Category: Cloudopslag en Bedrijfscontinuïteit

Veerkracht Opbouwen in de Hybride Wereld

Wat kunnen we allemaal doen om het bewustzijn van Bedrijfscontinuïteit te verankeren en te verbeteren in deze nieuwe werkomgeving?

Deze week (16 – 20 mei 2022) is het Business Continuity Awareness week.

BCAW (Business Continuity Awareness Week) is een wereldwijde campagne om mensen bewust te maken van het belang van bedrijfscontinuïteit, de fundamentele en essentiële beste praktijken en hoe dit in de organisatiecultuur kan worden ingebouwd.

In de afgelopen 24 maanden is het leven voor ons allemaal veranderd en in sommige opzichten voorgoed, ook de manier waarop wij allemaal werken. De pandemie was een echte test voor onze veerkracht als mens en als bedrijf. Nu we de pandemie te boven komen en de herstelfase van onze bedrijfscontinuïteitsplannen ingaan, is het belangrijk dat we flexibel blijven en onze Bedrijfscontinuïteitsplannen blijven evalueren, bijwerken en toepassen.

In deze nieuwe werkomgeving moeten alle bedrijven opnieuw nadenken over de manier waarop zij hun bedrijfscontinuïteitsplannen verankeren, valideren en onder de aandacht brengen. Daarom is het thema van de Business Continuity Awareness week dit jaar Building Resilience in the Hybrid World.

Wij hebben een lijst samengesteld met de beste tips op het gebied van Compliance ter ondersteuning van uw bedrijfscontinuïteitsplannen en -activiteiten.

Tip 1: Update uw BIA’s en Bedrijfscontinuïteitsplannen. Wanneer hebt u ze voor het laatst bijgewerkt en weerspiegelen ze uw meest recente manieren van werken, inclusief hybride werken?

Focus op uw doel

Uiteindelijk is het belangrijk dat u begrijpt welke interne en externe activiteiten, inclusief die van uw klanten, het meest kritisch en tijdgebonden zijn. Dit begint met uw Business Impact Analyse (BIA). BIA’s dienen gericht te zijn op uw klanten en eindgebruikers, hun SLA’s en de bedrijfskritische diensten, middelen en leveranciers die nodig zijn om deze te leveren. De Bedrijfscontinuïteitsplannen geven weer hoe u deze cruciale diensten gaat leveren in geval van een incident.

Tip 2: Omarm BC incidenten. Zie ze als een kans om samen te werken, nieuwe vaardigheden te leren en de klanttevredenheid te verbeteren.

Leg de voordelen en mogelijkheden van Bedrijfscontinuïteit uit aan uw teamleden

Business Continuity is een kans voor ons allemaal om te groeien en weerbaarder te worden, zowel als individu als als bedrijf. Ongeplande gebeurtenissen bieden ons vaak kansen om met andere teams samen te werken en onze vaardigheden uit te breiden, omdat we snel moeten denken en ons moeten aanpassen aan de gegeven situatie. Soms dwingt het ons om creatiever te zijn in hoe en wanneer we producten en diensten leveren met de minste verstoring. Wanneer uw klanten weten dat u in de moeilijkste en meest onverwachte omstandigheden kunt leveren, vergroot dit hun vertrouwen in u en verbetert dit de klanttevredenheid.

Tip 3: Het verbeteren van het Business Continuity bewustzijn gaat niet alleen over het volgen van een training. U weet dat het succesvol is verankerd wanneer er in elk aspect van uw diensten en toeleveringsketen over wordt nagedacht en elk teamlid zich bewust is van de rol die zij spelen bij het draaiende houden van het bedrijf in geval van een incident.

Verbeter het bewustzijn en de training over Bedrijfscontinuïteit

Bevorder het denken over Bedrijfscontinuïteit in elk aspect van uw processen. Bijvoorbeeld de volgende keer dat u een nieuwe leverancier selecteert (wat zou er gebeuren als zij er niet meer zouden zijn?) of hoe u uw team traint en ervoor zorgt dat kennis wordt gedeeld. Betrek uw team bij de uitvoering van uw plannen. Deel de geleerde lessen en successen van eventuele incidenten.

