Presentatie van 30 september 2016 voor Syntra West's IT club @ DCO datacenter. Het bevat een korte introductie en tips en trucks om ervoor te zorgen dat de kritische ICT-infrastructuur en bijhorende data ten allen tijden beschikbaar blijft.

1. Keeping the biz running...
Business Continuity Management en Disaster Recovery
Procedures
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )

3. Samengevat
COMMON SENSE
AS A SERVICE
(CAAS)

4. Wie ben ik ?
•
Jan Guldentops (°1973)
•
Dit jaar bouw ik 20 jaar server en netwerk infrastructuren
•
Oprichter ULYSSIS (°1994), Better Access (°1996) en BA
(°2003)
•
Open Source Fundamentalist (na mijn uren)
•
Sterke praktische achtergrond op het vlak van ICT
beveiliging
•
Ben toevalling terechtgekomen in de securitywereld
•
1996 beroepskrediet
•
Breng veel tijd door in het labo / R&D

5. Nieuwe tijden
● Informatietechnologie is overal
● We kunnen niet meer zonder...
● Bedrijven en organisaties zijn lam, blind en doof
zonder hun ICT-infrastructuur
● Essentieel hart van de business
● Steeds minder analoge backupprocedures
● We hebben data niet meer analoog
● Paperless office en procedures

6. Moore in actie

7. Data explosie
● Megabyte (1 000 000 Bytes)
● Gigabyte (1 000 000 000 Bytes)
● Terabyte (1 000 000 000 000 Bytes)
● Petabyte (1 000 000 000 000 000 Bytes)
● Exabyte (1 000 000 000 000 000 000 Bytes)

8. Bevattelijker
● Een gemiddelde pornosite : 50-200TB aan data
● 1PB =
● 223000 DVD's
● 746.000.000 3,5 inch floppies
● Google
● 20 Petabytes aan images
● 15 exabyte total storage
● Internet archive : 15pb

9. Genereren ook steeds meer
data
● Big data

10. Data Excess
● We produceren steeds meer data ;
● Foto's, documenten, filmpjes, etc.
● Klasseren / sorteren niet meer
● Zijn rotverwend qua opslagcapaciteit :
– € 10 / maand unlimited storage bij google drive
– 4TB disk kost € 100
● Digital Dark Ages
● Classificatie
● Bewaren

11. Beschikbaarheid
● Van data en bijhorende ict processen in
● In tijden van terrorisme ;
● In tijden van cryptolockers en andere
cybercriminaliteit ;
● In tijden van besparing en cost cutting ;
● Het overleven van business en vaak ook
mensenlevens hangen er vanaf...

12. BC / DR Plan
● Business Continuity
● Disaster Recovery
● Plan for the worst

13. Wat wil/moet je bereiken?
● Allereerste stap is zwijgen over technologie !
● Management laten vastleggen wat je moet
bereiken :
● Wat zijn de noden ?
– Voor de business
– Voor de investeerders
– Wettellijk
– Regulatory

14. Iets technischer
● Recovery Time Objective (RTO)
● Hoe lang mag de applicatie plat liggen ?
– Tussen 30 seconden en 2 weken
● Recovery Point Objective ( RPO)
● Hoeveel data in tijd mag je maximaal verliezen ?
– Tussen 30 seconden en 1 maand
● Retentietijd
● Hoe lang moet je terug kunnen gaan in de tijd ?
● Welke minimale dienst ( performance) heb je nodig ?

15. Maar
● Dit is niet hetzelfde voor alle processen !
● Bepaal het per proces !
● Inventariseer de risico’s en hoe waarschijnlijk het is
dat dit optreedt !
● Risk = probability x consequence
● Risk = impact x likelyhood
● Probeer te berekenen wat je te verliezen hebt ( helpt
ook je budget te bepalen)
● Maak een volledige inventaris en zet het in een plan...

16. Bouw je infrastructuur
volgens je behoeftes
● Ruimte voor je infrastructuur ( servers, netwerken,
etc.)
● Fysieke beveiliging, stroom, klimaat, brand,
omgevingsvariabelen
● Gebruik je verstand: serverruimte niet als bergruimte
gebruiken!
● Bouw een degelijk netwerk
● Voldoende redundant / performant
● Veilig opgezet en up-to-date ( regels van de kunst)

17. Bouw je infrastructuur
volgens je behoeftes
● Maak redundant wat nuttige / betaalbaar is
● Dataverbindingen
● Netwerken / cloud
● Uplinks
● Voedingen
● Redundantie kan ook = reservemateriaal
● Degelijk servermateriaal ;
● Degelijke storage ;
● Denk ook aan clients / werkplekken / printers!

