Category: Cloudopslag en Bedrijfscontinuïteit

Veerkracht Opbouwen in de Hybride Wereld

Wat kunnen we allemaal doen om het bewustzijn van Bedrijfscontinuïteit te verankeren en te verbeteren in deze nieuwe werkomgeving?

Hoe vaak hebt u niet besloten dat de eerste dag van januari het moment is om op dieet te gaan, een trainingsschema op te stellen, iets op te geven waarvan u geniet omdat het “slecht” voor u is of een grote verandering in uw leven door te voeren? 

Hier zijn de beste tips van Compliance om bedrijfscontinuïteit te verankeren, te valideren en onder de aandacht te brengen.

  1. Onthoud ons doel

Uiteindelijk zijn wij er om onze klanten te dienen en ervoor te zorgen dat zij toegang hebben tot hun informatie zoals zij dat willen, wanneer zij dat willen. Maar dat kan niet gebeuren zonder de inzet van onze Teamleden, gebouwen en faciliteiten. 

Dus moeten we begrijpen welke interne en externe activiteiten, waaronder die van onze klanten, het meest kritisch en tijdgebonden zijn.

Dit begint met onze Business Impact Analyses (BIA’s). Onze BIA’s moeten gericht zijn op onze klanten, hun SLA’s en de essentiële diensten, middelen en leveranciers die wij nodig hebben om deze te leveren. Onze Bedrijfscontinuïteitsplannen dienen ons te vertellen hoe we deze essentiële diensten zullen leveren in het geval van een incident. 

Aanpak 1: Werk uw BIA’s en Bedrijfscontinuïteitsplannen bij. Wanneer heeft u ze voor het laatst bijgewerkt en weerspiegelen ze uw meest recente werkwijzen, inclusief hybride werken? 

2. Leg de voordelen en kansen van BC uit aan uw Teamleden

BC is voor ons allemaal een kans om te groeien en veerkrachtiger te worden, als individu en als organisatie. BC evenementen bieden ons vaak de kans om met andere teams samen te werken en onze vaardigheden uit te breiden, omdat het nodig is om snel te denken en ons aan te passen aan de gegeven situatie. Soms dwingt het ons creatiever te zijn met hoe en wanneer we producten en diensten leveren met zo min mogelijk verstoring. Wanneer de klant weet dat wij ook in de moeilijkste en meest onverwachte omstandigheden kunnen leveren, vergroot dat zijn vertrouwen in ons en de klanttevredenheid. egevens

Aanpak 2: Omarm BC incidenten. Zie ze als een kans om samen te werken, nieuwe vaardigheden te leren en de klanttevredenheid te verbeteren. 

3. Verbeter de bewustwording omtrent BC en biedt opleiding aan

Zorg ervoor dat bij elke stap in uw processen rekening wordt gehouden met BC. Denk bijvoorbeeld aan de volgende keer dat u een nieuwe leverancier selecteert (wat zou er gebeuren als die er niet meer zou zijn?) of aan de manier waarop u uw team traint en ervoor zorgt dat kennis wordt gedeeld. Betrek uw team bij het oefenen van uw plannen. Deel geleerde lessen en successen van eventuele incidenten. En ja, u kunt de training ook downloaden van Omnidox. 

Aanpak 3: Het bewustzijn van BC vergroten gaat niet alleen over het volgen van een training. Je weet dat het met succes is verankerd wanneer er in elk aspect van je dienstverlening en toeleveringsketen over wordt nagedacht en elk Teamlid zich bewust is van de rol die men speelt om de business draaiende te houden in het geval van een incident.

4. Wees voorbereid voordat een incident zich voordoet

Als een situatie kan uitgroeien tot een BC incident of BC crisis, neem dan zo snel mogelijk contact op met uw lijnmanager en Compliance. Compliance zal dan beslissen of het nodig is om het crisismanagementteam in te schakelen of om een incident te melden. 

Aanpak 4: Verwacht het onverwachte. Betrek de relevante stakeholders voordat een situatie een incident wordt. Soms kan een situatie binnen enkele minuten of uren uitgroeien tot een groot incident. Het is veel gemakkelijker om een team op te heffen als het ergste niet gebeurt, dan er een te creëren en het op te schalen als het wel gebeurt. Als we vroeg aan de bel trekken, zijn we beter voorbereid en kunnen we sneller reageren mocht het ergste gebeuren.

