Come riporta il Ponemon Institute, il 93% delle aziende sfornite di un Disaster Recovery Plan (DRP) e che subisce una perdita dei dati, è fuori dal mercato entro un anno.
Il Disaster Recovery (DR) è un processo fondamentale per le imprese moderne: trattasi di una strategia di ripristino di emergenza dei sistemi e dei dati critici, attuata a seguito di un disastro informatico o di un’interruzione forzata (sia essa provocata da un evento di natura non informatica, straordinario, accidentale, colposo o volontario).
Per mettere al sicuro l’operatività e per proteggere i dati, ogni azienda evoluta dovrebbe elaborare un Disaster Recovery Plan. Di cosa si tratta e come funziona? Scopriamo di più in questo approfondimento.
Indice dei contenuti
Disaster Recovery: Come funziona?
Il Disaster Recovery segue le direttive imposte dal Disaster Recovery Plan, il quale definisce due importanti parametri:
- RPO (Recovery Point Objective): indica il tempo massimo che può intercorrere tra la produzione di un dato e il suo salvataggio (backup). Indirettamente, il RPO definisce la massima quantità di dati che possono andare potenzialmente persi in caso di disastro;
- RTO (Recovery Time Objective): rappresenta il tempo necessario al recupero dell’operatività aziendale dopo un evento catastrofico. Indica la durata massima del downtime stabilita nel Disaster Recovery Plan.
Il processo di Disaster Recovery si basa su tre pilastri essenziali:
- prevenire, mettendo in atto misure utili a ridurre al minimo la probabilità di disastro. Ad esempio, implementando sistemi di backup regolari, aggiornando costantemente i software e adottando le best practice in tema di sicurezza informatica;
- rilevare tempestivamente il disastro in modo da attivare subito le procedure di Disaster Recovery. Vengono spesso impiegati sistemi di monitoraggio che inviano alert in presenza di anomalie;
- ripristinare i sistemi e i dati critici il più rapidamente possibile, minimizzando le conseguenze del disastro. Il Disaster Recovery Plan indica le procedure più adeguate al ripristino, individuando le risorse necessarie.
Tipologie di Disaster Recovery
Le strategie di Disaster Recovery attuabili sono diverse. L’ideale per ottenere il più alto grado di sicurezza è ricorrere alla combinazione di più strumenti.
Le principali tipologie di Disaster Recvery sono:
- backup: il salvataggio di una o più copie dei dati aziendali in unità di storage diverse da quella di lavoro. Nonostante si tratti di una soluzione semplice e immediata, non sempre risulta efficace in quanto riguarda esclusivamente i dati e non le virtual machines;
- Backup as a service: simile al backup, ma in questo caso la copia dei dati viene gestita in outsourcing da un provider esterno all’azienda. Allo stesso modo, potrebbe non essere efficiente in quanto non coinvolge l’infrastruttura IT;
- Disaster Recovery as a service: detto anche DRaaS, prevede che, in presenza di un evento disastroso, l’infrastruttura IT venga trasferita su una piattaforma cloud di un provider dedicato. In questo modo l’operatività aziendale può proseguire sfruttando i server del provider DRaaS. Le soluzioni DRaaS, inoltre, possono fornire funzionalità di PIT (point in time). Il point in time si riferisce a un momento specifico nel tempo in cui i dati possono essere ripristinati. Il PIT è essenziale nel Disaster Recovery, in quanto permette di ripristinare i dati a uno stato precedente al disastro, minimizzando le perdite;
- cold site: soluzione di proporzioni più importanti e con costi nettamente maggiori. Il cold site prevede l’organizzazione di un’infrastruttura IT in una sede aziendale esterna, parallela alla principale e di norma non utilizzata, che funge da sede operativa in caso di inaccessibilità della principale. Tale soluzione può garantire la business continuity ma, senza un costante aggiornamento della seconda infrastruttura IT, non consente il backup di dati e delle virtual machines. Per questo, il cold site è utile soltanto se integrato con altre strategie di Disaster Recovey;
- hot site: si differenzia dal cold site per il costante aggiornamento di dati e infrastruttura IT. È una soluzione più costosa, ma allo stesso tempo particolarmente efficiente per abbatte il downtime;
- Disaster Recovery virtualizzato. La virtualization è ormai un fenomeno di tendenza. Questo approccio al Disaster Recovery elimina l’esigenza di ricostruire un server fisico in caso di disastro, posizionando un server virtuale su capacità di riserva o nel cloud. Ciò permette di raggiungere in modo più semplice e veloce gli obiettivi RTO prefissati nel Disaster Recovery Plan.
Vantaggi
Qualsiasi azienda informatizzata necessita di sviluppare un Disaster Recovery Plan: scopriamo quali sono i suoi vantaggi.
Riduzione dei costi
Una strategia di Disaster Recovery consente all’azienda di ridurre i costi necessari per il ripristino dell’operatività in caso di disastro. Nei casi più estremi, un Disaster Recovery Plan efficace può diventare il mezzo attraverso il quale l’azienda può letteralmente salvarsi dal fallimento.
