In deze blog leggen we zonder onnodig IT-jargon uit wat begrippen als RTO en RPO betekenen. En nog belangrijker: wat je écht geregeld moet hebben om stilstand te voorkomen.
Waarom alleen een back-up niet voldoende is
Veel bedrijven gaan ervan uit dat hun IT-partner dagelijks een back-up maakt en dat ze daarmee veilig zijn. Maar stel dat je door een ransomware-aanval of een servercrash plotseling nergens meer bij kunt. De data is weliswaar ergens opgeslagen, maar:
- Hoe lang duurt het voordat al die data weer is teruggezet?
- Werken de systemen dan ook meteen weer?
- En heb je de back-up eigenlijk weleens getest?
Dit is het verschil tussen het simpelweg opslaan van data en een doordacht plan voor bedrijfscontinuïteit.
Twee management begrippen die je wel moet kennen: RPO en RTO
Je hoeft als directie niet te weten hoe de servers zijn ingericht, maar je moet wel sturen op twee cruciale pijlers. In de IT gebruiken we daar de termen RPO en RTO voor.
1. RPO (Recovery Point Objective): hoeveel data mag je kwijtraken?
RPO draait om de vraag: hoever terug in de tijd ben je bereid je werk te verliezen? Maak je maar één keer per dag (bijvoorbeeld ’s nachts) een back-up? Dan is je RPO maximaal 24 uur. Als je systeem om 16:00 uur ’s middags crasht, ben je al het werk van die dag kwijt. Voor sommige bedrijven is dat acceptabel, maar als je veel transacties verwerkt of continu nieuwe ontwerpen maakt, is dat een kostbare zaak.
2. RTO (Recovery Time Objective): hoe lang mag het duren voor je weer kunt werken?
RTO gaat over de tijd. Vanaf het moment dat het systeem uitvalt, hoe lang mag het duren voordat je medewerkers weer aan de slag kunnen? Is dat een uur? Een werkdag? Of mag het best een weekend duren? Het terugzetten van een volledige serveromgeving vanuit een back-up kost tijd. Hoe korter de gewenste hersteltijd (RTO), hoe geavanceerder (en vaak duurder) de oplossing moet zijn.
Als directie maak je hier de afweging: wat kosten een dag stilstand het bedrijf ten opzichte van de investering in een snellere hersteloplossing?
Wat moet je als MKB-bedrijf écht geregeld hebben?
Als je zeker wilt weten dat jouw continuïteit niet in gevaar komt, controleer dan de volgende vier zaken met je IT-partner:
1. Een ‘gescheiden’ back-up (De 3-2-1 regel)
Het is cruciaal dat je back-up fysiek of virtueel gescheiden is van je hoofdnetwerk. Als je netwerk wordt geraakt door ransomware, versleutelt dit vaak ook direct gekoppelde back-ups. Hanteer de 3-2-1- regel: 3 kopieën van je data, op 2 verschillende media, waarvan minimaal 1 buiten de deur (off-site of in de cloud) en onbereikbaar voor aanvallers.
2. Testen, testen, testen
Een back-up is pas een back-up als je succesvol hebt aangetoond dat je deze kunt terugzetten. Laat je IT-partner minimaal jaarlijks (maar bij voorkeur elk kwartaal) een ‘restore-test’ uitvoeren en vraag om de rapportage daarvan. Alleen zo weet je zeker dat de afgesproken RTO en RPO in de praktijk haalbaal zijn.
3. Afspraken over prioriteiten
Als alles uitvalt, wat moet er dan als éérste weer in de lucht zijn? Voor een bouwbedrijf is de calculatie- of planningssoftware (zoals BouwWorks) of toegang tot de tekeningen (CAD) op de bouwplaats wellicht prio één, terwijl het oude archief best een dagje kan wachten. Maak heldere afspraken over de volgorde van herstel.
4. Duidelijke verantwoordelijkheden
Wie mag beslissen dat een systeem ‘plat’ gaat om verdere verspreiding van een virus te voorkomen? En wie is het aanspreekpunt tijdens een crisis? Leg dit vast, zodat er bij een incident niet eerst vergaderd hoeft te worden, maar direct gehandeld kan worden.
Conclusie: Maak het een directie onderwerp
Back-ups en herstel zijn geen pure IT-feestjes, maar fundamentele onderdelen van je risicomanagement. Door duidelijke eisen te stellen aan je RPO (maximaal dataverlies) en RTO (maximale stilstand), stuur je als directie op wat écht belangrijk is: het ongestoord door kunnen draaien van je bedrijf, wat er ook gebeurt.
Wil je zeker weten of jullie back-up- en herstelstrategie waterdicht is en aansluit bij wat het bedrijf nodig heeft?
Neen gerust contact met ons op via 0413-490620 of verkoop@drieo.nl. We kijken graag mee.