5 redenen om wél een Office/Microsoft 365 back-up te maken
Vroeger (en dat is niet heel lang geleden in de ICT) kocht je een pakketje Microsoft Office met Word, Excel, Powerpoint en dergelijke. De bestanden bewaarde je op de fileserver en jouw mail, agenda en dergelijke op de Exchange- of mailserver. Je maakte zelf een back-up voor het geval er wat verloren raakte en deed pogingen om consequent een back-up buiten de deur te bewaren. Tegenwoordig hebben we een abonnement op Microsoft 365 (voorheen Office 365). De programma’s die we eerder kochten zijn nu slechts een onderdeeltje van de gehele dienst. Met de dienst hoeven we zelf geen Exchangeserver (Microsoft mailserver) meer te kopen. De bestanden slaan we tegenwoordig op in de Microsoft Cloud, vaak via Teams of direct vanuit je Word, Excel of ander Office programma. Het is superhandig omdat je nu in bestanden t.b.v. projecten en dergelijke kunt samenwerken met mensen binnen én buiten jouw organisatie. Altijd en overal! Handig ook, want dat betekent dat we ook geen back-up meer hoeven te maken. Microsoft draagt daar immers zorg voor. Ja toch Microsoft???
Het antwoord op die vraag luidt “nee”. Microsoft gebruikt zo’n beetje alle beschikbare technologie om de dienst altijd beschikbaar te houden maar zorgt niet voor de back-up van jouw informatie. Het enige dat Microsoft 365 faciliteert is een prullenbak waar verwijderde items nog dertig dagen bewaard worden voordat ze definitief worden verwijderd. Hier legt Microsoft haar beleid over gedeelde verantwoordelijkheid uit.
Voor de goede orde: Over welke informatie praten we dan? We hebben het over de bestanden, mail, agenda’s, contactpersonen, communicatie in Teams en alle andere instellingen van jouw organisatie. En nu de populariteit van Teams zo toeneemt, wat dan te denken van alle instellingen, configuratie, leden- en rechtenadministratie binnen Teams. Ook daar maakt Microsoft geen back-up van.
Ik las dat het gemiddeld 140 dagen duurt voordat ontdekt wordt dat er informatie mist en dat komt inderdaad overeen met de ervaringen bij onze helpdesk. Neem dus de volgende vijf overwegingen mee in je besluitvorming voordat je aanneemt dat de standaard Microsoft prullenbak volstaat.
1. Per ongeluk gewist
Als een gebruiker wordt verwijderd, of dit nu de bedoeling is of niet, wordt dit gedaan inclusief het verwijderen van het OneDrive voor Bedrijven-account en de mailbox inclusief prullenbak en versiegeschiedenis. Microsoft 365 beschermt beperkt tegen gegevensverlies waardoor het corrigeren van een dergelijke actie een behoorlijk gedoe wordt waarbij resultaat niet kan worden gegarandeerd. Na de eerdergenoemde bewaartermijn is de informatie echt onherstelbaar kwijt.
Een prullenbak is niet bedoeld als back-upoplossing. Binnen jouw eigen back-upoplossing bepaal je zelf je bewaartermijn en zet je snel en eenvoudige (of dat laat je door ons doen) gehele postbussen, dat ene mailtje, bestandje of agenda-item terug. Jezelf overtuigen? Wis “per ongeluk” een belangrijk agenda-item en probeer het terug te zetten.
2. Hou het overzichtelijk en simpel met een back-up- en retentiebeleid
Microsoft 365 heeft een beperkt functie om de schade van een vergissing weer terug te draaien. Zie het als een soort Control-Z toets om snel een bewerking ongedaan te maken. Dus als je nu per ongeluk een mailtje wist dan vis je dat direct weer uit je prullenbak. Maar wat als die afspraken van vorige maand, vorig jaar of eerder niet terug te vinden zijn? We hebben laatst meegemaakt dat een ondernemer een oude (en niet gewiste) telefoon aan zijn zoon gaf waarna deze handmatig alle agenda- en mailitems grondig verwijderde. Met verbazing zag hij hoe voor zijn neus zijn mailbox en agenda in Outlook leegliep.
