieverlies – Rechtsvervolging – Continuiteit van de business
Belangrijke vragen : ● Recovery Time Objective ( RTO ) ● Hoe lang mag een proces, server, service onbeschikbaar zijn ? ● Recovery Point Objective ( RPO ) ● Hoeveel data ( in tijd ) mag er verloren gaan ? ● Retentie tijd ● Hoe lang moet je terug kunnen gaan ? – Wenselijk – Juridisch ? ● Wat is het budget ?
Maak een plan ● Interne procedures ● Interne maatregelen ● Infrastructuur ● Backups ● Clusters ● ● Outsourcing naar externe partijen met SLA’s ● Verzekeringen ?
Test je plan zo goed mogelijk ? ● “Wet van Shrodinger voor backups” ● Backup is maar zo goed als zijn laatste suksesvolle restore. ● “Proof of the pudding is in the eating” ● Disaster Recovery test ● Test zo goed mogelijk je plan ● Indien noodzakelijk ( altijd dus) : stuur bij !
Misschien eens naar iso- standaarden kijken ? ● ISO 22301 Business Continuity Management ● = management system standard that specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. It is intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. ● ISO 27031 Disaster Recovery ● = describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization's ICT readiness to ensure business continuity.
Realisme ● There is no such thing as absolute security ● Plan for the worst ! ● Vroeg of laat heb je prijs ! ● Niemand is onfeilbaar ( behalve de paus)
Een keten is zo sterk als zijn zwakste schakel
Hoe passen SLA’s hier in ? ● Interne SLA’s ● Spreek interne minimale service vereisten af. ● ● Externe SLA’s risico outsourcen naar andere partijen
There are lies, dammed lies and statistics (Benjamin Disraeli / Mark Twain)
There are lies, dammed lies and statistics SLA’s (Benjamin Disraeli / Mark Twain Jan Guldentops )
Stel eerst vast wat u nodig hebt en wat uw budget is ● Welke beschikbaarheid wil u garanderen voor wat ? ● Wat heb je nodig om dit te bereiken ? ● Wat gaat u zelf doen, aanpakken ● Hoe loopt het proces ? Wie mag bellen ? ● RTO / RPO ● Zorg dat u alle aspecten in achting neemt – Een 99,999999% uptime is niet relevant als je die ook niet hebt voor je connectiviteit
Kies uw manier van werken ● Maximum scenario: Alles outsourcen ● SPOC voor alles ● eventueel met meerdere partijen ● Minimum scenario ● Meer management van u ● Coördineert u zelf en heeft u verschillende SLA’s ● -> risico dat ze onderling de hete aardappel gaan doorspelen
Waar moet je op letten ? ● Onderhandel ● Pik niet alles blind van de leverancier ! ● Teken niet blind ● Lees en begrijp ● Indien nodig ● -> zet er een jurist bij, of een externe consultant die voor jou leest !
Niet doen... ● Wat moet je zeker niet doen in een SLA : ● De SLA blind tekenen ● het volledig aan een jurist overlaten ( dodelijk, onleesbaar, vaak ook onwerkbaar ) ● papieren tijgers ● Letterlijk de alles overnemen van de leverancier
Wel doen... ● Duidelijke afspraken ● “Assumption is the mother of all fuckups" ● Garanties : ● Beschikbaarheid ● Reactietijd ● Time to fix
Procedures : RACI model
Andere elementen ● Inventaris / scope ● Wat zit erin / wat niet ? ● Wie coordineert tov derden ? ● Service window ● Incident management ● Wat is een incident ? ● Type en categorisering ● Responstijd ● Repairtijd : ● Prioriteiten ● Onbeschikbaarheid ● Quid preventief onderhoud ? Maintenance window ? ● Change requests ● Change management ● Operation management : preventieve acties ● Event management / Monitoring ● Evaluatie ● Rapportering ● Meetperiode ● Hoe wordt de servicelevel berekend ? ● antwoordtijd = EA -OM ● repairtijd = RT - OM ● Welk percentage moet binnen deze periode liggen ?
Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Ubicenter MCSquare Philipssite 5B 3001 Leuven info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/

More Related Content

ODP
Business Continuity & Disaster Recovery introductie
byB.A.
 
