Categorie: Business Continuity

I reparti IT delle aziende si trovano sempre più spesso a dover affrontare problemi legati alla protezione di dati e applicazioni in caso di eventi esterni e downtime. Le criticità, anche disastrose, non si possono prevedere e la loro comparsa inattesa necessita di essere affrontata con un corretto piano di Disaster Recovery. Una perdita di informazioni, piccola o grande che sia, causa un danno che, a volte, può rendere problematica l’esistenza stessa della compagnia. È evidente dunque che senza un’adeguata risposta, le conseguenze possono essere estremamente spiacevoli. Come affrontare la situazione? Un Disaster Recovery Plan deve portare a una soluzione adatta alle dimensioni, alle esigenze ed alla tipologia di business e che sia versatile ed altamente riproducibile.

Tuttavia, prima di sviluppare un piano di ripristino dettagliato, è necessario eseguire una serie di operazioni propedeutiche. Si parte con una valutazione del rischio (RA) o un'analisi dell'impatto aziendale (BIA), con cui identificare i servizi IT che supportano le attività critiche dell'organizzazione e l’impatto che una possibile interruzione può portare ai processi di business. Successivamente, si stabiliscono il Recovery Point Objective (RPO), che identifica l’ampiezza della finestra temporale di dati che una compagnia è disponibile a perdere a seguito di un disastro senza impattare i processi di business, e il Recovery Time Objective (RTO), che indica la tempistica massima entro la quale i sistemi compromessi devono tornare operativi insieme ai processi bloccati. Effettuata una stima di entrambi gli indicatori, si passa a considerare i costi potenziali per il business, sia in caso di assenza di piano (perdita dei clienti, inefficienze lavorative, slittamento degli ordini) sia di implementazione dello stesso (dipendenti responsabili, struttura tecnica, backup, piattaforme on-premise o in cloud).

Già questi fattori aiutano a valutare i costi e i benefici di un Disaster Recovery Plan che, in ogni caso, rappresenta una sorta di assicurazione per la protezione delle risorse IT, dei dati che custodisce e dei processi aziendali che supporta. La spesa potrebbe sembrare inutile in tempi favorevoli ma il rischio di non avere gli strumenti ottimali per rispondere a un blackout produttivo è davvero troppo alto. 

L’articolazione di un corretto piano di recupero si fonda su sulle procedure validate e codificate in procedure internazionali come la ISO/IEC 22301 . Se l’implementazione di ogni strategia vive una storia a sé, per le differenze peculiari di ogni soggetto, possiamo esaminare i punti essenziali che ogni Disaster Recovery Plan dovrebbe toccare. Si tratta di priorità oggettive, che non cambiano nella loro definizione contestuale e dalle quali possono scaturirne delle altre, specifiche e importanti a seconda dell’ambito di riferimento.

 

L’assegnazione dei ruoli

Ciascun dipendente deve essere responsabile di un’azione dovuta a seguito di un possibile guasto. Basta infatti un solo segnale, inviato in tempo, per allertare i reparti più alti, contenere le perdite e ridurre la crisi.

 

La reazione

Cosa fare durante l’emergenza? Anche qui, a ogni lavoratore deve corrispondere un ruolo ben specifico mentre è in corso il blackout. Per evitare il caso, bisogna predisporre una procedura d’azione in caso di emergenza che permetta ai tecnici di analizzare l’evento con tutti gli elementi a corredo, così da definire i passi non solo per la ripresa ma verso la soluzione totale del problema.

 

Il Recovery Plan

Non è detto che la situazione ipotizzata nel piano di recupero si realizzi nella sua esattezza durante un’eventuale crisi. A questo servono piani attuativi generali di disaster recovery, da applicare secondo le direttive dei team addetti.

 

La documentazione

Se è importante rispondere celermente a un disastro, lo è ancora di più documentare l’evento, per evitarlo in futuro o capire come affrontarlo meglio. I dettagli del guasto, così come le singole azioni intraprese, vanno descritte in maniera puntuale in file e cartelle dedicate. Questo è essenziale anche perché, qualora dovesse essere richiesto l’intervento di un’azienda specializzata, una descrizione precisa dell’accaduto velocizzerà il processo di recupero.

 

Dettagli del sistema

Cosa ha colpito il guasto o l’attacco? Che tipo di infrastruttura è stata lesa? Rispondere a tali domande è possibile solo se si ha un inventario aggiornato delle attrezzature utilizzate, sia hardware che software, così da analizzare meglio l’ambiente circostante e rafforzarlo dove necessario. Fondamentale è tenere traccia delle copie di backup, utili a ripristinare uno stato recente (si spera molto recente) del sistema.

Oltre a ciò, bisogna considerare che un Disaster Recovery deve essere adattato a ogni cambiamento infrastrutturale dell’azienda. Il motivo è semplice: quanto più cresce l’organizzazione, più aumenta la complessità. Tale complessità deve essere vagliata, nella sua interezza, all’interno di un piano di recupero che, altrimenti, coprirebbe solo parte del business, mettendo a rischio tutto il resto.

 

Tutte le novità di sap