Binnen een deugdelijke back-up oplossing ga je terug naar een punt in de tijd waarna je het item of de items terug kunt zetten die jij wilt. Wij vinden dat we een back-up strategie eenvoudig moeten kunnen overzien zodat je in het onverhoopte geval van een restoren niet schrikt dat je wat vergeten bent in de back-up. Dat maakt gegevensherstel snel en betrouwbaar!
3. Interne bedreigingen
Wij als ICT’ers denken vaak in technologie en de manier om informatie op een technologische manier te beveiligen. Maar we weten wel beter. Ironisch genoeg zit de grootste bedreiging van datalekken en -verlies tussen de rugleuning van de bureaustoel en het toetsenbord.
Al ga je uit van het goede van de mens, uiteindelijk hoeft er maar één vergissing door één medewerker gemaakt te worden om belangrijke informatie te verliezen.
En ging je al niet meer uit van het goede van een bepaalde medewerker? Is het hem of haar dan toch gelukt om bedrijfskritische informatie te verwijderen, belangrijke gegevens naar anderen of naar privé te mailen (welke?) en dit vervolgens te wissen? Een handige werknemer kan op strategische wijze belastende e-mails of bestanden grondig verwijderen waardoor deze items buiten het bereik van een HR- of juridisch afdeling blijven.
Een goede back-upvoorziening maakt realtime back-ups en laat je van minuut tot minuut zien welke bestand gemaakt of gewist is en welke mail verstuurd, ontvangen of verwijderd is.
4. Externe bedreigingen
Het zal je niet ontgaan zijn dat malware en virussen, zoals ransomware, ernstige schade hebben aangericht aan organisaties over de hele wereld. We hebben niet de intentie om je bang te maken maar zijn uit ervaring wel erg realistisch geworden. Het is gevaarlijk naïef om te denken dat dit jouw organisatie niet kan overkomen. Bovendien neemt met de groei van jouw bedrijf evenredig de kans toe dat het bedrijf getroffen wordt.
Naast de reputatieschade die je hiermee oploopt, kan privacygevoelige informatie lekken en verstuur je schadelijke software naar jouw relaties die daar niet blij van worden. Externe bedreigingen kunnen binnensluipen via e-mails en bijlagen en je had je ertegen kunnen beschermen. Voorlichting naar medewerkers is goed maar biedt helaas geen garanties, vooral wanneer de geïnfecteerde berichten niet van echt te onderscheiden zijn.
De beperkte back-up- en herstelfuncties van Microsoft 365 zijn onvoldoende als middel tegen ernstige aanvallen. Regelmatige back-ups bieden je de mogelijkheid om de situatie van een bepaald moment te herstellen. Dat betekent dus dat (opzettelijk) gewiste mail of bestanden hersteld kunnen worden of dat de gegevens hersteld worden voordat de infectie plaatsvond.
5. Bewaren en bewijzen
Dit is de naam van een boekje dat door iedereen vrij te downloaden is en waarin je de wettelijke bewaartermijnen van informatie vindt en welke informatie je nodig hebt als bewijslast. We hopen dat het je bespaard blijft maar soms moet je onverwacht e-mails, bestanden of andere soorten gegevens ophalen tijdens een onverhoopt juridisch geschil. Microsoft heeft wel wat veiligheid ingebouwd maar het is geen robuuste back-upoplossing die je bedrijf snel van de informatie voorziet die je uit juridische problemen houdt.
Als je met een goede back-upoplossing bijvoorbeeld per ongeluk e-mails of documenten verwijdert voordat de wettelijke bewaartermijn is overschreden, kunt je deze nog steeds terugkrijgen om ervoor te zorgen dat het aan de wettelijke verplichtingen voldoet. Voorkom boetes, straffen en juridische geschillen.
Tot slot
Laten we wél wezen. Dit blog gaat over het nut van back-ups van jouw Microsoft 365 omgeving en dat hééft nut. Maar waar we het liever over hebben is hoe we schade en gedoe kunnen voorkomen. Want als een gebruikersnaam en wachtwoord niet volstaan om in te loggen dan hou je hackers al tegen bij de deur. Als de bijlagen aan een mail door een beveiligingsoplossing al getest is voordat jij het opent, dan weet je dat ransomware jouw bedrijf niet schaadt. En als een wachtwoordmanager verplicht is, dan zorg je er voor dat geen enkel wachtwoord hetzelfde is maar dat ze toch voor bevoegden beschikbaar zijn. Daarom gaan wij voor ICT zonder gedoe.