Le linee guida di un piano di Disaster Recovery

Indipendentemente dal sistema di protezione dei dati adottato all'interno della vostra  azienda non esiste una certezza al 100% che i dati non andranno mai persi.

Ci sono centinaia di motivi per cui si possono perdere i dati. La più comune è quella legata all'errore umano. Non importa quanto possiate fidarvi di voi stessi e dei vostri collaboratori, ricordatevi  che dopo tutto siamo semplici esseri umani.

Vale sempre la pena essere preparati in caso di eventi inaspettati. Se lo vorrete potrete tranquillamente essere degli eroi con pochi click del mouse anche se tutto intorno a voi volgerà al peggio.

Queste linee guida vi aiuteranno a predisporre un piano in caso si verifichi un disastro e una perdita di dati, piano che funzionerà sempre in caso di necessità. Il piano dovrebbe essere un documento capace di garantire la sicurezza dell’azienda e la continuità del business.

Scarica il nostro Disaster Recovery Template in italiano.

Valutazione del rischio

L’elemento principale dell’intero piano di Disaster Recovery (Disaster Recovery Plan) si basa sul calcolo dei rischi connessi con una perdita dei dati, prima che questa si verifichi.

Questo calcolo viene fatto basandosi sul presupposto che in qualsiasi momento si possa verificare un guasto inaspettato, impossibile da risolvere e difficile da valutare, in grado di paralizzare l’operatività dell’infrastruttura IT e,  di conseguenza, l’intero business o una sua parte.

Grazie a questo piano quando si verifica un guasto è possibile evitare operazioni frenetiche e caotiche che  potrebbero portare più danni che benefici.  A questo punto è necessario considerare due importanti indicatori descritti qui di seguito.

1. RPO (Recovery Point Objective)– questo parametro calcola il tempo in cui l’azienda può svolgere le sue attività senza accedere ai suoi dati e alla sua infrastruttura. Ad esempio, nel caso si tratti di un negozio su Internet è importante immaginare una situazione in cui l’intera infrastruttura IT o una parte di essa smetta di operare: il cliente potrebbe non avere più accesso al sito, gli addetti alle vendite non sarebbero in grado di gestire gli ordini, le transazioni di pagamento potrebbero non essere registrate ed effettuate. Per quanto tempo l’azienda potrà sostenere una situazione di questo tipo? Quali sarebbero le perdite e i costi in cui potrebbe incorrere?

2. RTO (Recovery Time Objective)– questo parametro indica il lasso di tempo massimo entro il quale i dati devono essere recuperati e il sistema deve tornare operativo. Per poter fare una stima di questa quantità di tempo è necessario considerare sia il primo indicatore – RPO –sia le capacità dell’infrastruttura, dello staff e le circostanze che potrebbero verificarsi. È importante ricordare che, come affermato da una ricerca, il 93% delle aziende che hanno subito una perdita di dati per più di 10 giorni hanno dichiarato bancarotta entro un anno e il 50% di queste ha dichiarato bancarotta immediatamente!

Quando si effettua una stima di entrambi gli indicatori è necessario calcolare correttamente i costi potenziali per il business. È importante rispondere a questa domanda: quando i costi di una interruzione del servizio e/o di perdita dei dati diventano fatali per l’azienda?

In questo caso è certamente necessario considerare diversi fattori: se da un lato lo sviluppo di un’infrastruttura a protezione dei dati minimizza il rischio di perdite allo stesso tempo però incrementa i costi operativi del sistema stesso.

Inoltre è bene considerare quali soluzioni sono le più appropriate per un certo settore della nostra infrastruttura: alle volte vale la pena investire in sistemi di backup veloci e sicuri che proteggano i processi più importanti per l’operatività aziendale; in altri casi potrebbe essere una buona idea rinunciare al restore delle copie di backup ed esternalizzare il processo di recupero dati ad un provider specializzato in data recovery.