Een update over de kwetsbaarheid CVE-2021-44228 in Apache Log4j

De OASIS Group heeft, samen met IT-dienstverleners over de hele wereld, actief gereageerd op de onlangs gemelde kwetsbaarheid voor remote code execution (RCE) in de Apache Log4j Java-bibliotheek.

De kwetsbaarheid, die op 9 december 2021 openbaar werd gemaakt, is gecategoriseerd met een CVSS score van 10.0. Dit betekent dat de kwetsbaarheid als kritiek is beoordeeld.

Wij hebben onmiddellijk actie ondernomen om eventuele bedreigingen te detecteren en kwetsbaarheden in verband met CVE-2021-44228 te verhelpen. We willen onze klanten verzekeren dat we geen actieve exploitatie van deze kwetsbaarheid in onze systemen hebben aangetroffen.

Steve Townley, de CIO van OASIS Group

Apache Software heeft een upgrade van Log4j 2.15.0 uitgebracht om de kwetsbaarheid te verhelpen en deze is, waar nodig, in de systemen van de OASIS Group geïmplementeerd. 

Ondertussen is een nieuwe update 2.16.0 uitgebracht en deze wordt door onze IT-specialisten beoordeeld.

Omdat OASIS onze Omnidox Suite intern ontwikkelt, waren we in staat om onmiddellijk de Log4j 2.15.0 update te implementeren, evenals het toevoegen van extra configuraties aan Java als een extra beveiligingsniveau.

Vervolgt Steve Townley

Welke handelingen dienen de klanten van OASIS te verrichten?

Klanten die OASIS systemen gebruiken, hoeven geen actie te ondernemen. Wij hebben de nodige upgrades al uitgevoerd en blijven zoals gebruikelijk controleren op bedreigingen. Zoals hierboven vermeld, wordt Log4j veel gebruikt voor webapplicaties en -diensten en wij raden u aan dit te controleren bij uw interne IT-afdeling of andere leveranciers.

Nog wat nuttige informatie:

Wat houdt een CVSS score in?

CVSS staat voor Common Vulnerability Scoring System. Het is een industriestandaard waarmee een numerieke (0-10, 10 is het hoogst) indicatie wordt gegeven van de ernst van beveiligingslekken in software. 

Wat betekent remote code execution?

Remote code execution (RCE) is een cyberaanval die een aanvaller in staat stelt om op afstand toegang te krijgen tot het apparaat of systeem van iemand anders en dit te besturen zonder dat daarvoor een gebruikersnaam of wachtwoord nodig is. Dit kan op afstand gebeuren, van overal ter wereld.

Wat is Log4j?

Log4j wordt wereldwijd gebruikt voor het bijhouden van digitale logboeken en registreert bijvoorbeeld of er bugs voorkomen in een applicatie.

Hoe heeft OASIS de kwetsbaarheid in Apache Log4j 2 aangepakt?

Het team van interne OASIS IT-professionals, waaronder IT Software Engineering en IT Infrastructure Security specialisten, werd op de kwetsbaarheid geattendeerd. De teams zijn toen onmiddellijk aan de slag gegaan om, waar nodig, Log4j te upgraden naar versie 2.15.0, die is uitgebracht om CVE-2021-44228 te verhelpen.

Ondertussen is een nieuwe update 2.16.0 uitgebracht en deze wordt door onze IT-specialisten beoordeeld.

Ook hebben we, waar mogelijk, extra configuraties toegevoegd aan Java en de beveiliging via onze firewalls en andere beveiligingssoftware verhoogd.

De Ultieme Rampherstel Checklist

Als het gaat om gegevensback-up voor noodherstel, dan is voorbereiding van het grootste belang. Uw organisatie voorbereiden voordat een ramp toeslaat, is essentieel om de bedrijfscontinuïteit te handhaven en de uitvaltijd te beperken.

Met de Checklist Rampherstel van OASIS die gemakkelijk te volgen is, kan uw organisatie zich voorbereiden op onvoorziene gebeurtenissen.

