SlideShare une entreprise Scribd logo

BC, DR & SLA's

B.A.
B.A.

Talk voor de SBM IT Club op 28 maart 2018 over Business continuity, Disaster Recovery en bijhorende Service Level Agreements. Een verhaal over risico en vooral leugens, grote leugens en SLA's.

Internet
1  sur  27
Business Continuity, Disaster Recovery & SLA IT Club SBM - 28 maart 2019 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 25 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  “Gecertificieerd” DPO en informatieveiligheidsconsulent  R&D (vooral security)
Samengevat: COMMON SENSE AS A SERVICE (CAAS)
Business continuity Disaster Recovery ● Business Continuity : alle dingen die stakeholders doen om de business verder te laten gaan als er een catastrofe (disaster) zich voordoet. ● Disaster Recovery : is alle systemen terug in de lucht krijgen na een catastrofe.
Procedures
BC: inventaris ● Aan welke minimale beschikbaarheidsvereisten moet je voldoen : ● Wettelijk : – GDPR, PCI DSS, SOX, etc. ● Contractueel – Wat heb je contractueel afgesproken met je klanten ? ● Wenselijk – Wat vind je management ervan ? Wat is wenselijk ? Wat moet er geïnvesteerd worden? ● Vooral: ken uw business en wat belangrijk is !
BC: Risico Analyse ● Risico : overzicht van alle mogelijke risico’s die de goede werking van de business kunnen bevorderen. Risico = waarschijnlijkheid x impact Of Risico = kans x gevolg ● Maak een inventaris van alles wat mis kan gaan maak een gewogen gemiddelde ervan : ● Bepaal ook hoe je ze kan beheren : ● Preventie, detectie, repressie, correctie, acceptatie, overdragen
Business impact ● Kwantificieer de financiële impact van een onbeschikbaarheid in € ● Kan een complexe of een moeilijke berekening zijn : – Verkoopsverlies – Productieverlies – Reputatieverlies – Rechtsvervolging – Continuiteit van de business
Belangrijke vragen : ● Recovery Time Objective ( RTO ) ● Hoe lang mag een proces, server, service onbeschikbaar zijn ? ● Recovery Point Objective ( RPO ) ● Hoeveel data ( in tijd ) mag er verloren gaan ? ● Retentie tijd ● Hoe lang moet je terug kunnen gaan ? – Wenselijk – Juridisch ? ● Wat is het budget ?
Maak een plan ● Interne procedures ● Interne maatregelen ● Infrastructuur ● Backups ● Clusters ● ● Outsourcing naar externe partijen met SLA’s ● Verzekeringen ?
Test je plan zo goed mogelijk ? ● “Wet van Shrodinger voor backups” ● Backup is maar zo goed als zijn laatste suksesvolle restore. ● “Proof of the pudding is in the eating” ● Disaster Recovery test ● Test zo goed mogelijk je plan ● Indien noodzakelijk ( altijd dus) : stuur bij !
Misschien eens naar iso- standaarden kijken ? ● ISO 22301 Business Continuity Management ● = management system standard that specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. It is intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. ● ISO 27031 Disaster Recovery ● = describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization's ICT readiness to ensure business continuity.
Realisme ● There is no such thing as absolute security ● Plan for the worst ! ● Vroeg of laat heb je prijs ! ● Niemand is onfeilbaar ( behalve de paus)
Een keten is zo sterk als zijn zwakste schakel
Hoe passen SLA’s hier in ? ● Interne SLA’s ● Spreek interne minimale service vereisten af. ● ● Externe SLA’s risico outsourcen naar andere partijen
There are lies, dammed lies and statistics (Benjamin Disraeli / Mark Twain)
There are lies, dammed lies and statistics SLA’s (Benjamin Disraeli / Mark Twain Jan Guldentops )
Stel eerst vast wat u nodig hebt en wat uw budget is ● Welke beschikbaarheid wil u garanderen voor wat ? ● Wat heb je nodig om dit te bereiken ? ● Wat gaat u zelf doen, aanpakken ● Hoe loopt het proces ? Wie mag bellen ? ● RTO / RPO ● Zorg dat u alle aspecten in achting neemt – Een 99,999999% uptime is niet relevant als je die ook niet hebt voor je connectiviteit
Kies uw manier van werken ● Maximum scenario: Alles outsourcen ● SPOC voor alles ● eventueel met meerdere partijen ● Minimum scenario ● Meer management van u ● Coördineert u zelf en heeft u verschillende SLA’s ● -> risico dat ze onderling de hete aardappel gaan doorspelen
Waar moet je op letten ? ● Onderhandel ● Pik niet alles blind van de leverancier ! ● Teken niet blind ● Lees en begrijp ● Indien nodig ● -> zet er een jurist bij, of een externe consultant die voor jou leest !
Niet doen... ● Wat moet je zeker niet doen in een SLA : ● De SLA blind tekenen ● het volledig aan een jurist overlaten ( dodelijk, onleesbaar, vaak ook onwerkbaar ) ● papieren tijgers ● Letterlijk de alles overnemen van de leverancier
Wel doen... ● Duidelijke afspraken ● “Assumption is the mother of all fuckups" ● Garanties : ● Beschikbaarheid ● Reactietijd ● Time to fix
Procedures : RACI model
Andere elementen ● Inventaris / scope ● Wat zit erin / wat niet ? ● Wie coordineert tov derden ? ● Service window ● Incident management ● Wat is een incident ? ● Type en categorisering ● Responstijd ● Repairtijd : ● Prioriteiten ● Onbeschikbaarheid ● Quid preventief onderhoud ? Maintenance window ? ● Change requests ● Change management ● Operation management : preventieve acties ● Event management / Monitoring ● Evaluatie ● Rapportering ● Meetperiode ● Hoe wordt de servicelevel berekend ? ● antwoordtijd = EA -OM ● repairtijd = RT - OM ● Welk percentage moet binnen deze periode liggen ?
Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Ubicenter MCSquare Philipssite 5B 3001 Leuven info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/

