RTO, RPO en business continuity zijn begrippen die de meeste managers liever niet hardop uitspreken. Toch bepalen ze of jouw bedrijf een cyberincident of technische storing overleeft, of er maanden last van houdt.
Ik stel hem daarom bewust concreet: hoelang kun jij zonder je e-mail? Zonder je boekhoudsysteem? Zonder toegang tot klantdossiers?
Een uur? Een dag? Een week?
Wat zijn RTO, RPO en business continuity?
RTO en RPO zijn twee begrippen uit de wereld van business continuity. Ze klinken technisch, maar het zijn in de kern zakelijke keuzes die de directie moet maken.
RTO staat voor Recovery Time Objective. Dit is de maximale tijd die je accepteert voordat je systemen weer operationeel zijn na een storing of incident. Stel: je CRM-systeem valt uit op maandagochtend. Hoe lang kunnen jouw mensen werken zonder dat systeem voordat de schade voor klanten, omzet of reputatie onaanvaardbaar wordt? Dat antwoord, in uren of dagen, is jouw RTO.
RPO staat voor Recovery Point Objective. Dit gaat over hoever je data mag terugdraaien bij een herstel. Als back-ups elke 24 uur gemaakt worden en er gaat iets mis om 17:00, ben je mogelijk een hele werkdag aan data kwijt. Voor een productiebedrijf is dat misschien te overzien. Voor een notariskantoor of zorginstelling kan dat betekenen dat cruciale dossiers verdwenen zijn.
Accepteren dat het misgaat is de eerste stap
Veel organisaties investeren terecht in preventie. Toch is er een blinde vlek: wat doe je na een incident?
De meest veerkrachtige bedrijven die ik tegenkom, hebben één ding gemeen. Ze hebben nagedacht over het moment dat het misgaat. Niet uit angst, maar vanuit eigenaarschap. Ze weten wat ze kwijt kunnen zijn en hoe snel ze weer moeten draaien.
Bovendien hebben ze die afspraken op papier staan. (zoals dmv een ISO27001 traject) Dat maakt het verschil.
Waarom RTO, RPO en business continuity geen IT-beslissing zijn
RTO en RPO zijn geen technische instellingen die IT zomaar kan bepalen. Als directeur of manager bepaal jij welk verlies aanvaardbaar is voor jouw bedrijf. IT kan dat vervolgens technisch inrichten, maar de norm stelt u.
Wij zien bij klanten dat dit gesprek vaak nooit heeft plaatsgevonden. Er is een back-upoplossing, er is een IT-partij. Maar niemand weet precies: wat herstellen we als het straks echt misgaat, en binnen welke tijd moet dat geregeld zijn?
Gelukkig is dat een risico dat je kunt managen.
Waarom RTO en RPO cruciaal zijn voor jouw bedrijfscontinuïteit
Zonder vastgestelde RTO en RPO heb je geen meetlat. Daardoor weet je pas na een incident of je herstel snel genoeg was en hoeveel data je bent kwijtgeraakt. Op dat moment is het te laat om bij te sturen.
Met duidelijke doelstellingen kun je bovendien je technische inrichting daarop afstemmen. Zo weet IT precies hoe frequent back-ups nodig zijn, hoe systemen ingericht moeten worden en wat prioriteit heeft bij herstel.
Hoe FidelSec dit aanpakt
Bij FidelSec werken wij met klanten aan een business continuity plan. Dat is een concreet document dat beschrijft hoe de organisatie blijft functioneren bij een serieus incident.
Dat begint echter niet met techniek. Het begaat met vragen als: welke systemen zijn bedrijfskritisch? Welke processen mogen absoluut niet stilliggen? Wat zijn de financiële en juridische gevolgen per dag uitval?
Op basis daarvan stellen we de RTO en RPO per systeem vast, samen met de directie. Vervolgens toetsen we of de huidige technische inrichting die doelstellingen ook echt haalt.
Testen. Altijd testen.
Een plan dat nooit getest is, is geen plan. Het is een document.
Daarom voeren wij samen met klanten herstelscenario’s uit. We simuleren een ransomware-aanval, een server die crasht of een leverancier die wegvalt. Vervolgens meten we: hoe snel zijn we hersteld? Haalden we de afgesproken RTO? Hoeveel data zijn we kwijtgeraakt ten opzichte van de RPO?
De uitkomst verrast bijna altijd. Niet omdat de organisatie slecht bezig is, maar omdat het verschil tussen theorie en praktijk pas zichtbaar wordt als je daadwerkelijk test.
Die test is geen beoordeling. Het is een momentopname die laat zien waar ruimte voor verbetering zit, voor je het echt nodig hebt.
Wat kun je vandaag al doen?
Je hoeft niet direct een volledig traject in te stappen. Begin daarom klein.
Vraag je IT-verantwoordelijke: wat is onze huidige hersteltijd na een back-upherstel? Bepaal vervolgens zelf welke systemen zo kritisch zijn dat uitval van meer dan vier uur onaanvaardbaar is. Leg die twee lijsten dan naast elkaar.
Als ze niet overeenkomen, weet je waar de aandacht naartoe moet.
Veerkracht begint bij de juiste vraag
Veerkracht begint niet bij de firewall. Het begint bij de vraag: hoe lang kunnen wij dit missen?
Als je dat antwoord scherp hebt, kun je een plan maken. Met een goed plan is een incident vervelend, maar geen ramp.
Wil je weten hoe jouw organisatie ervoor staat? Plan vrijblijvend een afspraak in. Ik denk graag met je mee.
Muhammed Akbulut
Cyber Security Expert
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?