Intern backup kontra outsourcing: en ärlig jämförelse

Det finns scenarion där intern hantering är rätt val. Om ni har ett dedikerat backup-team med djup kompetens, testar återställningar regelbundet och har geografiskt separerad infrastruktur — fortsätt med det. Men för de flesta medelstora svenska företag ser verkligheten annorlunda ut.

Det starkaste argumentet för outsourcing är inte kostnaden — det är att backup hamnar i händerna på folk vars enda uppgift är att se till att den fungerar. Generalist-IT-avdelningar tenderar att prioritera det som syns: nya funktioner, användarstöd, nätverksproblem. Backup fungerar tyst i bakgrunden — tills den inte gör det.

Kravställning: vad SLA:n måste innehålla

En backup-SLA utan substans är inte värd pappret den skrivs på. Här är de parametrar som verkligen spelar roll:

RPO och RTO — de två viktigaste siffrorna

RPO (Recovery Point Objective) anger hur mycket data ni tolererar att förlora, uttryckt i tid. En RPO på 4 timmar innebär att ni accepterar förlust av data som skapats de senaste 4 timmarna före incidenten. RTO (Recovery Time Objective) anger hur snabbt systemen ska vara tillbaka i drift.

Dessa värden ska bestämmas per system, inte som en generell siffra. Ert affärskritiska ERP-system kräver sannolikt RPO på 1 timme och RTO på 2 timmar. Marknadsavdelningens filserver klarar sig med RPO 24 timmar och RTO 8 timmar. Prissättningen speglar dessa skillnader, och en seriös MSP hjälper er att klassificera systemen rätt.

Testa, testa, testa

SLA:n bör specificera:

• Testfrekvens: kvartalsvis för affärskritiska system, årligen för övriga
• Testmetod: fullständig återställning till isolerad miljö — inte bara kontroll av att backupjobbet rapporterar "OK"
• Dokumentation: varje test ska resultera i en rapport med faktisk RTO, verifierad dataintegritet och eventuella avvikelser
• Ansvar vid misslyckad test: vad händer om testet visar att SLA-värden inte uppnås? En bra MSP åtgärdar och omtestar utan extra kostnad.

Retentions- och raderingspolicyer

GDPR:s princip om lagringsminimering (artikel 5.1e) innebär att ni inte kan spara allt för evigt "för säkerhets skull". SLA:n ska definiera retentionstider per datakategori och beskriva hur radering genomförs — inklusive i backupmedia. Det här är ett område där många organisationer har blinda fläckar.

GDPR och svensk datahemvist: vad lagen faktiskt kräver

Många svenska företag tror att GDPR kräver att data lagras i Sverige. Det stämmer inte helt. GDPR tillåter lagring var som helst inom EU/EES utan särskilda tilläggsåtgärder. Överföring till tredjeland (exempelvis USA) kräver däremot adekvata skyddsmekanismer — standardavtalsklausuler (SCC) och, i praktiken efter Schrems II-domen, en Transfer Impact Assessment.

Det som är obligatoriskt:

• Personuppgiftsbiträdesavtal (PuB-avtal) enligt GDPR artikel 28 mellan er som personuppgiftsansvarig och MSP:n som personuppgiftsbiträde
• Dokumentation av tekniska och organisatoriska åtgärder (TOM) som MSP:n implementerar
• Incidenthanteringsrutin som säkerställer att ni kan rapportera personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) inom 72 timmar

Vissa branscher — särskilt offentlig sektor, hälso- och sjukvård samt finansiella tjänster — har ytterligare krav på datahemvist. Om ni har sådana krav, kräv lagring i svenska datacenter. Opsio erbjuder backup-lagring i AWS eu-north-1 (Stockholm) och Azure Sweden Central, vilket ger fullständig svensk datahemvist med redundans inom regionens tillgänglighetszoner.

