A cosa serve un Disaster Recovery Plan (DRP) nell’ambito della Business Continuity?

Siamo costantemente sotto attacco di minacce di natura diverse. Da un lato, aumentano i rischi correlati al cambio climatico e i conseguenti rischi di calamità naturali e per l’approvvigionamento dell’energia e dall’altro siamo sempre più esposti ad attacchi sofisticati di ransomware e malware. Entrambe le minacce hanno il potenziale di danneggiare gravemente la tua azienda e di mettere a rischio i tuoi futuri business. E’ quindi fondamentale disporre di un Disaster Recovery Plan ottimizzato e tagliato su misura per la tua azienda.

Il Disaster Recovery Plan è la parte del piano di sicurezza che definisce le misure da adottare nel caso in cui si verifichi un evento negativo, con l’indicazione delle possibili soluzioni in base al livello di criticità.

Conseguentemente, il Plan deve essere utilizzato dalle aziende per affrontare una moltitudine di tipi di emergenza e rimettersi in sesto in breve, serve perciò a limitare gli effetti del disastro e a ripristinare le normali attività di business.

Sempre più incidenti e sempre più rischi

Negli ultimi anni il numero degli incidenti ha mostrato un aumento vorticoso che inevitabilmente ha un impatto forte anche sulla produzione IT. Alcuni tra questi sono:

• Eventi metereologici e calamità naturali come inondazioni, tempeste, incendi, terremoti ecc

• Blackout energia elettrica

• Virus, Ransomware e Malware che colpiscono le aziende di qualsiasi entità.

Questi incidenti generano l’interruzione dell’IT e impattano le attività di tutte le unità dell’azienda. Perciò ogni impresa dovrebbe analizzare i propri rischi e focalizzarsi sulle soluzioni di mitigazione. In questo contesto, concentrare le strutture IT e tutti i dati in una sola sede per motivi economici e di comodità può aumentare considerevolmente i danni in caso di un grave incidente in quell’area costringendo l’azienda ad uno stop totale forzato con serie implicazioni. Un’interruzione di servizio prolungato oltre 48 ore origina attualmente danni irreversibili gravi nel 40% delle aziende.

Quali sono le strategie che dovresti adottare per ridurre queste minacce al tuo business?

Il primo step è una presa di coscienza dei reali rischi della propria azienda, delle esposizioni e delle vulnerabilità. Oltre a questo bisogna effettuare una stima degli investimenti da fare e scegliere soluzioni scalabili e utili alla Business Continuity del proprio business.

A questo punto il Chi fa Cosa e Quando diventa vitale. L’ unica soluzione è pianificare nel dettaglio ogni mossa per ogni scenario diverso. Inoltre, occorre definire gli strumenti a disposizione e determinare le rispettive responsabilità e il ruolo di ogni dipendente. Anticipando l’incidente attraverso la previsione di un Disaster Recovery Plan (DRP) e un Business Continuity Plan (BCP) potrai tagliare su misura ogni tua reazione al tipo di incidente che potrà verificarsi.

Ovviamente, un piano di recupero per un attacco di malware/ransomware non avrà le stesse caratteristiche di un piano di emergenza per rischi di calamità naturali.

Applicare le misure e riflettere i cambiamenti

Un Disaster Recovery Plan non è semplicemente un elenco di strumenti tecnici (Server, Storage, Network, accesso Mail e elettricità), deve invece comprendere una reale gestione della crisi con azioni diverse definite a priori e descritte formalmente in procedure scritte. In aggiunta, queste procedure devono essere condivise e testate prima di essere applicate a livello aziendale – prima di un incidente reale. Ovviamente, le regole e procedure saranno sempre temporanee e dovranno essere riviste costantemente in funzione dell’evoluzione del business e delle minacce nuove. In realtà, ogni previsione dovrà adeguarsi anche al turnover del personale, al cambio delle infrastrutture e rivista ogni qualvolta intervengono cambiamenti nel rischio e quindi integrata nel tuo Piano di DRP/BCP.

Il tuo Disaster Recovery Plan fa parte della Business Continuity ed è la somma dei documenti e delle procedure che descrivono operazioni complesse. Il piano deve essere verificato e testato con regolarità da persone competenti e condiviso nel Board, in azienda deve essere sempre presente un dipendente in grado di metterlo in atto perché in qualsiasi momento potrebbe essere necessario doverlo attivare in fretta.

In caso di incidente vince la chiarezza delle istruzioni

Il piano salverà la tua azienda se è correttamente disegnato ed eseguito. La sua definizione è un progetto sfaccettato che richiede tempo e le competenze giuste. Richiede la giusta metologia e l’esperienza sul campo e una predisposizione a riconoscere le vulnerabilità in un’architettura scalata che richiede reazioni specifiche per tipo di applicazione. Un piano di DR mal concepito o mal gestito, non testato o non aggiornato ti darà la vana illusione di aver messo la tua azienda al riparo dalle minacce odierne consacrando il tuo budget per una sicurezza che non è reale e perdendo la Business Continuity.

Per questo motivo l’implementazione e la manutenzione di un robusto e adeguato DRP dovrebbe rientrare nella priorità di ogni azienda. In questo contesto la protezione dei dati ha l’assoluta priorità su tutto. Infatti, occorre ricordarsi che i danni alle infrastrutture sono risolvibili perché ogni macchina può essere sostituita, mentre i dati sono il valore più alto per la tua azienda, e una volta spariti magari non potranno essere recuperati. Sono l’asset più critico dell’azienda che ti permette di prosperare, al contempo la loro violazione potrà danneggiare sia te che altri potrà anche esporti alla richiesta di danni da parte di terzi e sanzioni in base al GDPR.

Le soluzioni di Anylink Group

Il nostro obiettivo è fornirti soluzioni integrate di Business Continuity per la sicurezza informatica della tua azienda. Offriamo soluzioni tagliate su misura in Cloud in collaborazione con prodotti avanzati targati WSS Italia e collocati nel data center Supernap di Milano. I nostri esperti ti possono affiancare nell’analisi dell’esposizione della tua azienda (Vulnerability Assessment e Penetration Test), nella ricerca delle soluzioni più adeguate e nell’implementazione e manutenzione del piano.