Stap 1: Voer een Audit uit van uw bestaande Back-up Oplossing(en) en Herstelplan

Breng in kaart wat u momenteel al heeft geregeld. Wanneer u uw bestaande bedrijfscontinuïteitsoplossing analyseert, overweeg dan:

  • Of u beschikt over een oplossing voor noodherstel.
  • Hoe vaak het noodherstelproces is getest.
  • Hoeveel uitvaltijd de huidige back-up oplossing heeft.
  • Welke gegevens en de omvang ervan risico lopen.
  • Welke financiële kosten brengt uitvaltijd met zich mee voor uw bedrijf?

Stap 2: Stresstest

Identificeer potentiële gevaren en de meest voor de hand liggende bronnen van gegevensverlies/inbreuk of een storing. Zullen de bedreigingen beperkt blijven tot één systeem, of is de kans groot dat meerdere systemen worden getroffen? Door uw risico’s te kennen, kunt u de belangrijkste systemen en de kwetsbaarheden in de onderliggende hardware en software evalueren.

Stap 3: Voer een Effectbeoordeling uit

Bepaal de waarschijnlijkheid van een ramp en de gevolgen hiervan voor uw organisatie door de meest onvoorziene incidenten of calamiteiten te identificeren. En documenteer de mogelijke financiële, operationele en reputatieschade die dergelijke gebeurtenissen met zich mee zullen brengen.

Stap 4: Stel hersteldoelstellingen vast

Identificeer bedrijfskritische systemen en geef prioriteit aan hersteltaken. Bepaal welke data hersteld dient te worden en vanaf welk herstelpunt de verloren data hersteld dient te worden. Bepaal daarnaast hoe lang het noodherstelproces mag duren – rekening houdend met de kosten van downtime voor uw organisatie. Met onze bedrijfscontinuïteitsservice kunt u uw gegevens binnen 6 seconden herstellen en onze service maakt het mogelijk om back-ups regelmatig (om elke 5 minuten) te laten plaatsvinden, waardoor het verlies van actuele data tot een minimum wordt beperkt).

Stap 5: Ontwikkel een actieplan voor noodherstel

Ontwikkel een noodherstelprocedure die aansluit bij uw einddoel – of dat nu bestandsherstel of virtualisatie is. Een standaardaanpak is niet altijd de oplossing, identificeer duidelijk bij welke incidenten een noodherstelplan zal worden gebruikt en onder welke omstandigheden herstelmaatregelen nodig zijn. Zorg ervoor dat elk plan resulteert in het hervatten van de diensten, met prioriteit voor de bedrijfseenheden of functies naar gelang van hun behoeften.

Stap 6: Ontwikkel een Incident Response Team

Dit team is verantwoordelijk voor de implementatie van een operationeel noodplan als het noodlot toeslaat. De bedrijfscontinuïteitsdienst van OASIS vermindert de noodzaak hiervoor door te voorzien in een extern bedrijfscontinuïteitsteam dat proactief uw back-ups en herstelplannen beheert vanaf een externe locatie, wanneer dat nodig is.

Stap 7: Stel een Incidentrapport op

Het incidentrapport dient de volgende zaken te vermelden:

  • Identificeren wat de storing heeft veroorzaakt, welke lopende problemen aangepakt dienen te worden, wat verbeterd kan worden in toekomstige noodherstelscenario’s en hoe de standaarden en protocollen zijn veranderd na de storing.
  • Controleer het herstel en verifieer de functionaliteit van de gebruikers zodra de back-up is voltooid (d.w.z. nagaan of alle gebruikers toegang hebben tot bronnen en applicaties).

Stap 8: Testen en Bijwerken

Uw bedrijfscontinuïteitsplan dient voortdurend getest en bijgewerkt te worden, waarbij eventuele tekortkomingen worden geïdentificeerd en de toekomstige uitvoerbaarheid wordt gewaarborgd. Met de bedrijfscontinuïteitsdienst van OASIS bent u hiervan verzekerd, via een jaarlijkse “proof of concept” oefening voor volledig herstel, compleet met rapportage na afloop van de calamiteit.