Il Disaster Recovery (DR) è una strategia di sicurezza che protegge un datacenter dagli effetti di una catastrofe, che sia naturale come un’inondazione o provocata dall'uomo come un cyberattacco. In caso di necessità, un piano di disaster recovery (DRP) garantisce che un'azienda possa riprendere rapidamente le operazioni o continuare a erogare funzioni mission-critical durante o dopo un'emergenza. Il processo di disaster recovery include la pianificazione e il collaudo, e in genere implica un sito fisico distinto per il ripristino delle operazioni.
Per comprendere meglio il disaster recovery in relazione al cloud, dobbiamo prima definire cosa è un'emergenza in termini di business continuity. Un'emergenza è tutto ciò che mette a rischio le operazioni di un'organizzazione. Può trattarsi di un attacco informatico, di un ransomware, di una violazione dei dati, di un guasto alle apparecchiature, di un disastro naturale o perfino di cablaggi rosicchiati dai topi. Per non parlare del fatto che una qualunque delle seguenti situazioni può determinare un'emergenza IT: perdita di dati, errori umani, malware e virus, funzionamento intermittente della rete e di internet, guasti hardware e/o software, catastrofi meteorologiche, inondazioni dovute a cause naturali o artificiali, vandalismo o danni agli uffici.
In caso di emergenza, l'obiettivo di qualsiasi piano di disaster recovery è garantire che l'operatività prosegua nel modo più normale possibile. L'azienda sarà consapevole di ciò che sta accadendo, ma idealmente i suoi clienti e gli utenti finali non dovranno risentirne in alcun modo.
Molte aziende optano anche per una strategia di Disaster Recovery as a Service (DRaaS), un modello che permette alle aziende di duplicare e ospitare i propri server in un datacenter separato tramite un provider di terze parti. Alcuni vendor di cloud offrono una soluzione DRaaS nativa che semplifica il processo di installazione e onboarding. Una volta eseguito l'onboarding, le aziende godono dei vantaggi immediati della protezione offerta dal DR basato sul cloud, che per sua natura è flessibile e in grado di soddisfare il variare delle esigenze del cliente.
La guida definitiva alla data protection e al disaster recovery sui cloud aziendali
Vantaggi dell'implementazione del disaster recovery plan
Oltre a eliminare i rischi associati a disaster recovery inefficienti, ci sono numerosi vantaggi importanti che derivano dal garantire che la tua azienda disponga di una strategia di disaster recovery ben strutturata e facile da eseguire.
RTO e RPO
La creazione di una soluzione di disaster recovery garantisce il ripristino prevedibile di sistemi, servizi e applicazioni. Le metriche standard di settore sugli SLA sono il Recovery Time Objective (RTO), ossia la misura della durata tollerabile di interruzione dell'operatività per un'impresa, e il Recovery Point Objective (RPO), ossia la misura della quantità di dati che un'azienda può permettersi di perdere.
Limitare le perdite
Poiché una soluzione di disaster recovery ripristina rapidamente l'operatività aziendale, vengono minimizzate sia le perdite di fatturato che i costi associati ai danni causati da downtime prolungati.
Proteggere le operazioni aziendali
Le applicazioni aziendali non sono tutte uguali: un piano di DR ben progettato calibrerà gli SLA secondo ciascuna applicazione, garantendo così un'altissima protezione per le applicazioni business-critical.
Proteggere la reputazione
Una buona strategia di DR è un fattore di differenziazione competitiva. Se i clienti o gli utenti percepiscono la resilienza di un'impresa durante un'emergenza, la loro fiducia generale in quell'azienda probabilmente aumenterà.
Miglioramento delle prestazioni
La capacità di ospitare le operazioni di failover per il DR su un datacenter fisicamente separato (e possibilmente su più datacenter remoti o provider di servizi) vuol dire evitare il degrado delle prestazioni dovuto a emergenze localizzate.