Recommandé

Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductie
B.A.
 
BCM presentatie 12 maart 2013
BCM presentatie 12 maart 2013BCM presentatie 12 maart 2013
BCM presentatie 12 maart 2013
MarkLandt marketing & communicatie
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseur
B.A.
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than Sorry
Jaap Trouw
 
Pecha Kucha -Summary Presentation
Pecha Kucha -Summary PresentationPecha Kucha -Summary Presentation
Pecha Kucha -Summary Presentation
Vanguard Leadership
 
Begroten van agile projecten, technical meeting Sogeti 2013-09
Begroten van agile projecten, technical meeting Sogeti 2013-09Begroten van agile projecten, technical meeting Sogeti 2013-09
Begroten van agile projecten, technical meeting Sogeti 2013-09
Harold van Heeringen
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
B.A.
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstand
B.A.
 

Recommandé

Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductie
B.A.
 
BCM presentatie 12 maart 2013
BCM presentatie 12 maart 2013BCM presentatie 12 maart 2013
BCM presentatie 12 maart 2013
MarkLandt marketing & communicatie
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseur
B.A.
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than Sorry
Jaap Trouw
 
Pecha Kucha -Summary Presentation
Pecha Kucha -Summary PresentationPecha Kucha -Summary Presentation
Pecha Kucha -Summary Presentation
Vanguard Leadership
 
Begroten van agile projecten, technical meeting Sogeti 2013-09
Begroten van agile projecten, technical meeting Sogeti 2013-09Begroten van agile projecten, technical meeting Sogeti 2013-09
Begroten van agile projecten, technical meeting Sogeti 2013-09
Harold van Heeringen
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
B.A.
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstand
B.A.
 
Methodisch begroten van projecten hanzehogeschool groningen december2014
Methodisch begroten van projecten hanzehogeschool groningen december2014Methodisch begroten van projecten hanzehogeschool groningen december2014
Methodisch begroten van projecten hanzehogeschool groningen december2014
Harold van Heeringen
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
B.A.
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
B.A.
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
Redactie ZiPconomy
 
De ict steeds complexer? Doe niet zo moeilijk!
De ict steeds complexer? Doe niet zo moeilijk!De ict steeds complexer? Doe niet zo moeilijk!
De ict steeds complexer? Doe niet zo moeilijk!
CoThink
 
De ICT steeds complexer? Doe niet zo moeilijk!
De ICT steeds complexer? Doe niet zo moeilijk!De ICT steeds complexer? Doe niet zo moeilijk!
De ICT steeds complexer? Doe niet zo moeilijk!
Jaap Trouw
 
Gastcollege Hanzehogeschool Groningen 10 januari 2014
Gastcollege Hanzehogeschool Groningen 10 januari 2014Gastcollege Hanzehogeschool Groningen 10 januari 2014
Gastcollege Hanzehogeschool Groningen 10 januari 2014
Harold van Heeringen
 
Digitale transformatie en cyber crisis
Digitale transformatie en cyber crisisDigitale transformatie en cyber crisis
Digitale transformatie en cyber crisis
valantic NL
 
NEVI_CMdag2015_NVDOdeel2_v6.pptx
NEVI_CMdag2015_NVDOdeel2_v6.pptxNEVI_CMdag2015_NVDOdeel2_v6.pptx
NEVI_CMdag2015_NVDOdeel2_v6.pptx
Nick Piscaer
 
Is Business Continuity Rocket Science?
Is Business Continuity Rocket Science?Is Business Continuity Rocket Science?
Is Business Continuity Rocket Science?
Rien Dijkstra
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
Agentschap Innoveren & Ondernemen
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
B.A.
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
madelonnonkes
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
AnoeskaKruidbos
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
SuzanneVenes
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
lindabond
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Harold van Heeringen
 
2018-11-08 risk and reslience festival
2018-11-08 risk and reslience festival2018-11-08 risk and reslience festival
2018-11-08 risk and reslience festival
Jaap van Ekris
 
Factsheet interim management
Factsheet interim managementFactsheet interim management
Factsheet interim management
Martin Wever
 
Presentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesPresentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succes
Joan Tuls
 
GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: Observations
B.A.
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuur
B.A.
 

Contenu connexe

Similaire à BC, DR & SLA's

Gastcollege Hanzehogeschool Groningen 10 januari 2014
Gastcollege Hanzehogeschool Groningen 10 januari 2014Gastcollege Hanzehogeschool Groningen 10 januari 2014
Gastcollege Hanzehogeschool Groningen 10 januari 2014
Harold van Heeringen
 
NEVI_CMdag2015_NVDOdeel2_v6.pptx
NEVI_CMdag2015_NVDOdeel2_v6.pptxNEVI_CMdag2015_NVDOdeel2_v6.pptx
NEVI_CMdag2015_NVDOdeel2_v6.pptx
Nick Piscaer
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
madelonnonkes
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
AnoeskaKruidbos
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
SuzanneVenes
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
lindabond
 

Similaire à BC, DR & SLA's (20)

Methodisch begroten van projecten hanzehogeschool groningen december2014
Methodisch begroten van projecten hanzehogeschool groningen december2014Methodisch begroten van projecten hanzehogeschool groningen december2014
Methodisch begroten van projecten hanzehogeschool groningen december2014
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
De ict steeds complexer? Doe niet zo moeilijk!
De ict steeds complexer? Doe niet zo moeilijk!De ict steeds complexer? Doe niet zo moeilijk!
De ict steeds complexer? Doe niet zo moeilijk!
 
De ICT steeds complexer? Doe niet zo moeilijk!
De ICT steeds complexer? Doe niet zo moeilijk!De ICT steeds complexer? Doe niet zo moeilijk!
De ICT steeds complexer? Doe niet zo moeilijk!
 
