Archief - De topics van lang geleden

Uitbesteden back-ups is onverstandig

08-05-2006, 12:24 door Redactie, 23 reacties

Vorige week werd bekend dat een Amerikaans databeschermings en opslagbedrijf de back-up tapes van twee klanten was kwijtgeraakt. Nu was dit niet de eerste keer, want ook vorig jaar gebeurde dit. Nu staan de incidenten bij Iron Mountain niet op zichzelf. Ook bij andere back-up providers wordt er nog weleens een tape of schijf verloren.

Een kwalijke zaak. Niet alleen bestaat de kans op identiteitsdiefstal en het lekken van vertrouwelijke bedrijfsgegevens, ook het imago van het bedrijf raakt beschadigd. Als een bedrijf zelf haar back-ups maakt blijven de gegevens binnen de onderneming. In het ideale geval doet het bedrijf ook het transport, want zelfs erkende transporteurs raken hun lading weleens kwijt. Onze stelling luidt derhalve: Uitbesteden back-ups is onverstandig

Reacties (23)
08-05-2006, 12:42 door Anoniem
Tsja alles zelf doen is per definitie altijd beter.....
08-05-2006, 12:47 door Anoniem
En waarom is het dan verstandiger het niet uit te besteden. Ja er gaat wel
eens iets fout maar elke actie heeft een risico. Zo ook het intern houden
van backups. Als de backups niet de onderneming verlaren moeten deze
wel brandveilig opgeslagen zijn. Wanneer de data offsite wordt gebracht
zijn hier ook risico's mee verbonden.
08-05-2006, 13:02 door Anoniem
Technisch gezien zou alle data welke het bedrijf verlaat, geencrypt moeten
worden en moet er een eigenaar aan gekoppeld zijn, welke
verantwoordelijk is voor de data. Bij een 'externe' backup oplossing is er
niemand (meer) verantwoordelijk voor, en externe backups zou dus om die
reden alleen al niet mogelijk moeten zijn. Zowiezo is het minste dat de
backup gecodeerd is, dan heb je een tape of disk waar je niets mee kunt.
AS
08-05-2006, 13:10 door wimbo
ach, het is net zo verstanding als het compleet outsourcen
van je IT naar India...
Valt immers ook onder de categorie; de tijd zal het leren.

Geld besparen door outsourcing hoeft niet altijd gunstig te
zijn.
08-05-2006, 13:18 door Anoniem
Uitbesteden back-ups is niet onverstandig. De grote vraag is
bij wie je het doet en hoe deze met je tapes omgaat. Dat
laatste daar gaat het hier mis.

Als je niet groot genoeg bent om meerdere data-centers te
hebben, dan is het al snel een economisch en praktisch
betere keuze zijn om deze back-ups bij een commerciële
aanbieder onder te Je alternatieven zijn nog slechter nl:
- On-site laten. Tapes breng je off-site, omdat anders in
geval van brand je weinig hebt aan de inhoud van de tapes.
brengen.
- Mee naar huis nemen door werknemer/management -->
risico's diefstal uit auto/huis werknemer, vergeten in de
trein, per ongeluk weggooien --> denk aan Joost Tonino en
USB-stick van de Regionale Inlichtingen en Veiligheidsdiensten.

Misschien is de beste optie om als je van een lokaal
glasvezelnet gebruik kunt maken 's nachts backups te draaien
over dat netwerk. (Denk bv aan de gebruikers van TRENT in
Enschede )
08-05-2006, 13:24 door Anoniem
Zie ook mijn reactie:
http://www.security.nl/article/13484/1/Back-up_aanbieder_verliest_weer_tapes_van_klanten.html
(5e reactie).

Voor de duidelijkheid: security betekent informatie
beveiligen. En niet alleen tegen onvrijwillige disclosure (=
confidentiality) maar ook tegen verlies van die informatie
(availability). Dat is dus de reden om backups te maken.
Het maken van backups is een kostbare aangelegenheid, en
wordt, zeker in grotere omgevingen, steeds kostbaarder. Er
zitten tegenwoordig ook allerlei compliance-aspecten aan,
bijvoorbeeld het verplicht beschikbaar houden van
historischedata voor bijvoorbeeld de belastingdienst.

