Per disastro si intendono varie tipologie di eventi: i naturali come terremoti, incendi e alluvioni, gli attacchi informatici o fisici, i disservizi dei sistemi IT, fino a una vasta gamma di incidenti che possono essere ricondotti a errori umani. In particolare, l’errore umano è la principale causa dei disastri che colpiscono le imprese, raggiungendo un’incidenza del 23%.
Tra le imprese che vengono colpite, il 75% sono PMI che però non sono in grado di intervenire, in quanto non hanno un immediato piano di azione. Tra questa grande percentuale di aziende, il 90% sono destinate al fallimento.
Vediamo insieme in questo articolo come le aziende fanno a costruire un chiaro Disaster Recovery plan che consenta il ripristino o la continuazione dell'infrastruttura tecnologica vitale qualora si verifichi una calamità naturale o un evento disastroso causato dall'uomo.
Disaster Recovery
Il Disaster Recovery è l'insieme di misure tecnologiche e organizzative/logistiche atte a ripristinare sistemi, dati e infrastrutture, per l'erogazione di servizi di business per imprese, associazioni o enti, con l’obiettivo di ridurre i costi operativi e la marginalità d’impresa dovuti ad interruzioni e/o blocchi del servizio.
Per prevenire e/o contenere tali costi, l’azienda deve affrontare al meglio le minacce che incombono: una delle priorità è, quindi, strutturare un piano di Disaster Recovery. Il piano definisce i possibili livelli del disastro e identifica la criticità dei sistemi e delle applicazioni. Inoltre, stabilisce misure sicurezza e pianifica azioni da intraprendere, in situazioni di emergenza.
Per avviare un piano di Disaster Recovery, un'impresa deve effettuare un'analisi dell'impatto sull'attività aziendale che consenta di mettere in evidenza le funzioni aziendali più critiche e i requisiti per ripristinarle in seguito a un evento disastroso. Le aziende dovrebbero non solo sviluppare un piano di Disaster Recovery, ma anche testarlo e formare i propri dipendenti per assicurarsi che abbiano una conoscenza approfondita di esso prima che si verifichi realmente un evento disastroso.
Leggi anche "Cyber Security: alcuni consigli per essere al sicuro a casa"
Quali sono i tipi di Disaster Recovery
Le aziende possono scegliere tra diversi metodi di Disaster Recovery, da utilizzare singolarmente o insieme. Ecco un elenco dei più importanti:
- Backup: è la tipologia di Disaster Recovery che presuppone il salvataggio dei dati in un altro sito o su un'unità rimovibile.
- Cold site: con questo tipo di Disaster Recovery, un’azienda prepara un’infrastruttura di base in una seconda sede che viene utilizzata raramente e che diventerà il luogo di lavoro per i dipendenti dopo una calamità naturale o un incendio.
- Hot site: un hot site dispone sempre di copie aggiornate di tutti i dati.
- Disaster Recovery as-a-Service(DRaaS): questa tipologia comporta il trasferimento, tramite duplicazione, di tutti i dati del CED aziendale in ambiente Cloud, tramite una terza parte.
- Backup as-a-Service: con questo metodo si intende il servizio di backup "gestito" che consente al cliente di salvare e ripristinare i propri dati precedentemente archiviati sia localmente che in cloud.
- Disaster Recovery del data center: una sorgente di alimentazione di riserva permette alle aziende di gestire un blackout senza arrestare le operation.
- Virtualizzazione: è un processo, ottenuto mediante software appositi, che porta alla creazione di una risorsa virtuale che replichi una risorsa gestita in modo fisico.
- Snapshot point-in-time (PIT): è l'esatta fotografia della condizione di un sistema informativo, utilizzata per riportare un sistema allo stato precedente l’evento malevolo.
- Ripristino immediato: è simile al point-in-time (PIT), soltanto che, invece di copiare un database, il ripristino immediato effettua uno snapshot di un'intera macchina virtuale.
Le fasi 7 del Disaster Recovery Plan
Il piano di Disaster Recovery prevede le seguenti sette fasi principali:
1) Policy di Pianificazione: una policy formale definisce l'autorità e le direttive necessarie per sviluppare un piano d'emergenza efficace.
2) Business Impact Analysis (BIA): è la principale metodologia impiegata per determinare l’impatto e le ricadute sul business causate da eventi che causano l’interruzione della produzione di beni e/o dell’erogazione di servizi. Il parametro che influenza la definizione di un Disaster Recovery è uno SLO (Service Level Objective) che comprende un RPO (Recovery Point Objective) e un RTO (Recovery Time Objective):
- Recovery Time Objective (RTO): si riferisce a quanto tempo l'azienda può permettersi di restare con i propri sistemi essenziali offline prima che il blocco abbia ripercussioni sull'attività.
- Recovery Point Objective (RPO): si riferisce ai sistemi e alle applicazioni. Significa calcolare quanta parte dei dati contenuti all'interno di questi sistemi e applicazioni l'azienda possa permettersi di perdere.
4) Strategie di recupero: per assicurare un recupero rapido ed efficace dei sistemi a seguito di un incidente, identificando adeguate configurazioni architetturali dimensionate ai tempi di ripristino.
5) Piano d'emergenza IT: il piano di emergenza deve contenere orientamenti e procedure dettagliate per ripristinare un sistema danneggiato.
6) Test e approvazione: è importante testare il piano, individuando gli errori di programmazione. Nel frattempo, effettuare una formazione, che prepari il personale all'attivazione del piano di recupero. Queste attività migliorano l'efficacia del piano stesso e offrono una preparazione generale, puntando al perfezionamento delle governance di recovery.
7) Manutenzione: il piano deve essere un documento aggiornato regolarmente, per essere sempre adeguato ai cambiamenti del sistema ed essere supportato da una adeguata assistenza durante gli eventi critici.
Hai già un piano di recupero per la tua impresa?
Se la risposta è no allora contatta un nostro consulente gratuitamente, per avere tutte le informazioni chiave per dotarsi di un buon piano di Disaster Recovery che ti permetta di proteggerti da questa minaccia latente.
Seguendo a pieno regime questi passaggi, l’azienda potrà vantare di una Business Continuity in grado di erogare, nel breve periodo, prodotti o servizi. Pertanto, si possono contenere i costi di emergenza sino al potenziale fallimento e la sopravvivenza di un’azienda.