PPT
BCM presentatie 12 maart 2013
byMarkLandt marketing & communicatie
 
PDF
Van brandweerman tot brandpreventieadviseur
byB.A.
 
PDF
Better Safe Than Sorry
byJaap Trouw
 
PDF
Event 26 juni Computication & Dell: presentatie Rien Dijkstra (Infrarati) Is...
byComputication
 
ODP
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
byB.A.
 
PPT
Is Business Continuity Rocket Science?
byRien Dijkstra
 
PPT
Pecha Kucha -Summary Presentation
byVanguard Leadership
 
Business Continuity & Disaster Recovery introductie
byB.A.
 
BCM presentatie 12 maart 2013
byMarkLandt marketing & communicatie
 
Van brandweerman tot brandpreventieadviseur
byB.A.
 
Better Safe Than Sorry
byJaap Trouw
 
Event 26 juni Computication & Dell: presentatie Rien Dijkstra (Infrarati) Is...
byComputication
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
byB.A.
 
Is Business Continuity Rocket Science?
byRien Dijkstra
 
Pecha Kucha -Summary Presentation
byVanguard Leadership
 

Similar to BC, DR & SLA's

ODP
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
byB.A.
 
PDF
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
byB.A.
 
PDF
Presentaties seminar sleutel tot succes
byJoan Tuls
 
PDF
ICT & Gezond verstand
byB.A.
 
PDF
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilience
byPlatformSecurityManagement
 
PDF
20200221 cybersecurity een praktische introductie
byAgentschap Innoveren & Ondernemen
 
ODP
Cyberincidenten - Verhalen uit de loopgraven
byB.A.
 
PPTX
Savacco op bezoek
byCVO Hitek vzw (Kortrijk)
 
PPT
BA Netapp Event - Always there IT Infrastructuur
byB.A.
 
PPTX
It crisis management
byWiepko Siegers
 
ODP
Het begint allemaal bij gezond verstand
byB.A.
 
PPT
Presentatie Gemeente Terneuzen samenwerking met IBM ~1841203
byRuudKonig
 
PDF
Open Line Smart Back Up
byJo Verstappen
 
PPT
A3 Erwin Geirnaert
byErwin Buggenhout
 
PPTX
Aurelium online backup en continuo
byPhilippeReinardts
 
PPTX
Hand-out event Ondernemen in de cloud door Sven Visser - Cyso
byRich Tiggeler
 
PPT
Continuiteit Van De Dienstverlening
byB. van Graft
 
PPT
Cloud: Frisse lucht of gebakken lucht ?
byB.A.
 
PDF
Mitopics workshop selectie en implementatie erp standaardpakket
byMitopics BV
 
PPT
Outsourcing
byTechdocs
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
byB.A.
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
byB.A.
 
Presentaties seminar sleutel tot succes
byJoan Tuls
 
ICT & Gezond verstand
byB.A.
 
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilience
byPlatformSecurityManagement
 
20200221 cybersecurity een praktische introductie
byAgentschap Innoveren & Ondernemen
 
Cyberincidenten - Verhalen uit de loopgraven
byB.A.
 
Savacco op bezoek
byCVO Hitek vzw (Kortrijk)
 
BA Netapp Event - Always there IT Infrastructuur
byB.A.
 
It crisis management
byWiepko Siegers
 
Het begint allemaal bij gezond verstand
byB.A.
 
Presentatie Gemeente Terneuzen samenwerking met IBM ~1841203
byRuudKonig
 
Open Line Smart Back Up
byJo Verstappen
 
A3 Erwin Geirnaert
byErwin Buggenhout
 
Aurelium online backup en continuo
byPhilippeReinardts
 
Hand-out event Ondernemen in de cloud door Sven Visser - Cyso
byRich Tiggeler
 
Continuiteit Van De Dienstverlening
byB. van Graft
 
Cloud: Frisse lucht of gebakken lucht ?
byB.A.
 
Mitopics workshop selectie en implementatie erp standaardpakket
byMitopics BV
 
Outsourcing
byTechdocs
 

More from B.A.

PDF
GDPR one year in: Observations
byB.A.
 