Riduzione dei tempi di ripristino
Un Disaster Recovery Plan consente all’azienda di riprendere tempestivamente la propria attività in seguito a un evento catastrofico. Senza un’adeguata organizzazione, il processo di ripristino potrebbe richiedere anche settimane. Riducendo le tempistiche di inattività, è possibile recuperare rapidamente i dati e minimizzare i danni reputazionali e le perdite finanziarie.
Migliore business continuity
Il Disaster Recovery Plan garantisce la continuità del business, anche in caso di eventi disastrosi. Questo perché consente di gestire al meglio i rischi che potrebbero minacciare l’azienda, mettendo in atto adeguate misure preventive. Il Disaster Recovery Plan supporta la business continuity migliorando l’immagine dell’azienda agli occhi degli utenti.
Maggiore sicurezza informatica
Il Disaster Recovery Plan contribuisce a proteggere i dati aziendali dalle minacce informatiche come ransomware e da eventuali attacchi hacker, permettendo un backup sicuro.
Come si pianifica
Ogni azienda deve progettare un piano specifico, unico, fondato sui requisiti dei dati e sul loro valore. Per pianificare il Disaster Recovery Plan occorre seguire 9 passaggi: scopriamo quali sono e alcuni esempi correlati.
Ottenere l’impegno di tutta l’organizzazione
Tutti i dipendenti devono conoscere il piano ed essere sempre pronti a eseguirlo. È necessario assegnare risorse adeguate a questo compito, coinvolgendo tutto il team aziendale. Esempio: l’amministratore delegato dell’azienda invia una comunicazione a tutti i dipendenti, con il fine di porre l’attenzione sul DRP e sulla necessità di partecipare attivamente alla formazione a riguardo.
Creare un comitato di pianificazione
Trattasi di un comitato composto da stakeholder che hanno l’incarico di supervisionare la pianificazione e implementazione del DRP. Di questo comitato faranno parte specialisti nella gestione delle operazioni, il personale del team IT e rappresentanti di ciascuna area funzionale.
Effettuare un’analisi dei rischi
Questa valutazione è strettamente connessa all’analisi dell’impatto dei rischi rilevati. Le potenziali minacce (siano esse umane, naturali, tecniche o informatiche) devono essere analizzate nel dettaglio. Esempio: vengono impiegati strumenti innovativi per l’analisi dei rischi, ma non solo. I dipendenti dei reparti vengono intervistati per identificare i rischi potenziali.
Conferire una priorità alle operazioni
È importante considerare le esigenze critiche di ogni comparto aziendale, per comprendere quale sia il tempo massimo entro il quale l’area può continuare a lavorare in caso di disastro. Ciò determinerà le priorità di recupero e l’assegnazione delle risorse in emergenza.
Codificare le strategie di recupero
Occorre valutare le alternative pratiche e considerare costi/informazioni riguardo l’acquisto/manutenzione di strumenti di emergenza (come soluzioni di backup o ripristino dei dati) e sulla manodopera. Esempio: l’azienda identifica i fornitori di servizi di Disaster Recovery più adatti a rispondere alle sue esigenze.
Eseguire la raccolta dei dati
Soprattutto i dati critici devono essere conservati con cura. Alla base del processo di manutenzione e conservazione vi è la raccolta di tutti i dati sensibili. In particolare: documentazione interna, registri di gestione delle attività, elenchi di contatti, inventario hardware di rete. Esempio: l’azienda implementa soluzioni di backup per tutti i dati sensibili. Può anche definire le procedure per la replica dei dati in un data center secondario in caso di disastro.
Definire un piano scritto
Il plan deve includere tutte le procedure da attuare prima, durante e dopo un disastro. Il piano deve essere periodicamente aggiornato e revisionato regolarmente, affinché si adatti ai naturali cambiamenti aziendali. Esempio: il piano comprende linee guida e checklist per semplificarne l’interpretazione in caso di emergenza.
Testare il piano e valutarlo con regolarità
Le procedure per il superamento del test devono essere documentate. Inizialmente, si procederà con un test iniziale per individuare eventuali lacune o errori. Simulazioni, liste di controllo o backup forzati contribuiscono a migliorare l’efficacia del piano, poiché permettono di rilevarne le falle. Ciò si tramuta in un efficientamento complessivo del piano di sicurezza informatica aziendale.
Approvazione e attuazione
La direzione dell’azienda deve approvare il piano, stabilendo politiche, procedure e responsabilità, rivedendo e approvando il piano di emergenza ogni anno, assicurandosi che il plan sia compatibile con fornitori, partner e provider di servizi.
Cosa può fare IT Impresa per te
IT Impresa, azienda informatica specializzata nella fornitura di soluzioni tecnologiche avanzate per PMI e grandi aziende, può supportarti nella definizione di un Disaster Recovery Plan completo ed efficace. Forniamo:
- consulenza su misura, comprensiva di valutazione dei rischi, analisi delle esigenze aziendali e raccomandazioni su best practices e tecnologie;
- piani di Disaster Recovery (DR), occupandoci della creazione e manutenzione di piani dettagliati per il recupero dei dati e delle operazioni aziendali in caso di disastro;
backup e archiviazione. Mettiamo a tua disposizione soluzioni per il backup regolare dei dati critici, sia su dispositivi fisici sia su piattaforme cloud, garantendo la disponibilità dei dati quando necessario.