I rischi della mancata implementazione di un disaster recovery plan
Proteggere le risorse IT e le operazioni mission-critical
A prescindere dalle dimensioni di un'organizzazione, l'IT è una componente essenziale di qualsiasi attività imprenditoriale – ed è il core business di un numero sempre maggiore di aziende. Proteggere le risorse IT e le operazioni mission-critical è in cima alla lista delle priorità. Una soluzione di DR di qualità non serve solo a proteggere l'hardware: al giorno d'oggi gli attacchi software sono sempre più comuni, e questo può influire negativamente sui siti web e sulla capacità di evadere gli ordini ed eseguire altre attività business-critical.
Favorire la business continuity
Senza una strategia di disaster recovery un'azienda può trovarsi a dover affrontare rischi operativi, finanziari e di reputazione. Dal punto di vista della business continuity, se un'emergenza ostacola la capacità di un'azienda di operare in modo efficiente, i dipendenti non saranno in grado di svolgere il loro lavoro e i clienti eventualmente coinvolti in rallentamenti operativi potrebbero anche scegliere di utilizzare i prodotti e/o i servizi della concorrenza.
Evitare la perdita di fatturato
Il rischio più evidente e immediato che nasce da un'emergenza è probabilmente l'ingente perdita di fatturato. Quasi tutte le emergenze genereranno perdite economiche, ma se i tempi di risposta e recupero sono lenti l'azienda rischia di perdere ancora più denaro. E purtroppo i costi dovuti alla lentezza di risposta e ripristino crescono sempre di più: il costo medio per un downtime informatico infatti può arrivare a 17˙000 USD al minuto. Dato che non tutte le aziende sono in grado di affrontare spese simili, per molte di loro un'emergenza di questo genere comporterà la chiusura.
Evitare danni alla reputazione dell’azienda
Infine, le aziende che non sono in grado di ripristinare rapidamente ed efficacemente l'operatività dopo un'emergenza rischiano di perdere la propria reputazione in fatto di sicurezza e affidabilità. Tutte le migliori aziende sanno che il motore e il fattore chiave del successo sono i clienti, e compromettere la propria reputazione può frenare gli investimenti futuri, allontanare dipendenti preziosi e, in alcuni casi, azzerare ogni possibilità di tornare sul mercato. Questo è uno dei motivi principali per cui le imprese vittime di un disastro informatico spesso non riescono a riprendersi.
In che modo le aziende possono creare un piano per il disaster recovery?
Non esiste un piano di disaster recovery universale in grado di soddisfare le esigenze specifiche di tutte le aziende. I criteri indicati di seguito sono delle linee guida per creare una strategia di disaster recovery, ma vanno certamente personalizzati.
Compila un inventario della tua infrastruttura
Quando si inizia a sviluppare un piano di DR, creare un inventario dell'hardware e del software posseduto è importantissimo. Le aziende che operano principalmente su software saranno agevolate, dato che non avranno da inventariare dei componenti fisici nel loro datacenter. Questo processo include l'acquisizione delle informazioni di contatto del supporto tecnico di ogni vendor per tutto l'hardware e le applicazioni possedute.
Effettua una valutazione dei rischi
Determina la quantità di downtime e la perdita di dati che l'azienda può sopportare. L'ideale sarebbe nessun downtime e nessuna perdita di dati, ma non tutte le aziende possono permettersi una soluzione di disaster recovery in grado di garantire questo risultato. Le aziende che dipendono fortemente dall'IT, come i siti di e-commerce, non possono permettersi di subire downtime. Quest'operazione rappresenta inoltre un'importante opportunità per determinare un RPO e un RTO accettabili per ciascuna classe di applicazioni.
Prepara un piano di comunicazione
Un piano di comunicazione efficace mantiene informati i dipendenti durante un'emergenza, assicurando che capiscano come accedere ai sistemi necessari al proseguimento delle operazioni aziendali durante un evento di DR. Questo piano include anche la designazione di un luogo specifico come base delle operazioni durante l'emergenza.
Definisci gli SLA
Assicurati che i tuoi accordi sui livelli di servizio (SLA) includano le emergenze. Molte aziende esternalizzano le tecnologie affidandole a provider di servizi, oppure archiviano i propri sistemi in un datacenter o in una struttura separata.
Collauda regolarmente il tuo piano di disaster recovery
Le aziende devono verificare regolarmente la prontezza della loro soluzione di DR. Anche i migliori piani di DR vanno testati per soddisfare le verifiche di auditing interne o esterne.