Uitbesteden van backup-voorzieningen valt in het zelfde
straatje als het uitbesteden van zaken als beheer en
ontwikkeling. Er zitten voors en tegen aan, en die afweging
maken, met de daarbij behorende risico's, daar gaat het om.
De stelling zoals de redactie deze poneert is dan ook zonder
meer te kort door de bocht.
08-05-2006, 14:12 door Anoniem
Beste oplossing: twee volledige, geverifiëerde backups
elders onderbrengen en via VPN een backup draaien op afstand.

In ieder stap pas je uiteraard versleuteling toe.
08-05-2006, 15:29 door wimbo
Door Anoniem
Beste oplossing: twee volledige, geverifiëerde backups
elders onderbrengen en via VPN een backup draaien op afstand.

In ieder stap pas je uiteraard versleuteling toe.

ik neem aan dat je incremental backups via die VPN bedoelt.
Voor full backup is VPN bijna niet haalbaar (voor kleinere
bedrijven).

40GByte aan data is tegenwoordig niets meer. Probeer dat
maar eens (geverifieerd) in een nachtje te backuppen. Daar
heb je toch een behoorlijke pijp voor nodig.
09-05-2006, 09:41 door Anoniem
Is het maken van BACKUPS nog wel relevant in deze tijd (we gebruiken
immers geen floppy's meer van 360kb en onze hoeveelheden data zijn vele
malen groter dan de backup-windows)... Data staat tegenwoordig op
volledige redundante storage omgevingen, vaak al gesplitst in 2 locaties
(dus who cares about een fik)... Dan is backuppen alleen maar lastig,
onveilig en traag en uiteindelijk ZINLOOS. En als er al data veilig gesteld
moet worden, dan kan dat op het redundante storage netwerk. Geen
systeembeheerders die met levensgevaarlijke data THUIS kunnen
spelen... Of onderweg kwijt kunnen raken enz.
09-05-2006, 11:00 door Anoniem
Bij de AIVD backuppen ze gelukkig zelf op USB sticks...

Maar goed. IT moet je als bedrijf uitbesteden. Ieder zijn
vak. Waarom zou je een complete helpdesk, lan management,
backup organisatie, blablabla inrichten terwijl andere
bedrijven zulke diensten leveren? Waarom zou je zelf die
hoofdpijn willen? Ik begrijp dat hele outsourcen wel hoor.
Waarom zou bijvoorbeeld een bank computer proffessionals
nodig hebben? Geld is hun vak. Laat ze iemand inhuren voor
de IT. Binnen de bank werken toch ook geen koffieboon malers
voor de koffie?
09-05-2006, 11:02 door Anoniem
Door Anoniem
Is het maken van BACKUPS nog wel relevant in deze tijd ...
Data staat tegenwoordig op
volledige redundante storage omgevingen, vaak al gesplitst
in 2 locaties
(dus who cares about een fik)...

Backuppen doe je niet alleen voor disaster recovery. Ik zou
de echte cijfers wel eens willen zien maar ik gok dat 99%
van de restore akties moet worden uitgevoerd door "human
error" (iemand gooit per ongeluk wat weg). Dan ben je mooi
in de aap gelogeerd met je redundant storage die de delete
aktie binnen 0.0000nogwat seconde heeft gesynchroniseerd.
09-05-2006, 15:54 door Anoniem
backuppen doe je sowieso nooit en te nimmer op optical media
zoals het plaatje suggereert bij dit bericht.
maar dat ter zijde...
09-05-2006, 20:13 door Anoniem
Door Anoniem
Door Anoniem
Is het maken van BACKUPS nog wel relevant in deze tijd ...
Data staat tegenwoordig op
volledige redundante storage omgevingen, vaak al gesplitst
in 2 locaties
(dus who cares about een fik)...