Gastcollege Hanzehogeschool Groningen 10 januari 2014
Gastcollege Hanzehogeschool Groningen 10 januari 2014Gastcollege Hanzehogeschool Groningen 10 januari 2014
Gastcollege Hanzehogeschool Groningen 10 januari 2014
 
Digitale transformatie en cyber crisis
Digitale transformatie en cyber crisisDigitale transformatie en cyber crisis
Digitale transformatie en cyber crisis
 
NEVI_CMdag2015_NVDOdeel2_v6.pptx
NEVI_CMdag2015_NVDOdeel2_v6.pptxNEVI_CMdag2015_NVDOdeel2_v6.pptx
NEVI_CMdag2015_NVDOdeel2_v6.pptx
 
Is Business Continuity Rocket Science?
Is Business Continuity Rocket Science?Is Business Continuity Rocket Science?
Is Business Continuity Rocket Science?
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
 
2018-11-08 risk and reslience festival
2018-11-08 risk and reslience festival2018-11-08 risk and reslience festival
2018-11-08 risk and reslience festival
 
Factsheet interim management
Factsheet interim managementFactsheet interim management
Factsheet interim management
 
Presentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesPresentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succes
 

Plus de B.A.

Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source
B.A.
 

Plus de B.A. (20)

GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: Observations
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuur
 
Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ?
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 
Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgraven
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersBelgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
 
Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned
 
Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )
 
Storage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsStorage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveats
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
 
Random thoughts on security
Random thoughts on securityRandom thoughts on security
Random thoughts on security
 
Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstand
 
Social media security
Social media securitySocial media security
Social media security
 
BA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurBA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT Infrastructuur
 
Quickintro2webapps
Quickintro2webappsQuickintro2webapps
Quickintro2webapps
 
Cloud: Frisse lucht of gebakken lucht ?
Cloud: Frisse lucht of gebakken lucht ?Cloud: Frisse lucht of gebakken lucht ?
Cloud: Frisse lucht of gebakken lucht ?
 