ODP
Multicloud - Nadenken over een polynimbus infrastructuur
byB.A.
 
ODP
Werken aan je (digitale) toekomst ?
byB.A.
 
ODP
Verhalen uit de loopgraven - Workshop Security & privacy
byB.A.
 
PDF
Infosecurity.be 2019: What are relevant open source security tools you should...
byB.A.
 
PDF
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
byB.A.
 
PDF
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
byB.A.
 
ODP
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
byB.A.
 
ODP
Hit by a Cyberattack: lesson learned
byB.A.
 
ODP
Presentatie Proactieve Monitoring ( BA Monitoring )
byB.A.
 
ODP
Storage: trends, oplossingen, caveats
byB.A.
 
ODP
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
byB.A.
 
ODP
Random thoughts on security
byB.A.
 
PDF
Proactive monitoring tools or services - Open Source
byB.A.
 
ODP
Zarafa Tour 2014: "Where Zarafa can make a difference"
byB.A.
 
ODP
Social media security
byB.A.
 
PPT
Quickintro2webapps
byB.A.
 
ODP
A pinguin as a bouncer... Open Source Security Solutions
byB.A.
 
ODP
Mobile security... The next challenge
byB.A.
 
GDPR one year in: Observations
byB.A.
 
Multicloud - Nadenken over een polynimbus infrastructuur
byB.A.
 
Werken aan je (digitale) toekomst ?
byB.A.
 
Verhalen uit de loopgraven - Workshop Security & privacy
byB.A.
 
Infosecurity.be 2019: What are relevant open source security tools you should...
byB.A.
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
byB.A.
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
byB.A.
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
byB.A.
 
Hit by a Cyberattack: lesson learned
byB.A.
 
Presentatie Proactieve Monitoring ( BA Monitoring )
byB.A.
 
Storage: trends, oplossingen, caveats
byB.A.
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
byB.A.
 
Random thoughts on security
byB.A.
 
Proactive monitoring tools or services - Open Source
byB.A.
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
byB.A.
 
Social media security
byB.A.
 
Quickintro2webapps
byB.A.
 
A pinguin as a bouncer... Open Source Security Solutions
byB.A.
 
Mobile security... The next challenge
byB.A.
 

