De fleste virksomheder har en form for backup. Mange tror derfor, at de er klar til det værste. Men backup og disaster recovery er to forskellige ting — og forveksler man dem, kan det koste dyrt den dag, der virkelig går noget galt.

Hvad er forskellen?

En backup er en kopi af dine data. Det er dit sikkerhedsnet, hvis en fil slettes ved en fejl, en database korrupteres, eller en harddisk svigter. Backup handler om data — ikke om systemer, konfigurationer eller den tid det tager at komme online igen.

En disaster recovery-plan (DR-plan) er et komplet sæt procedurer for, hvordan hele din IT-infrastruktur genoprettes efter en alvorlig hændelse — et ransomware-angreb, en brand, en strømskade eller et serverhavari. En DR-plan beskriver ikke bare hvad der skal gendannes, men hvem der gør hvad, i hvilken rækkefølge, og inden for hvilken tidsramme.

Sagt simpelt: backup er et af redskaberne i en DR-plan — men det er langt fra det hele.

Husk: En backup du aldrig har testet, er ikke en backup — det er et håb. Undersøgelser viser, at op mod 30 % af backup-gendannelsesforsøg mislykkes første gang, fordi proceduren aldrig er øvet i praksis.

RTO og RPO — to tal der definerer dine behov

For at vide hvad du har brug for, skal du kende to centrale begreber:

RTO — Recovery Time Objective er det maksimale tidsrum, din virksomhed kan acceptere at være nede. Har du en webshop, er svaret måske 2 timer. Er du en intern administrationsafdeling, er det måske 24 timer. RTO styrer, hvor hurtigt dit gendannelsessystem skal kunne reagere.

RPO — Recovery Point Objective er det maksimale datatab, du kan acceptere målt i tid. Tager du backup én gang i døgnet, er dit RPO 24 timer — du risikerer at miste op til en hel dags arbejde. Tager du backup hvert 15. minut, er RPO 15 minutter.

Et konkret eksempel: Et ingeniørfirma med projekter i gang hele dagen har et RPO-krav på maksimalt 1 time. Det kræver hyppig, automatiseret backup til en ekstern lokation — ikke en nattlig backup til en USB-disk i skuffen.

Hvornår er backup nok — og hvornår er en DR-plan nødvendig?

Backup alene kan være tilstrækkeligt, hvis din virksomhed kan tolerere lang nedetid, dine systemer er enkle at genetablere, og du ikke har kritiske forretningsprocesser, der kræver høj tilgængelighed. Det kan fx gælde en enkeltmandsvirksomhed eller en virksomhed med meget få digitale afhængigheder.

En fuld DR-plan er nødvendig, hvis:

  • Nedetid på mere end nogle timer har direkte omsætningspåvirkning
  • Du har kunder eller kontrakter med SLA-krav til tilgængelighed
  • Du behandler persondata eller er underlagt regulering (GDPR, NIS2 m.fl.)
  • Din IT-infrastruktur er kompleks med servere, databaser og integrationer
  • Du tidligere har oplevet angreb eller alvorlige nedbrud

Selvvurdering: Er du klar?

Brug denne tjekliste til at vurdere din nuværende situation:

  • Jeg ved præcis, hvornår min seneste backup blev taget og hvad den indeholder
  • Min backup er gemt offsite eller i skyen — ikke kun lokalt
  • Jeg har testet en gendannelse inden for de seneste 6 måneder
  • Jeg har nedskrevet, hvem der kontaktes og i hvilken rækkefølge ved et nedbrud
  • Jeg kender min virksomheds RTO og RPO
  • Mine medarbejdere ved, hvad de skal gøre, hvis IT svigter

Kan du sætte kryds ved alle punkter, er du godt på vej. Er der flueben der mangler, er det værd at tage en snak om, hvad et simpelt DR-fundament ville koste at etablere.