Backuppen doe je niet alleen voor disaster recovery. Ik zou
de echte cijfers wel eens willen zien maar ik gok dat 99%
van de restore akties moet worden uitgevoerd door "human
error" (iemand gooit per ongeluk wat weg). Dan ben je mooi
in de aap gelogeerd met je redundant storage die de delete
aktie binnen 0.0000nogwat seconde heeft gesynchroniseerd.
Een replica is dan ook geen backup. En inderdaad disaster recovery
komt niet zo vaak voor. En als het voorkomt is de laatste versie dan wel
goed genoeg? Dat hoeft helemaal niet.
10-05-2006, 02:39 door Anoniem
zo te zien aan het plaatje bij dit artikel maakt security.nl
backups op cd's wat alles behalve een betrouwbaar medium
voor backups is.

breekbaar, zeer lichtgevoelig en soms al slecht leesbaar
voor spelers van een andere serie of merk.
ook het branden kan in de praktijk al vaak een boel data
corruptie opleveren als de cd bv al een tijdje heeft gelegen
of is opgeslagen geweest in een te warme ruimte wat je pas
terug ziet als je een checksum van de gebrande data maakt en
vergelijkt met de checksum van het orgineel.

ik kan het weten want ik brand me een ongeluk bij het
uitkomen van weer een nieuwe linux distro.

en waarom heb ik toch het idee dat mijn reactie weer niet
geplaatst gaat worden?
10-05-2006, 09:21 door SirDice
Wel eens bedacht dat je je backups gewoon kunt encrypten?
Dan maakt het niet uit of de tapes kwijt raken.. Tenzij je
ze nodig hebt om te restoren natuurlijk ;)
10-05-2006, 14:44 door Anoniem
Door SirDice
Wel eens bedacht dat je je backups gewoon kunt encrypten?
Dan maakt het niet uit of de tapes kwijt raken.. Tenzij je
ze nodig hebt om te restoren natuurlijk ;)

Encryptie is niet de oplossing voor alles! Heb je wel eens
nagedacht over key management problematiek?
11-05-2006, 14:58 door SirDice
Voor elke oplossing is een probleem te bedenken ;)
12-05-2006, 07:45 door Anoniem
Tja, dan heb je straks de oplossing, past het probleem er
niet meer bij :-)
12-05-2006, 12:39 door Anoniem
Hoe wordt de integriteit van de externe partij geborgd, zeker met kritische
data.
12-05-2006, 13:34 door Anoniem
Nee uitspraken doen over iets wat erg situatie gebonden is dat is pas
verstandig.
12-05-2006, 13:36 door Anoniem
SFAE; Ik zou bij kritische data in zee gaan met partijen die een dual homed
DATA-center hebben met data replicering waarbij er een contract bestaat
om de integriteit en de garanties te borgen ( misschien kostbaar maar
data is vaak onbetaalbaar).
17-05-2006, 09:43 door JF Bethlehem
Mee eens.

Ik heb ervaring met backups die beheerd worden door een
derde partij: Geen enkele van de backups die gemaakt werden
waren gegarandeerd goed; terugzetten ging regelmatig fout;
als de tapes op waren, werden er geen nieuwe gekocht, maar
stopten de backups; storingen met de tapes werden niet
gemeld; tapes werden niet altijd meegenomen naar een andere
locatie; en nog veel meer kopzorgen.

Doe het zelf, kost misschien wat meer omdat je een extra
mannetje moet inhuren (hoewel dat waarschijnlijk goedkoper
is dan het betalen van een derde partij), maar dan heb je
tenminste wat.
15-04-2010, 11:47 door Anoniem
Uitbesteden backups is onverstandig als je praat over tapes. Met een backup over een secure-line, waarbij de data gede-dupliceerd wordt verzonden naar een centrale backup to disk oplossing is echter WEL een verstandige oplossing.
Tapes worden momenteel hard ingehaald door disk based oplossingen op basis van deduplicatie. Als op de source wordt gededupliceerd, hoeven alleen veranderingen over de lijn. Er is dus een beperkte lijncapaciteit nodig..
De data wordt versleuteld verstuurd en opgeslagen, in een beveiligde omgeving. Tapes vallen nog wel eens van de vrachtwagen.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.