Tip 4: Verwacht het onverwachte. Schakel de relevante belanghebbenden in voordat een situatie een incident wordt. Soms kan een situatie binnen enkele minuten of uren uitgroeien tot een groot incident. Het is veel gemakkelijker om een team op te heffen als het ergste niet gebeurt, dan er één op te richten en op te schalen als het wel gebeurt. Trek vroegtijdig aan de bel en wees beter voorbereid en in staat sneller te reageren als het ergste gebeurt.

Wees voorbereid voordat een incident zich voordoet

Als een situatie kan uitgroeien tot een Bedrijfscontinuïteit incident of crisis, neem dan zo snel mogelijk contact op met uw lijnmanager en Compliance. Compliance zal dan beslissen of het nodig is om het crisismanagementteam in te schakelen of om een incident te melden. 

Een update over de kwetsbaarheid CVE-2021-44228 in Apache Log4j

De OASIS Group heeft, samen met IT-dienstverleners over de hele wereld, actief gereageerd op de onlangs gemelde kwetsbaarheid voor remote code execution (RCE) in de Apache Log4j Java-bibliotheek.

De kwetsbaarheid, die op 9 december 2021 openbaar werd gemaakt, is gecategoriseerd met een CVSS score van 10.0. Dit betekent dat de kwetsbaarheid als kritiek is beoordeeld.

Wij hebben onmiddellijk actie ondernomen om eventuele bedreigingen te detecteren en kwetsbaarheden in verband met CVE-2021-44228 te verhelpen. We willen onze klanten verzekeren dat we geen actieve exploitatie van deze kwetsbaarheid in onze systemen hebben aangetroffen.

Steve Townley, de CIO van OASIS Group

Apache Software heeft een upgrade van Log4j 2.15.0 uitgebracht om de kwetsbaarheid te verhelpen en deze is, waar nodig, in de systemen van de OASIS Group geïmplementeerd. 

Ondertussen is een nieuwe update 2.16.0 uitgebracht en deze wordt door onze IT-specialisten beoordeeld.

Omdat OASIS onze Omnidox Suite intern ontwikkelt, waren we in staat om onmiddellijk de Log4j 2.15.0 update te implementeren, evenals het toevoegen van extra configuraties aan Java als een extra beveiligingsniveau.

Vervolgt Steve Townley

Welke handelingen dienen de klanten van OASIS te verrichten?

Klanten die OASIS systemen gebruiken, hoeven geen actie te ondernemen. Wij hebben de nodige upgrades al uitgevoerd en blijven zoals gebruikelijk controleren op bedreigingen. Zoals hierboven vermeld, wordt Log4j veel gebruikt voor webapplicaties en -diensten en wij raden u aan dit te controleren bij uw interne IT-afdeling of andere leveranciers.

Nog wat nuttige informatie:

Wat houdt een CVSS score in?

CVSS staat voor Common Vulnerability Scoring System. Het is een industriestandaard waarmee een numerieke (0-10, 10 is het hoogst) indicatie wordt gegeven van de ernst van beveiligingslekken in software. 

Wat betekent remote code execution?

Remote code execution (RCE) is een cyberaanval die een aanvaller in staat stelt om op afstand toegang te krijgen tot het apparaat of systeem van iemand anders en dit te besturen zonder dat daarvoor een gebruikersnaam of wachtwoord nodig is. Dit kan op afstand gebeuren, van overal ter wereld.

Wat is Log4j?

Log4j wordt wereldwijd gebruikt voor het bijhouden van digitale logboeken en registreert bijvoorbeeld of er bugs voorkomen in een applicatie.

Hoe heeft OASIS de kwetsbaarheid in Apache Log4j 2 aangepakt?

Het team van interne OASIS IT-professionals, waaronder IT Software Engineering en IT Infrastructure Security specialisten, werd op de kwetsbaarheid geattendeerd. De teams zijn toen onmiddellijk aan de slag gegaan om, waar nodig, Log4j te upgraden naar versie 2.15.0, die is uitgebracht om CVE-2021-44228 te verhelpen.

Ondertussen is een nieuwe update 2.16.0 uitgebracht en deze wordt door onze IT-specialisten beoordeeld.

Ook hebben we, waar mogelijk, extra configuraties toegevoegd aan Java en de beveiliging via onze firewalls en andere beveiligingssoftware verhoogd.

De Ultieme Rampherstel Checklist

Als het gaat om gegevensback-up voor noodherstel, dan is voorbereiding van het grootste belang. Uw organisatie voorbereiden voordat een ramp toeslaat, is essentieel om de bedrijfscontinuïteit te handhaven en de uitvaltijd te beperken.