Molnsäkerhet och compliance

Ransomware-skydd: varför vanlig backup inte räcker

Ransomware har förändrat spelplanen för backup fundamentalt. Moderna ransomware-varianter söker aktivt upp och krypterar eller raderar backuper innan de krypterar produktionsdata. Enligt Flexeras State of the Cloud har säkerhet konsekvent rankats som den främsta oron bland molnanvändare — och ransomware är en central del av den oron.

Effektivt skydd kräver:

1. Immutable backups (oföränderliga kopior): backuper som inte kan raderas eller modifieras under retentionsperioden, oavsett vilka rättigheter angriparen lyckas komma åt. AWS S3 Object Lock och Azure Immutable Blob Storage är etablerade lösningar.

2. Air-gapped kopior: minst en backupkopia som är logiskt eller fysiskt separerad från produktionsnätverket. En outsourcad backup hos en MSP uppfyller ofta detta krav automatiskt — förutsatt att MSP:ns miljö inte är direkt nåbar från er infrastruktur.

3. Snabb detektering av anomalier: om ett backupjobb plötsligt skriver 10x normal datavolym kan det vara ett tecken på att data just krypteras. En MSP med 24/7-övervakning fångar detta; ett internt team som kollar loggarna på måndag morgon gör det inte.

3-2-1-regeln — fortfarande relevant

Principen att ha 3 kopior av data, på 2 olika mediatyper, varav 1 off-site, formulerades långt före molnets tid men är fortfarande den mest robusta grunden. I modern tappning ser det ofta ut så här:

• Kopia 1: produktionsdata (lokal lagring)
• Kopia 2: lokal backup (annan server/NAS i samma datacenter)
• Kopia 3: molnbaserad backup hos MSP (geografiskt separerad, immutable)

Vissa organisationer utökar till 3-2-1-1-0: en extra immutable kopia och noll overifierade backuper.

Så väljer ni rätt MSP för backup outsourcing

Marknaden är full av leverantörer som erbjuder backup-tjänster. Att skilja de seriösa från de ytliga kräver att ni ställer rätt frågor:

Checklista vid leverantörsutvärdering

• Certifieringar: ISO/IEC 27001 är miniminivån. SOC 2 Type II ger ytterligare trygghet kring kontrollernas faktiska effektivitet över tid.
• Datacenterplacering: var lagras data geografiskt? Kan ni välja svensk placering?
• Kryptering: krypteras data både under överföring (in transit) och i vila (at rest)? Vem kontrollerar krypteringsnycklarna?
• Exit-strategi: vad händer om ni vill byta leverantör? I vilket format levereras data? Inom vilken tid?
• NIS2-beredskap: om er organisation omfattas av NIS2-direktivet (som trädde i kraft 2024 i EU) behöver er MSP kunna visa hur deras tjänster stödjer era skyldigheter kring incidentrapportering och riskhantering.
• Referenser: be om kontaktuppgifter till befintliga kunder i er bransch och storlek.

Managerade molntjänster

Varningssignaler att se upp för

• Leverantörer som inte kan presentera dokumenterade återställningstester
• Avsaknad av tydlig incidenthanteringsprocess
• Proprietära backupformat som försvårar byte av leverantör
• Ovilja att specificera var data fysiskt lagras
• SLA:er utan ekonomiska konsekvenser vid brott

Implementering: från beslut till produktion

En typisk implementering av backup outsourcing tar 4–8 veckor beroende på miljöns komplexitet. Processen följer vanligtvis dessa steg:

Vecka 1–2: Inventering och klassificering. MSP:n kartlägger era system, datavolymer och beroenden. Tillsammans klassificerar ni systemen i kritikalitetsnivåer som styr RPO/RTO-krav.

Vecka 2–3: Design och SLA-förhandling. Backup-strategi dokumenteras: vilka system, vilken frekvens, vilken retention, vilken lagring. SLA:n formuleras med mätbara parametrar.

Vecka 3–6: Teknisk implementering. Backup-agenter installeras, scheman konfigureras, initiala fullbackuper tas. Det här är ofta den mest tidskrävande fasen, särskilt om äldre system kräver specialhantering.