L’arte della scelta

Il sistema di calcolo utilizzato nel nostro piano deve prima di tutto basarsi sulle consapevolezza dei costi in cui potreste incorrere in caso di guasti inaspettati al sistema. Questi includono:

• costi finanziari dovuti alla perdita dei clienti che non possono utilizzare i nostri servizi durante il periodo del problema;

• costi dovuti ai ritardi nel completamento degli ordini;

• costi legati ai ritardi dovuti al periodo di inattività in cui i dipendenti non sono stati in grado di svolgere il loro lavoro;

• costi relativi ai reclami dei clienti;

• perdita del business e danno all'immagine aziendale.

É necessario inoltre stimare anche i costi delle azioni in grado di prevenire potenziali guasti o di assicurare una pronta risposta all'emergenza, esse includono:

• i costi di un dipendente o di un team responsabile di assicurare la continuità delle operazioni dell’infrastruttura o i costi per esternalizzare tali servizi;

• costi dell’infrastruttura tecnica, inclusa l’infrastruttura di backup;

• costi di un potenziale recupero dati in caso di perdita delle informazioni digitali.

Questi fattori dovrebbero aiutarci a impostare quelle che sono le priorità del nostro piano: dobbiamo infatti decidere quante risorse dedicare alla protezione verso le minacce. É inoltre fondamentale selezionare gli elementi critici per la nostra operatività e decidere quali verranno protetti e salvati per primi.

Come creare questo piano?

Le linee guida fornite fino a questo punto dovrebbero fornirci le basi per stabilire una strategia in caso di un inaspettato malfunzionamento del sistema. Per questo motivo è arrivato il momento di creare una lista di elementi infrastrutturali chiave, stabilire le priorità e preparare modelli di azione da utilizzare in caso di emergenza. Questi modelli dovrebbero includere gli elementi descritti di seguito.

Assegnazione di ruoli e responsabilità – ciascun dipendente dovrebbe conoscere la sua area di azione e cosa fare nel caso veda i segnali di un possibile guasto. Ciò è molto importante dal momento che una risposta veloce aiuterà a contenere la crisi e a ridurre le perdite.

Reazione alla crisi – è necessario predisporre una procedura d’azione in caso di emergenza. I guasti devono essere individuati, analizzati e riportati al responsabile il più velocemente possibile.

Piano di recovery – potrebbero verificarsi diversi scenari di guasti e malfunzionamenti ma è possibile stabilire piani generali di disaster recovery che possono essere applicati se necessario. In questo caso, in stato di emergenza dovrete implementare il piano più adatto nel minor tempo possibile.

Procedure – ciascun dipendente dovrebbe sapere cosa fare in caso di emergenza. È molto importante seguire alla lettera queste procedure: questo vi permetterà di evitare azioni caotiche e avventate.

Documentazione – i dettagli del guasto così come le azioni intraprese per risolvere il problema devono essere descritti in maniera precisa. Questo è importante perchè in caso di emergenza, se il guasto dovesse dimostrarsi più serio di quanto pensato e nel caso in cui si dovesse richiedere l’intervento di un’azienda specializzata in recupero dati, una descrizione dettagliata di quanto accaduto potrebbe velocizzare il processo di recupero.

Dettagli del sistema – ogni piano deve includere tutte le informazioni sull'infrastruttura alla quale si riferisce ciò significa avere un’inventario completo delle attrezzature utilizzate, i dettagli inerenti la configurazione del sistema, informazioni sulle copie di backup ( quando sono state aggiornate, dove si trovano esattamente, su quali supporti), etc.

Da notare che ogni piano di disaster recovery ha bisogno di essere testato regolarmente, di essere aggiornato e adattato ai cambiamenti infrastrutturali dell’azienda. Se ciò non fosse fatto allora diventerebbe un documento insignificante che in caso di emergenza, invece che essere di supporto, provocherebbe solo confusione e disorganizzazione. 

Scopri come pianificare il Disaster Recovery Plan scaricando il template gratuito.