Talk voor de SBM IT Club op 28 maart 2018 over Business continuity, Disaster Recovery en bijhorende Service Level Agreements. Een verhaal over risico en vooral leugens, grote leugens en SLA's.
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 25 jaar server en netwerk
infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢ Ben toevalling terechtgekomen in de securitywereld
➢ Documenteerde in 1996 de securityproblemen in de eerste
Belgische internetbank ( Beroepskrediet / Belgium Offline)
➢ Plotseling ben je security expert
“Gecertificieerd” DPO en informatieveiligheidsconsulent
R&D (vooral security)
5. Business continuity
Disaster Recovery
● Business Continuity :
alle dingen die
stakeholders doen om de
business verder te laten
gaan als er een catastrofe
(disaster) zich voordoet.
● Disaster Recovery : is
alle systemen terug in de
lucht krijgen na een
catastrofe.
8. BC: inventaris
● Aan welke minimale beschikbaarheidsvereisten moet
je voldoen :
● Wettelijk :
– GDPR, PCI DSS, SOX, etc.
● Contractueel
– Wat heb je contractueel afgesproken met je klanten ?
● Wenselijk
– Wat vind je management ervan ? Wat is wenselijk ? Wat moet er
geïnvesteerd worden?
● Vooral: ken uw business en wat belangrijk is !
9. BC: Risico Analyse
● Risico : overzicht van alle mogelijke risico’s die de goede
werking van de business kunnen bevorderen.
Risico = waarschijnlijkheid x impact
Of
Risico = kans x gevolg
● Maak een inventaris van alles wat mis kan gaan maak
een gewogen gemiddelde ervan :
● Bepaal ook hoe je ze kan beheren :
● Preventie, detectie, repressie, correctie, acceptatie, overdragen
10. Business impact
● Kwantificieer de financiële impact van een
onbeschikbaarheid in €
● Kan een complexe of een moeilijke berekening zijn :
– Verkoopsverlies
– Productieverlies
– Reputatieverlies
– Rechtsvervolging
– Continuiteit van de business
11. Belangrijke vragen :
● Recovery Time Objective ( RTO )
● Hoe lang mag een proces, server, service onbeschikbaar zijn ?
● Recovery Point Objective ( RPO )
● Hoeveel data ( in tijd ) mag er verloren gaan ?
● Retentie tijd
● Hoe lang moet je terug kunnen gaan ?
– Wenselijk
– Juridisch ?
● Wat is het budget ?
12. Maak een plan
● Interne procedures
● Interne maatregelen
● Infrastructuur
● Backups
● Clusters
●
● Outsourcing naar externe
partijen met SLA’s
● Verzekeringen ?
13. Test je plan zo goed mogelijk ?
● “Wet van Shrodinger voor backups”
● Backup is maar zo goed als zijn laatste suksesvolle
restore.
● “Proof of the pudding is in the eating”
● Disaster Recovery test
● Test zo goed mogelijk je plan
● Indien noodzakelijk ( altijd dus) : stuur bij !
14. Misschien eens naar iso-
standaarden kijken ?
● ISO 22301 Business Continuity Management
● = management system standard that specifies requirements to plan, establish,
implement, operate, monitor, review, maintain and continually improve a documented
management system to protect against, reduce the likelihood of occurrence, prepare
for, respond to, and recover from disruptive incidents when they arise. It is intended to
be applicable to all organizations, or parts thereof, regardless of type, size and nature
of the organization.
● ISO 27031 Disaster Recovery
● = describes the concepts and principles of information and comunication technology
(ICT) readiness for business continuity, and provides a framework of methods and
processes to identify and specify all aspects (such as performance criteria, design, and
implementation) for improving an organization's ICT readiness to ensure business
continuity.
15. Realisme
● There is no such
thing as absolute
security
● Plan for the worst !
● Vroeg of laat heb je
prijs !
● Niemand is onfeilbaar
( behalve de paus)
17. Hoe passen SLA’s hier in ?
● Interne SLA’s
● Spreek interne
minimale service
vereisten af.
●
● Externe SLA’s risico
outsourcen naar
andere partijen
18. There are lies, dammed lies and statistics
(Benjamin Disraeli / Mark Twain)
19. There are lies, dammed lies and statistics
SLA’s
(Benjamin Disraeli / Mark Twain
Jan Guldentops )
20. Stel eerst vast wat u nodig hebt
en wat uw budget is
● Welke beschikbaarheid wil u garanderen voor
wat ?
● Wat heb je nodig om dit te bereiken ?
● Wat gaat u zelf doen, aanpakken
● Hoe loopt het proces ? Wie mag bellen ?
● RTO / RPO
● Zorg dat u alle aspecten in achting neemt
– Een 99,999999% uptime is niet relevant als je die ook
niet hebt voor je connectiviteit
21. Kies uw manier van werken
● Maximum scenario: Alles outsourcen
● SPOC voor alles
● eventueel met meerdere partijen
● Minimum scenario
● Meer management van u
● Coördineert u zelf en heeft u verschillende SLA’s
● -> risico dat ze onderling de hete aardappel gaan
doorspelen
22. Waar moet je op letten ?
● Onderhandel
● Pik niet alles blind van de leverancier !
● Teken niet blind
● Lees en begrijp
● Indien nodig
● -> zet er een jurist bij, of een externe consultant die
voor jou leest !
23. Niet doen...
● Wat moet je zeker niet
doen in een SLA :
● De SLA blind tekenen
● het volledig aan een jurist
overlaten ( dodelijk,
onleesbaar, vaak ook
onwerkbaar )
● papieren tijgers
● Letterlijk de alles
overnemen van de
leverancier
24. Wel doen...
● Duidelijke afspraken
● “Assumption is the mother of all fuckups"
● Garanties :
● Beschikbaarheid
● Reactietijd
● Time to fix