18. Papieren tijgers
● Dek ook alles contractueel juist af
● Supportcontracten
● SLA’s
● Maar :
– Snap ook wat er in die contracten staat en wat dit
inhoud !
● bv. Next Business Day
– Sluit geen contracten onmogelijk zijn volgens de
natuurwetten.

19. Onderzoek nieuwe
technieken
● Virtualisatie is een zegen !
● Nu ook microcontainer en applicatie virtualisatie
● Snapshot technologie
● Nieuwe backup en business continuity technologieën
● VEEAM
● NAKIVO
● Wet van Moore voor opslag zorgt voor betaalbare
grote volumes, ook voor backup

20. Kennis / Documentatie
● Zorg dat je in noodgevallen kennis en competentie bij
de hand hebt :
● Mensen
– In house
– Extern
● Documentatie
● Procedures
● Zorg dat ze beschikbaar zijn !
– Papier
– USB

21. Backups
●
Hier zitten we met grote uitdagingen !
● 24/7 business
●
Volumes zijn geëxplodeerd
●
Geen onderscheid tussen belangrijke en triviale data
● RPO steeds kleiner
● Steeds complexere applicatieve backups
●
Backup alles wat je nodig hebt niet alleen de data !
● bv. Configs van switches / firewalls
●
Datamodel, software, etc.
●
Verschil tussen backups / archivering en preservatie !
●
Pas ook op met cloud applicaties !

22. Betere technologie
● SAN’s hebben veel mogelijkheden
● Snapshots, deduplicatie, tiered storage,
compressie, etc.
● Virtualisatie / VEEAM-achtigen
● Maar ook gevaren :
– Is de data van je applicatie wel correct gebackuped ?
– Applicatieve integriteit

23. Nog lagere RTO/RPO
● Cluster-technologie
● Active / active
– Bv VMWare continuous availibility
● Active / passive
– Bv VMWare HA
● Maar complexe technologie die ook downtime en dataloss kan
met zich meebrengen
● Replicatie
● Synchroon
● Asynchroon

24. ● Wat als ... het kot afbrandt ?
● Offsite backups en/of infrastructuur
● Naar een eigen tweede locatie
– Maar zorg dat de afstanden groot genoeg zijn !
●
Eigen infrastructuur in datacenter
– Maar: probleem is vaak goeie connectiviteit
● IAAS infrastructuur leveranciers voor backup en zelfs volledige virtuele failover infrastructuur
● Offline
● Goede ouderwetse tape
– Goedkoopst qua volume
– Gaat het langste mee
●
Wat als je een cryptolocker op je VEEAM server hebt ?

25. Proof of the pudding is in
the eating
● Test je BC / DRP plannen regelmatig
– Elke zes maand
– Om zeker te weten of ze werken
– Verbetertraject
● Verifieer regelmatig je backups door een restore te
doen !

26. Permanente
verbeteringsproces

27. ISO 22301
● Onderdeel van 27001
● Business Continuity Management
● Positief
● Goeie leiddraad dat je niks vergeet
● Negatief
● Gezond verstand verzopen in documenten

28. In mensentaal (1)
● NEEDS
● Legal
● Regulatory
● Organisation
● Business
● SCOPE
● LEADERSHIP
● PLANNING

29. In Mensentaal (2)
● SUPPORT
● Tijd, resources en geld
● Responsabiliseer
● Communiceer
● Documenteer

30. In Mensentaal (3)
●
Plan
● Wat zijn de risico’s ?
● Wat is de impact ?
● Wat zijn de prioriteiten ?
● Wat heb je nodig om dit te bereiken
● Risico en impactanalyse
●
Ontwikkel / Implementeer
● Procedures
● Incident Response en communicatie structuur
● Test en oefen de plannen
● Controlleer
● Monitor
● Test
● Onderhoud
● Pas aan en verbeter continue

31. Conclusies
● Of je het nu beschrijft met dure woorden, een moderne
organisatie heeft een business continuity plan nodig.
● Als de organisatie ervaring heeft met Quality of Security iso normen
is iso 22301 een goed startpunt.
● Dit plan vertrekt van de behoeftes van de organisatie voor
business, legal, regulatory en wordt bepaald door het
management niet door techniek.
● Op basis daarvan kan je met een veelvoud van technieken en
mogelijkheden om dat plan en zijn doelstellingen te
realiseren.
● Zorg ook dat alles regelmatig getest wordt !

32. Thank You
Contact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy Toren
Vaartdijk 3/501
B-3018 Wijgmaal
j@ba.be
Twitter: JanGuldentops
http://be.linkedin.com/in/janguldentops/