BC, DR & SLA's

  • 1.
    Business Continuity, Disaster Recovery& SLA IT Club SBM - 28 maart 2019 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  • 2.
    Wie ben ik?  Jan Guldentops (°1973)  Dit jaar bouw ik 25 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  “Gecertificieerd” DPO en informatieveiligheidsconsulent  R&D (vooral security)
  • 4.
  • 5.
    Business continuity Disaster Recovery ●Business Continuity : alle dingen die stakeholders doen om de business verder te laten gaan als er een catastrofe (disaster) zich voordoet. ● Disaster Recovery : is alle systemen terug in de lucht krijgen na een catastrofe.
  • 6.
  • 8.
    BC: inventaris ● Aanwelke minimale beschikbaarheidsvereisten moet je voldoen : ● Wettelijk : – GDPR, PCI DSS, SOX, etc. ● Contractueel – Wat heb je contractueel afgesproken met je klanten ? ● Wenselijk – Wat vind je management ervan ? Wat is wenselijk ? Wat moet er geïnvesteerd worden? ● Vooral: ken uw business en wat belangrijk is !
  • 9.
    BC: Risico Analyse ●Risico : overzicht van alle mogelijke risico’s die de goede werking van de business kunnen bevorderen. Risico = waarschijnlijkheid x impact Of Risico = kans x gevolg ● Maak een inventaris van alles wat mis kan gaan maak een gewogen gemiddelde ervan : ● Bepaal ook hoe je ze kan beheren : ● Preventie, detectie, repressie, correctie, acceptatie, overdragen
  • 10.
    Business impact ● Kwantificieerde financiële impact van een onbeschikbaarheid in € ● Kan een complexe of een moeilijke berekening zijn : – Verkoopsverlies – Productieverlies – Reputatieverlies – Rechtsvervolging – Continuiteit van de business
  • 11.
    Belangrijke vragen : ●Recovery Time Objective ( RTO ) ● Hoe lang mag een proces, server, service onbeschikbaar zijn ? ● Recovery Point Objective ( RPO ) ● Hoeveel data ( in tijd ) mag er verloren gaan ? ● Retentie tijd ● Hoe lang moet je terug kunnen gaan ? – Wenselijk – Juridisch ? ● Wat is het budget ?
  • 12.
    Maak een plan ●Interne procedures ● Interne maatregelen ● Infrastructuur ● Backups ● Clusters ● ● Outsourcing naar externe partijen met SLA’s ● Verzekeringen ?
  • 13.
    Test je planzo goed mogelijk ? ● “Wet van Shrodinger voor backups” ● Backup is maar zo goed als zijn laatste suksesvolle restore. ● “Proof of the pudding is in the eating” ● Disaster Recovery test ● Test zo goed mogelijk je plan ● Indien noodzakelijk ( altijd dus) : stuur bij !
  • 14.
    Misschien eens naariso- standaarden kijken ? ● ISO 22301 Business Continuity Management ● = management system standard that specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. It is intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. ● ISO 27031 Disaster Recovery ● = describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization's ICT readiness to ensure business continuity.
  • 15.
    Realisme ● There isno such thing as absolute security ● Plan for the worst ! ● Vroeg of laat heb je prijs ! ● Niemand is onfeilbaar ( behalve de paus)
  • 16.
    Een keten iszo sterk als zijn zwakste schakel
  • 17.
    Hoe passen SLA’shier in ? ● Interne SLA’s ● Spreek interne minimale service vereisten af. ● ● Externe SLA’s risico outsourcen naar andere partijen
  • 18.
    There are lies,dammed lies and statistics (Benjamin Disraeli / Mark Twain)
  • 19.
    There are lies,dammed lies and statistics SLA’s (Benjamin Disraeli / Mark Twain Jan Guldentops )
  • 20.
    Stel eerst vastwat u nodig hebt en wat uw budget is ● Welke beschikbaarheid wil u garanderen voor wat ? ● Wat heb je nodig om dit te bereiken ? ● Wat gaat u zelf doen, aanpakken ● Hoe loopt het proces ? Wie mag bellen ? ● RTO / RPO ● Zorg dat u alle aspecten in achting neemt – Een 99,999999% uptime is niet relevant als je die ook niet hebt voor je connectiviteit
  • 21.
    Kies uw maniervan werken ● Maximum scenario: Alles outsourcen ● SPOC voor alles ● eventueel met meerdere partijen ● Minimum scenario ● Meer management van u ● Coördineert u zelf en heeft u verschillende SLA’s ● -> risico dat ze onderling de hete aardappel gaan doorspelen
  • 22.
    Waar moet jeop letten ? ● Onderhandel ● Pik niet alles blind van de leverancier ! ● Teken niet blind ● Lees en begrijp ● Indien nodig ● -> zet er een jurist bij, of een externe consultant die voor jou leest !
  • 23.
    Niet doen... ● Watmoet je zeker niet doen in een SLA : ● De SLA blind tekenen ● het volledig aan een jurist overlaten ( dodelijk, onleesbaar, vaak ook onwerkbaar ) ● papieren tijgers ● Letterlijk de alles overnemen van de leverancier
  • 24.
    Wel doen... ● Duidelijkeafspraken ● “Assumption is the mother of all fuckups" ● Garanties : ● Beschikbaarheid ● Reactietijd ● Time to fix
  • 25.
  • 26.
    Andere elementen ● Inventaris/ scope ● Wat zit erin / wat niet ? ● Wie coordineert tov derden ? ● Service window ● Incident management ● Wat is een incident ? ● Type en categorisering ● Responstijd ● Repairtijd : ● Prioriteiten ● Onbeschikbaarheid ● Quid preventief onderhoud ? Maintenance window ? ● Change requests ● Change management ● Operation management : preventieve acties ● Event management / Monitoring ● Evaluatie ● Rapportering ● Meetperiode ● Hoe wordt de servicelevel berekend ? ● antwoordtijd = EA -OM ● repairtijd = RT - OM ● Welk percentage moet binnen deze periode liggen ?
  • 27.
    Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be/ Twitter: batweets Ubicenter MCSquare Philipssite 5B 3001 Leuven info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/