Hoe zorg je voor een veilige back-up als klein bedrijf

Als ondernemer van een klein bedrijf draag je een grote verantwoordelijkheid voor het beschermen van de gegevens die jouw bedrijf draaiende houden. Of het nu gaat om klantinformatie, financiële gegevens of belangrijke bedrijfsdocumenten, het verlies van deze gegevens kan catastrofaal zijn. Daarom is het opzetten van een solide back-up strategie van cruciaal belang. In deze blog nemen we je mee door belangrijke stappen en overwegingen om ervoor te zorgen dat je bedrijfsgegevens veilig en veerkrachtig blijven. Zonder dat je hier duizenden euro’s en tientallen uren per maand in moet investeren.

Veiligheidsniveaus

We leggen hieronder uit welke maatregelen je moet nemen om een veilige back-up op te stellen. Maar voor veel bedrijven zal de perfecte situatie een te grote stap of een niet haalbaar doel zijn. Een goed voorbeeld is voor een zzp’er, deze kan niet redelijkerwijs dezelfde maatregelen nemen, omdat de investering eenmaal te groot is. Daarom hebben we voor elk onderwerp een overzicht toegevoegd met verschillende veiligheidsniveaus verdeeld van onvoldoende tot optimaal. Zo kan er bepaald worden of de huidige manier van werken veilig genoeg is en als dit niet het geval is, welke stappen als eerste gezet moeten worden en welke later kunnen.

Veilige back-up maatregelen

1. Locatie & Media van de Back-up: De 3-2-1 Methode

De “3-2-1 Methode” is een gouden standaard voor back-up strategieën. Deze strategie geeft aan dat je 3 kopieën van je gegevens nodig hebt, bewaard op 2 verschillende soorten opslag apparaten (bijvoorbeeld een harde schijf en in de cloud) waarvan 1 op een fysieke andere locatie is. Denk na over verschillende opslagmedia, zoals harde schijven, tapes of cloud-opslag, en welke het beste passen bij je gegevensomvang, budget en behoeften.

• Onvoldoende: Geen back-ups of gebruik van USB op kantoor.
• Matig: Alleen lokale back-ups op één schijf op kantoor
• Voldoende: Back-up op een fysieke en digitale/afgelegen locatie.
• Goed: Back-up op fysieke en digitale/afgelegen locatie met snapshot functionaliteit, zo kunnen eerdere versies hersteld worden.

2. Toegang & beveiliging van de back-up: Bescherming tegen ongewenste toegang

Beveilig je back-ups tegen ongewenste toegang. Gebruik encryptie om gevoelige gegevens te beschermen, zelfs als de back-upmedia in verkeerde handen vallen. Beperk ook de toegang tot de back-ups binnen je organisatie om te voorkomen dat onbevoegden gevoelige informatie kunnen benaderen.

• Onvoldoende: Geen beveiliging ingesteld
• Matig: Makkelijke wachtwoorden, iedereen heeft toegang tot back-up
• Voldoende: Veilige en unieke wachtwoorden, alleen hoger management kan instellingen aanpassen
• Goed: Gebruik van tweefactorauthenticatie (2FA) samen met veilige wachtwoorden en alleen toegang voor beheerders. Tevens versleuteling van mappen met gevoelige informatie.
• Optimaal: Toegangscontrole via IP-adres/Mac-adres en versleuteling van de complete back-up bovenop eerder genoemde maatregelen.

3. Frequentie van de back-up: Het balanceren van dataverlies en kosten

Bepaal hoe vaak je back-ups wilt uitvoeren. Overweeg hierbij je Recovery Point Objective (RPO), wat aangeeft hoeveel data je maximaal kunt verliezen bij een incident. Je kan bijvoorbeeld kiezen om elk uur een back-up te doen, of elke avond, week of maand bijvoorbeeld. Hogere frequenties verminderen het risico op veel dataverlies, maar houd rekening met de tijd die het kost om back-ups te maken en de vertraging die ze kunnen veroorzaken. Tevens zul je bij meer back-ups meer opslagruimte nodig hebben en moet dit werkbaar blijven voor je bedrijf. 

Er is geen specifiek advies te geven voor de frequenties, dit hangt volledig af van je bedrijf en de wensen. Bedenk wat de kosten zijn als het werk van een dag geleden allemaal verdwenen is en bepaal hierna of de frequentie hoger of lager moet zijn.

4. Back-up monitoren: houd toezicht op je gegevensbescherming

Na het instellen van je back-up systeem is monitoring belangrijk. Wekelijkse rapportage helpt je te controleren of back-ups correct draaien en of er geen fouten zijn opgetreden. Dit minimaliseert de kans op problemen wanneer je een back-up daadwerkelijk nodig hebt.

• Onvoldoende: Geen monitoring
• Voldoende: Geautomatiseerde wekelijkse rapportage naar verantwoordelijke
• Optimaal: Geautomatiseerde dagelijkse rapportage naar verantwoordelijke

5. Testen van de back-up: betrouwbare en bruikbare herstelmogelijkheden

Het testen van back-ups is net zo belangrijk als het maken ervan. Vertrouw niet alleen op theoretische bevestiging. Voer regelmatig hersteltests uit om te verifiëren dat je gegevens daadwerkelijk kunnen worden hersteld en dat ze intact en bruikbaar zijn. Op deze momenten kan je ook testen hoelang het duurt om een volledig en gedeeltelijk herstel (Enkele mappen en verschillende soorten bestanden) uit te voeren. Grote hoeveelheden data op een harde schijf zijn niet binnen enkele minuten teruggezet, in sommige gevallen duurt dit meerdere uren tot dagen afhankelijk van de infrastructuur.

• Onvoldoende: Back-ups niet testen
• Matig: Elk half jaar een gedeeltelijk herstel test uitvoeren.
• Voldoende: Elk jaar een volledige back-up herstel test en elke kwartaal een gedeeltelijke herstel test uitvoeren.
• Goed: Elk halfjaar een volledige back-up herstel test uitvoeren en maandelijks een geautomatiseerde gedeeltelijke hersteltest.

6. Segmenteren: Bescherm je back-ups tegen ransomware

Voorkom dat aanvallers je back-ups kunnen versleutelen door segmentatie toe te passen. Scheid bijvoorbeeld je back-up netwerk van je zakelijke netwerk door gebruik te maken van VLAN’s. Maar simpeler kan het ook door na de back-up de connectie te verbreken door de internetkabel of USB-kabel los te maken van dit apparaat. Dit minimaliseert het risico van gegevensverlies in geval van een gerichte aanval.

• Onvoldoende: Back-up constant verbonden met computer of netwerk
• Matig: Back-up alleen losgekoppeld in het weekend, geen netwerkscheiding aanwezig
• Voldoende: Back-up apparaat handmatig losgekoppeld na het uitvoeren van back-up, andere back-up niet op netwerk gescheiden.
• Goed: Back-up automatisch losgekoppeld na uitvoeren van een back-up en gebruik van netwerkscheiding.