Vecka 6–8: Verifiering och överlämning. Fullständigt återställningstest genomförs för samtliga kritiska system. Dokumentation och runbooks överlämnas. Löpande drift och övervakning övergår till MSP:n.

Molnmigrering

FinOps-perspektivet: kontrollera backup-kostnader

Backup-kostnader har en tendens att växa okontrollerat om ingen aktivt förvaltar dem. Vanliga kostnadsfällor:

• Överdriven retention: att spara dagliga backuper i 7 år "för säkerhets skull" multiplicerar lagringskostnaderna
• Fel lagringsklass: att lagra arkivdata på högpresterande lagring (t.ex. S3 Standard) istället för arkivklasser (S3 Glacier Deep Archive) kan kosta 10–20x mer
• Utebliven deduplicering: moderna backup-lösningar kan reducera lagringsbehovet med 50–80% genom deduplicering och komprimering

En MSP med FinOps-kompetens hjälper er att rätta till dessa obalanser. Opsio kombinerar backup-drift med Cloud FinOps för att säkerställa att ni betalar för det skydd ni behöver — varken mer eller mindre.

Opsios perspektiv: vad vi ser i produktion

Från vår SOC/NOC i Karlstad och Bangalore hanterar vi backup-övervakning dygnet runt. Tre mönster återkommer:

1. "Vi har backup" ≠ "Vi kan återställa." Minst hälften av de organisationer som kommer till oss har aldrig genomfört ett fullständigt återställningstest. Att ett backupjobb rapporterar framgång säger ingenting om huruvida databasen är konsistent eller om applikationen faktiskt startar med den återställda datan.

2. Loggfiler och temporärdata äter budget. Vi ser regelbundet att 30–40% av backup-volymen utgörs av data som inte behöver säkerhetskopieras: temporärfiler, byggartifakter, loggfiler som redan skickas till centraliserad loggning. En initial sanering sparar ofta betydande belopp.

3. Mänskliga misstag är vanligare än ransomware. De flesta återställningar vi genomför handlar inte om cyberattacker — det är en utvecklare som råkat radera en produktionsdatabas, en administratör som kört ett felaktigt skript, eller en applikationsuppdatering som korrupterat data. Robust backup skyddar mot hela spektrumet av risker.

Managerad DevOps

Vanliga frågor

Vad kostar backup outsourcing för ett medelstort svenskt företag?

Kostnaden beror på datavolym, antal system, RPO/RTO-krav och eventuella regulatoriska tilläggsmoduler. De flesta MSP:er prissätter per TB och månad, ofta i intervallet 2 000–15 000 SEK/månad för 1–10 TB med daglig backup och 24/7-övervakning. Begär alltid en detaljerad offert med inkluderade återställningstester.

Får min data lagras utanför Sverige vid backup outsourcing?

GDPR tillåter lagring var som helst inom EU/EES utan särskilda tilläggsåtgärder. Överföring till tredjeland kräver adekvata skyddsmekanismer som standardavtalsklausuler (SCC). Opsio erbjuder lagring i eu-north-1 (Stockholm) och Sweden Central för organisationer med svenska datahemvistkrav.

Hur ofta bör återställningstester genomföras?

Minst kvartalsvis för affärskritiska system och årligen för övriga. Testet bör inkludera fullständig återställning till en isolerad miljö, mätning av faktisk RTO och verifiering av dataintegritet. En backup som aldrig testats är inte en backup — den är ett antagande.

Vad händer med mina backuper om MSP-leverantören går i konkurs?

Ett välskrivet avtal innehåller en exit-klausul som garanterar datautlämning och övergångsperiod. Kräv att avtalet specificerar dataformat, maximal utlämningstid och att ni behåller krypteringsnycklarna. Undvik leverantörer som låser in data i proprietära format.

Kan vi behålla viss backup internt och outsourca resten?

Hybridmodellen är vanlig och ofta optimal. Många företag behåller lokal backup för snabb återställning av vardagliga incidenter och outsourcar off-site-kopian samt katastrofåterställning. Det ger snabb RTO lokalt och geografisk redundans via MSP:n.