Met de Checklist Rampherstel van OASIS die gemakkelijk te volgen is, kan uw organisatie zich voorbereiden op onvoorziene gebeurtenissen.

Stap 1: Voer een Audit uit van uw bestaande Back-up Oplossing(en) en Herstelplan

Breng in kaart wat u momenteel al heeft geregeld. Wanneer u uw bestaande bedrijfscontinuïteitsoplossing analyseert, overweeg dan:

  • Of u beschikt over een oplossing voor noodherstel.
  • Hoe vaak het noodherstelproces is getest.
  • Hoeveel uitvaltijd de huidige back-up oplossing heeft.
  • Welke gegevens en de omvang ervan risico lopen.
  • Welke financiële kosten brengt uitvaltijd met zich mee voor uw bedrijf?

Stap 2: Stresstest

Identificeer potentiële gevaren en de meest voor de hand liggende bronnen van gegevensverlies/inbreuk of een storing. Zullen de bedreigingen beperkt blijven tot één systeem, of is de kans groot dat meerdere systemen worden getroffen? Door uw risico’s te kennen, kunt u de belangrijkste systemen en de kwetsbaarheden in de onderliggende hardware en software evalueren.

Stap 3: Voer een Effectbeoordeling uit

Bepaal de waarschijnlijkheid van een ramp en de gevolgen hiervan voor uw organisatie door de meest onvoorziene incidenten of calamiteiten te identificeren. En documenteer de mogelijke financiële, operationele en reputatieschade die dergelijke gebeurtenissen met zich mee zullen brengen.

Stap 4: Stel hersteldoelstellingen vast

Identificeer bedrijfskritische systemen en geef prioriteit aan hersteltaken. Bepaal welke data hersteld dient te worden en vanaf welk herstelpunt de verloren data hersteld dient te worden. Bepaal daarnaast hoe lang het noodherstelproces mag duren – rekening houdend met de kosten van downtime voor uw organisatie. Met onze bedrijfscontinuïteitsservice kunt u uw gegevens binnen 6 seconden herstellen en onze service maakt het mogelijk om back-ups regelmatig (om elke 5 minuten) te laten plaatsvinden, waardoor het verlies van actuele data tot een minimum wordt beperkt).

Stap 5: Ontwikkel een actieplan voor noodherstel

Ontwikkel een noodherstelprocedure die aansluit bij uw einddoel – of dat nu bestandsherstel of virtualisatie is. Een standaardaanpak is niet altijd de oplossing, identificeer duidelijk bij welke incidenten een noodherstelplan zal worden gebruikt en onder welke omstandigheden herstelmaatregelen nodig zijn. Zorg ervoor dat elk plan resulteert in het hervatten van de diensten, met prioriteit voor de bedrijfseenheden of functies naar gelang van hun behoeften.

Stap 6: Ontwikkel een Incident Response Team

Dit team is verantwoordelijk voor de implementatie van een operationeel noodplan als het noodlot toeslaat. De bedrijfscontinuïteitsdienst van OASIS vermindert de noodzaak hiervoor door te voorzien in een extern bedrijfscontinuïteitsteam dat proactief uw back-ups en herstelplannen beheert vanaf een externe locatie, wanneer dat nodig is.

Stap 7: Stel een Incidentrapport op

Het incidentrapport dient de volgende zaken te vermelden:

  • Identificeren wat de storing heeft veroorzaakt, welke lopende problemen aangepakt dienen te worden, wat verbeterd kan worden in toekomstige noodherstelscenario’s en hoe de standaarden en protocollen zijn veranderd na de storing.
  • Controleer het herstel en verifieer de functionaliteit van de gebruikers zodra de back-up is voltooid (d.w.z. nagaan of alle gebruikers toegang hebben tot bronnen en applicaties).

Stap 8: Testen en Bijwerken

Uw bedrijfscontinuïteitsplan dient voortdurend getest en bijgewerkt te worden, waarbij eventuele tekortkomingen worden geïdentificeerd en de toekomstige uitvoerbaarheid wordt gewaarborgd. Met de bedrijfscontinuïteitsdienst van OASIS bent u hiervan verzekerd, via een jaarlijkse “proof of concept” oefening voor volledig herstel, compleet met rapportage na afloop van de calamiteit.