BC, DR & SLA's

  • 1. Business Continuity, Disaster Recovery & SLA IT Club SBM - 28 maart 2019 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  • 2. Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 25 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  “Gecertificieerd” DPO en informatieveiligheidsconsulent  R&D (vooral security)
  • 3.
  • 5. Business continuity Disaster Recovery ● Business Continuity : alle dingen die stakeholders doen om de business verder te laten gaan als er een catastrofe (disaster) zich voordoet. ● Disaster Recovery : is alle systemen terug in de lucht krijgen na een catastrofe.
  • 7.
  • 8. BC: inventaris ● Aan welke minimale beschikbaarheidsvereisten moet je voldoen : ● Wettelijk : – GDPR, PCI DSS, SOX, etc. ● Contractueel – Wat heb je contractueel afgesproken met je klanten ? ● Wenselijk – Wat vind je management ervan ? Wat is wenselijk ? Wat moet er geïnvesteerd worden? ● Vooral: ken uw business en wat belangrijk is !
  • 9. BC: Risico Analyse ● Risico : overzicht van alle mogelijke risico’s die de goede werking van de business kunnen bevorderen. Risico = waarschijnlijkheid x impact Of Risico = kans x gevolg ● Maak een inventaris van alles wat mis kan gaan maak een gewogen gemiddelde ervan : ● Bepaal ook hoe je ze kan beheren : ● Preventie, detectie, repressie, correctie, acceptatie, overdragen
  • 10. Business impact ● Kwantificieer de financiële impact van een onbeschikbaarheid in € ● Kan een complexe of een moeilijke berekening zijn : – Verkoopsverlies – Productieverlies – Reputatieverlies – Rechtsvervolging – Continuiteit van de business
  • 11. Belangrijke vragen : ● Recovery Time Objective ( RTO ) ● Hoe lang mag een proces, server, service onbeschikbaar zijn ? ● Recovery Point Objective ( RPO ) ● Hoeveel data ( in tijd ) mag er verloren gaan ? ● Retentie tijd ● Hoe lang moet je terug kunnen gaan ? – Wenselijk – Juridisch ? ● Wat is het budget ?
  • 12. Maak een plan ● Interne procedures ● Interne maatregelen ● Infrastructuur ● Backups ● Clusters ● ● Outsourcing naar externe partijen met SLA’s ● Verzekeringen ?
  • 13. Test je plan zo goed mogelijk ? ● “Wet van Shrodinger voor backups” ● Backup is maar zo goed als zijn laatste suksesvolle restore. ● “Proof of the pudding is in the eating” ● Disaster Recovery test ● Test zo goed mogelijk je plan ● Indien noodzakelijk ( altijd dus) : stuur bij !
  • 14. Misschien eens naar iso- standaarden kijken ? ● ISO 22301 Business Continuity Management ● = management system standard that specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. It is intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. ● ISO 27031 Disaster Recovery ● = describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization's ICT readiness to ensure business continuity.
  • 15. Realisme ● There is no such thing as absolute security ● Plan for the worst ! ● Vroeg of laat heb je prijs ! ● Niemand is onfeilbaar ( behalve de paus)
  • 16. Een keten is zo sterk als zijn zwakste schakel
  • 17. Hoe passen SLA’s hier in ? ● Interne SLA’s ● Spreek interne minimale service vereisten af. ● ● Externe SLA’s risico outsourcen naar andere partijen
  • 18. There are lies, dammed lies and statistics (Benjamin Disraeli / Mark Twain)
  • 19. There are lies, dammed lies and statistics SLA’s (Benjamin Disraeli / Mark Twain Jan Guldentops )
  • 20. Stel eerst vast wat u nodig hebt en wat uw budget is ● Welke beschikbaarheid wil u garanderen voor wat ? ● Wat heb je nodig om dit te bereiken ? ● Wat gaat u zelf doen, aanpakken ● Hoe loopt het proces ? Wie mag bellen ? ● RTO / RPO ● Zorg dat u alle aspecten in achting neemt – Een 99,999999% uptime is niet relevant als je die ook niet hebt voor je connectiviteit
  • 21. Kies uw manier van werken ● Maximum scenario: Alles outsourcen ● SPOC voor alles ● eventueel met meerdere partijen ● Minimum scenario ● Meer management van u ● Coördineert u zelf en heeft u verschillende SLA’s ● -> risico dat ze onderling de hete aardappel gaan doorspelen
  • 22. Waar moet je op letten ? ● Onderhandel ● Pik niet alles blind van de leverancier ! ● Teken niet blind ● Lees en begrijp ● Indien nodig ● -> zet er een jurist bij, of een externe consultant die voor jou leest !
  • 23. Niet doen... ● Wat moet je zeker niet doen in een SLA : ● De SLA blind tekenen ● het volledig aan een jurist overlaten ( dodelijk, onleesbaar, vaak ook onwerkbaar ) ● papieren tijgers ● Letterlijk de alles overnemen van de leverancier
  • 24. Wel doen... ● Duidelijke afspraken ● “Assumption is the mother of all fuckups" ● Garanties : ● Beschikbaarheid ● Reactietijd ● Time to fix
  • 26. Andere elementen ● Inventaris / scope ● Wat zit erin / wat niet ? ● Wie coordineert tov derden ? ● Service window ● Incident management ● Wat is een incident ? ● Type en categorisering ● Responstijd ● Repairtijd : ● Prioriteiten ● Onbeschikbaarheid ● Quid preventief onderhoud ? Maintenance window ? ● Change requests ● Change management ● Operation management : preventieve acties ● Event management / Monitoring ● Evaluatie ● Rapportering ● Meetperiode ● Hoe wordt de servicelevel berekend ? ● antwoordtijd = EA -OM ● repairtijd = RT - OM ● Welk percentage moet binnen deze periode liggen ?
  • 27. Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Ubicenter MCSquare Philipssite 5B 3001 Leuven info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/