Go to Top

Come creare i piani di Business Continuity e di Disaster Recovery– 6 punti importanti da considerare

disaster recovery

Il continuo aumento nel volume dei dati è diventato negli ultimi due anni una grossa sfida per le aziende.  Oggi  la quantità di dati che vengono raccolti, processati, trasferiti e memorizzati nei data center interni o esterni è in continua crescita. L’analisi dei Big Data sta diventando una tendenza dominante nelle organizzazioni poiché i sofisticati software per poter compiere tali analisi sono divenuti più accessibili. Ma con un tale volume di informazioni,  il rischio di cadere vittima di una perdita di dati aumenta.

Negli anni, Kroll Ontrack ha portato avanti differenti indagini sulla perdita dei dati nelle aziende come pure presso gli utenti privati. I risultati scaturiti da tali indagini sono logici: nonostante soluzioni software e hardware migliori è ancora possibile una perdita di dati e ad un certo punto ognuno di noi si troverà ad affrontarne le conseguenze.

Una perdita di dati può avere gravi effetti sia sulle aziende sia sugli individui . Questo indipendentemente dal fatto che questa sia provocata da hard drive mal funzionante o giunto a fine ciclo di vita, da errore umano o da disastri naturale come incendi o allagamenti.

Quando le informazioni sono quelle di business, una perdita di dati può – nella peggiore delle ipotesi – portare a bancarotta. Un caso estremo ma possibile. Le organizzazioni a causa di questo evento infatti potrebbero non rispettare delle scadenze di progetto o non accedere a interi database. Le indagini di Kroll Ontrack hanno anche mostrato come avere un backup non necessariamente significhi essere completamente protetti quando colpirà il disastro. Perciò avere un solido piano di business continuity come pure di disaster recovery è una vera e propria necessità!

Cos’è il Business Continuity Plan (BCP) e cosa include?

Un piano di business continuity (BCP) dovrebbe aiutare un’azienda nel caso in cui il business subisca un evento distruttivo. Quando un’azienda subisce un danno la sua risoluzione richiede molto denaro. Per mantenere queste perdite al minimo un documento di BCP dovrebbe coprire tutti i passi necessari e contenere un programma. In questo modo risorse,  processi e  funzioni possono riprendere senza interruzioni.

Cos’è un Disaster Recovery Plan (DRP) e cosa copre?

Un piano di disaster recovery (DRP) è un processo documentato per recuperare una infrastruttura IT business in caso di disastro. Un disastro può verificarsi per cause naturali o per danni provocati dall’uomo. Nel primo caso parliamo ad esempio di una tormenta di neve, una tempesta o un’inondazione.  Nel secondo pensiamo invece ad atti di terrorismo o attacchi hacker, come i recenti casi di ransomware.

Poiché in molti casi, quando capita un disastro, l’ambiente IT subisce gravi danni, la perdita dei dati è probabilmente la conseguenza più ovvia.

Cosa bisogna considerare quando si progetta un piano di Business Continuity / Disaster Recovery?

  1. Un buon piano di business continuity e disaster recovery non dovrebbe solo coprire le classiche ragioni di perdita dei dati come il guasto hardware o la cause naturali, es. errore umano, fuoco e danni da acqua.
    Dovrebbe coprire anche incidenti che non sono così frequenti come la perdita di dati dovuta a hacker e criminali. Ad esempio in caso di  attacco ransomware o di sabotaggio. Tutte le aziende dovrebbero adattare i propri piani di BC/DR ai nuovi pericoli, che potrebbero essere ora sconosciuti, ma diventare un rischio nel giro di alcune settimane.

  2. Un buon piano di business continuity e disaster recovery dovrebbe sempre essere creato con la partecipazione di tutti coloro che sono coinvolti nel processo. Non ha alcun senso che il piano sia creato da uno o due persone e venga eseguito su ordine del management. Più persone sono coinvolte, maggiore saranno le possibilità di individuare eventuali problemi.
    Il risultato è un piano migliore e più affidabile. In più, i dipendenti possono identificare prima le vulnerabilità e i requisiti di capacità.

  3. I consulenti IT spesso affermano che una Risk Assessment Analysis è necessaria per creare un discreto piano di BC/DR. Questo perchè  nel documento vengono elencate tutte le possibili minacce come pure la capacità dell’azienda di proteggersi da ciascuna di esse. Ma questo è vero per metà. Un Risk Assessment definisce cosa può determinare un problema ma non gli effetti del problema.
    O meglio, identifica i rischi più probabili che per primi possono impattare sulle funzioni di business.  Questo passaggio viene utilizzato per determinare quale rischio / minaccia (interna come pure esterna) può influire sul funzionamento delle rispettive funzioni aziendali. La cosiddetta Business Impact Analysis (BIA) può essere creata semplicemente utilizzando una lista di domande  da porre ai dipendenti colpiti  e raccogliendo le loro risposte. Perciò quando vi è tempo e denaro a sufficienza la via migliore di procedere è realizzare una Risk Assessment Analysis insieme con una Business Impact Analysis.

  1. I test sono necessari per far sì che un piano di business continuity e disaster recovery funzioni correttamente nel caso si verifichi un disastro. Perciò quando si sviluppa il test di un piano questo è parte integrante del processo. Cercare di ridurre i costi con test limitati non crea sicurezza reale, aiuta solo a rimanere nel budget. Ma quando arriva il disastro, il costo sarà molto più alto… questo è certo.

  2. Aggiornamenti frequenti non sono solo necessari per il software e l’hardware, lo sono anche per i piani di business continuity e disaster recovery. Poichè le tecnologie spesso cambiano, per mantenere aggiornato il piano a queste tecnologie è opportuno dividere il piano in parti separate per avere una migliore panoramica e per apportare i più semplici cambiamenti.

  3. Una domanda importante viene spesso posta circa l’uso dei piani di business continuity e disaster recovery: è veramente necessario progettare un immenso piano di BC/DR lungo centinaia di pagine? La risposta è: No.
    Alcune volte un documento di 2-10 pagine con le informazioni necessarie dovrebbe essere sufficiente per coprire tutti i necessari passi su come reagire in caso di disastro o di perdita dei dati. Ovviamente però molto dipende dalla struttura dell’azienda e dalle sue regole e norme. In caso di documenti molto lunghi si suggerisce di creare una versione ridotta del piano per rendere subito disponibili i passaggi più importanti ai dipendenti incaricati.

Copyright immagine: unsplash/ pexels.com/CC0 License

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *