Checklist voor back-upstrategie conform het CyberFundamentals Framework

Checklist voor back-upstrategie conform het CyberFundamentals Framework: concreet, controleerbaar en geschikt voor audit & gap-analyse.

Om zelf een inschatting te maken van de maturiteit, maak je gebruik van volgende:

Identificeren

Doel: Weten welke data, systemen en processen back-up vereisen en wie verantwoordelijk is.

Vragen:

  • Heb je een actuele inventaris van alle IT-assets (fysiek, virtueel, SaaS) die back-ups
    vereisen?
  • Zijn kritieke processen en datatypes (zoals PII, bedrijfsdata, configdata) geklasseerd op
    gevoeligheid en beschikbaarheidsimpact?
  • Heb je een duidelijke mapping tussen processen, systemen, data en back-upvoorzieningen?
  • Zijn eigendomsrollen (data owners) expliciet toegewezen per dataset of applicatie?
  • Zijn back-ups meegenomen in het risicobeoordelingsproces van de organisatie?
  • Zijn alle kritieke afhankelijkheden (denk aan AD, DNS, bronnen voor authenticatie)
    opgenomen in het back-upplan?

Beschermen

Doel: Zeker stellen dat je back-ups daadwerkelijk veilig, volledig en bruikbaar zijn.

Vragen:

  • Is er een formeel back-upbeleid met duidelijke kaders rond frequentie, bewaartermijnen,
    versleuteling, testen en herstel?
  • Wordt data van alle kritieke processen geback-upt met de juiste frequentie?
  • Wordt de 3-2-1-regel toegepast?
  • Zijn alle back-ups versleuteld zowel ‘at rest’ als ‘in transit’?
  • Worden encryptiesleutels opgeslagen inclusief MFA, logging en afzonderlijke toegang?
  • Is toegang tot back-ups beperkt tot geautoriseerd personeel (RBAC + MFA)?
  • Gebruiken back-ups enkel onveranderlijke opslag die fysiek afgescheiden is?
  • Zijn SaaS-omgevingen expliciet opgenomen in het back-up plan?
  • Worden logs en configuraties van netwerkapparaten meegenomen in de back-ups?

Detecteren

Doel: Aanwijzingen voor mislukte, gemanipuleerde of verdachte back-ups snel detecteren.

Vragen:

  • Worden alle back-upjobs gelogd en gemonitord?
  • Is er een SIEM of monitoringtool gekoppeld aan je back-upplatform?
  • Worden authenticatiepogingen, wijzigingen en restores gelogd en geanalyseerd?
  • Wordt er gebruikgemaakt van anomaliedetectie?
  • Zijn meldingen over back-upincidenten opgenomen in het bredere security incident process?
  • Wordt bij elke back-up automatisch een integriteitscontrole uitgevoerd?

Reageren

Doel: Snel en gecoördineerd handelen bij back-upgerelateerde incidenten.

Vragen:

  • Is er een incident response plan dat expliciet verwijst naar dataverlies en back-upfouten?
  • Wordt in dat plan rekening gehouden met ransomware, sabotage, corruptie,
    misconfiguratie?
  • Is er een escalatieprocedure voor back-upincidenten inclusief contactpersonen en
    verantwoordelijkheden?
  • Worden back-upincidenten gecorreleerd met andere beveiligingsincidenten?
  • Zijn oefenscenario’s uitgevoerd waarbij herstel vanuit back-up integraal deel uitmaakte van
    de reactie?
  • Zijn externe partijen opgenomen in de communicatie- en reactiecyclus?

Herstellen

Doel: Je kunt systemen en gegevens terugbrengen binnen afgesproken tijd en zonder
verrassingen.

Vragen:

  • Zijn er geteste herstelprocedures per type systeem?
  • Worden regelmatig restore-oefeningen uitgevoerd, zowel volledig als gedeeltelijk?
  • Zijn RTO (hersteltijd) en RPO (dataverlieslimiet) formeel vastgelegd per dataclassificatie of
    dienst?
  • Worden testresultaten van oefeningen gedocumenteerd én geëvalueerd met een ‘lessons
    learned’?
  • Wordt het herstellen ook getest onder crisisscenario’s?
  • Is het herstelproces gedocumenteerd en voor iedereen beschikbaar die het nodig heeft?
  • Zijn back-ups getest op bruikbaarheid na software- of platformupdates?