Back-ups zonder test? Dat is geen plan, maar hoop
Veel organisaties denken dat hun data goed beschermd is, maar schijn bedriegt. Het grootste probleem ligt niet bij het ontbreken van back-ups, maar bij het feit dat ze zelden getest worden. En de cijfers liegen er niet om: meer dan 60% van de organisaties denkt binnen enkele uren te kunnen herstellen na een storing. In werkelijkheid slaagt slechts 35% daarin. We hebben het hier niet over een kloof, maar over een ravijn.
Tekst Rich Greene, SANS Senior Solutions Engineer
Back-ups zonder test zijn geen strategie
Organisaties vinken simpelweg het ‘back-upvakje’ aan en stellen zich niet de cruciale vraag: werkt het herstelproces daadwerkelijk? Een back-up die nooit is teruggezet, is geen plan. Het is hoop, en hoop is geen strategie. De data vertelt het verhaal: 76% van de organisaties heeft meer dan 100 dagen nodig om volledig te herstellen van een datalek (bron: IBM/Ponemon 2025), 60% van de back-ups is onvolledig en herstelpogingen mislukken in 50% van de gevallen (bron: Avast) en 87% van de IT-professionals maakte het afgelopen jaar een SaaS-dataverlies mee, waarbij menselijke fouten de belangrijkste oorzaak waren. Daarbovenop: 72% van dataverlies in de cloud ontstaat door verkeerde configuraties of gebruikersfouten, niet door externe aanvallen.
Het verschil tussen overleven en verdwijnen
Voor het mkb zijn de gevolgen vaak desastreus. Volgens het Ponemon Institute sluit 60% van de bedrijven haar deuren binnen zes maanden na ernstig dataverlies door een incident of cyberaanval. Daartegenover staat een opvallend positief beeld: 96% van de organisaties mét een back-up én een getest herstelplan overleeft cyberaanvallen. Het verschil zit dus niet alleen in het hebben van back-ups, maar in het hebben én testen van een effectief herstelplan.
Veel bedrijven vertrouwen op cloudplatforms zoals Microsoft 365 en Google Workspace, maar onderschatten hun eigen rol daarin. De standaard bewaarbeleid-instellingen zijn ontworpen voor continuïteit van de dienst, niet voor volledige databescherming. Governance, Risk and Compliance-teams (GRC) moeten deze instellingen actief toetsen aan wet- en regelgeving en interne risico’s. Zonder bewuste configuratie vertrouwen organisaties op standaardinstellingen die nooit bedoeld zijn als volledige back-upstrategie.
Nieuwe dreigingen richten zich op back-ups
De dreiging evolueert bovendien snel. Volgens het M-Trends 2026 rapport van Mandiant richten ransomware-aanvallers zich steeds vaker eerst op back-upsystemen, om herstel onmogelijk te maken. Het Data Breach Investigations Report 2025 van Verizon bevestigt dit beeld: 64% van de slachtoffers weigerde losgeld te betalen, juist omdat hun back-up- en herstelstrategie op orde was.
Op World Backup Day vandaag heb ik een tip: maak niet alleen back-ups, maar zet deze ook terug. Vandaag nog en test of het echt werkt. Ken je werkelijke hersteltijd en niet de theoretische op papier. En als je GRC-team je cloudinstellingen al een tijd niet heeft gecontroleerd, maak daar vandaag nog je prioriteit van. Back-ups zijn misschien niet ‘sexy’, maar ze maken het verschil tussen overleven en verdwijnen.
Rich Greene, SANS Senior Solutions Engineer.
Lees meer
