Bloggat – Behövs verkligen backup av Microsoft 365?
Åsikter och myter kring huruvida man behöver backup av sina SaaS-tjänster är väldigt många men vi på Advitum anser att det viktigaste är att ta reda på fakta och sedan ta ett informerat och väl övervägt beslut kring frågan.
Ska vi ta backup på våra SaaS-tjänster eller inte?
Syftet med denna blogg är att ge dig som läsare tillgång till den fakta som finns på området så opartiskt som möjligt.
Håll till godo, vi kommer även att diskutera denna fråga på Advitum Live 19 februari, se följande länk Advitum Live – Är din Microsoft 365 tenant verkligen säker? – Advitum Efter Advitum Live är genomfört kommer eventet finnas inspelat på följande länk play.advitum.se
Myt #1 SaaS applikationer behöver inte backup
Fakta
Leverantörer av SaaS-tjänster lägger stora resurser på att erbjuda prestanda, hög tillgänglighet samt skydd mot dataförlust i sina datacenter, MEN det skyddar inte mot radering av information (antingen omedvetet av användaren eller av någon med illasinnade intentioner). Inte heller skyddar det mot Ransomware som också kan infektera flertalet olika SaaS-tjänster.
Advitums analys
Vi anser att det är viktigt att känna till att det inte finns en regelrätt backup utan ofta bara så kallad retention, det vill säga att data behålls exempelvis 14 dagar innan det permanent tas bort från SaaS-tjänsten.
Myt #2 Filreplikering ersätter backup
Fakta
Filreplikering såsom Microsoft OneDrive eller Google Drive med inbyggd versionshantering kan ju tyckas ersätta regelrätt backup, men man bör tänka på följande faktorer.
- Versioner är inte återställningspunkter, det vill säga tas en fil bort så går det inte att återställa den
- Filreplikering ger ingen central hantering av backup och återställning, det ansvaret läggs på användaren
- Versioner erbjuder ingen möjlighet att i bulk återskapa mappar och större mängder filer vilket gör det väldigt tidskrävande
Advitums Analys
Filreplikering genom exempelvis OneDrive eller Google Drive lägger en stor del av ansvaret på slutanvändaren och har man inte datorovana användare så är risken att man tappar tid och pengar genom längre störningar än nödvändigt och högre belastning på helpdesk.
Myt #3 SaaS-tjänster är alltid tillgängliga
Fakta
Det stämmer helt enkelt inte! Statistiken säger något annat oavsett vilken leverantör man väljer att använda.
Advitums Analys
Många av Advitums kunder har haft som ett av de största argumenten för backupverktyg för SaaS-tjänster att ha tillgång till datat även om SaaS-tjänsten skulle vara otillgänglig i exempelvis 2 dygn, då kan man komma åt kritisk data och fortsätta arbeta.
Myt #4 Microsoft / Google är ansvariga för backup
Fakta
Det stämmer helt enkelt inte! Microsoft skriver exempelvis i sina avtal om en så kallad ”Shared Responsibility Model” där det uttryckligen står att kunden står för ”Data Backup”.
Advitum Analys
Slutsatsen är att man som kund har yttersta ansvaret för backup av data i SaaS-tjänsten och det gäller att väga risken att förlora data mot kostnaden för att implementera en backuplösning för sin SaaS-tjänst.
Om jag väljer att implementera backup för SaaS-tjänster, vad är då viktigt att tänka på?
Vår erfarenhet är att följande parametrar är viktiga att ha med i en utvärdering
- Vilka delar tas det backup på?
- Tar verktyget backup på de väsentliga delarna. I fallet Microsoft 365, tas backup på Teams, OneDrive, Sharepoint, Mail, kontakter osv?
- RTO/PTO
- Dessa två värden som beskriver hur snabbt man kan göra en återställning samt till vilken/vilka tider bakåt i tiden som man kan återställa till är naturligtvis väldigt viktiga och behöver utredas.
- Användarvänlighet
- Att verktyget är enkelt att använda utan att behöva kontakta leverantören är mycket viktigt
- Support från leverantör
- Ofta kan man välja att köpa SaaS-backup som en tjänst där leverantören sköter hela processen kring backup och återläsning. Ska vi köpa det som en tjänst eller inte är en viktig fråga att ställa sig.
- Säkerhet och regelefterföljande
- Dessa två parametrar är ju att anse som hygienfaktorer men kräver naturligtvis även de att utredas medan man utvärderar övriga delar, exempel kan vara att efterfölja regelverk som GDPR, SOC1 mm