Business Continuity Plan – necessario ad ogni azienda
Per Business Continuity si intende il poter continuare a lavorare nonostante il verificarsi di un disastro. Come dice il nome, continuare a fare le cose che si faceva prima del disastro stesso o comunque subire un’interruzione il più limitata possibile nel tempo.
Ciò che può andare male quando si parla di Business Continuity in ambito IT può essere rappresentato da molte cose. Potrebbe essere il singolo computer, un insieme di server, le linee internet, lo storage sul quale stanno i nostri dati, le applicazioni che ci permettono di accedere ai dati stessi e molto altro ancora.
Con disastro si può intendere quello di tipo ambientale, come inondazioni e terremoti, ma anche cose molto più semplici, quali virus o utenti che cancellano file più o meno dolosamente.
Un esempio su tutti è CryptoLocker ed i suoi effetti in questi ultimi due anni. Quasi quotidianamente CryptoLocker ha cifrato una parte consistente dei dati, per cui parte del business di varie aziende è perso e in qualche modo va recuperato o addirittura ricreato.
La Business Continuity si prefigge l’obiettivo di aiutare l’azienda che dovesse incappare in disastri, facendo in modo che l’impatto sul business sia il meno oneroso possibile, limando i costi.
A fronte di un danno bisogna capire quanto è accettabile un disastro.
E’ sempre necessario possedere un progetto di Business Continuity, ottenuto valutando quali siano i costi di inattività (downtime) per l’azienda. Il fattore tempo è variabile, al punto che per alcune aziende non è possibile stare ferme nemmeno per pochi secondi.
RTO e RPO – cosa sono e come sono legati alla business continuity
RPO è l’acronimo di Recovery Point Objective. E’ l’intervallo di tempo che passa tra il disastro e la data dell’ultimo salvataggio utilizzabile dei dati.
L’RTO, o Recovery Time Objective, indica il tempo necessario a far ripartire il sistema dopo l’incidente.
E’ evidente che questi valori rappresentino la qualità della buisness continuity di un’azienda.
Più si riesce a mantenere bassi RTO e RPO, più il piano è efficiente e meno si perdono soldi e dati.
Il backup e la business continuity
Il backup si occupa di salvare i dati, mentre la Business Continuity si preoccupa di salvare il tempo (downtime).
Avvenuto il disastro, sarà necessaria una certa quantità di tempo per ripristinare – ad esempio – i dati. Il backup in sè non è quindi sufficiente.
La Business Continuity tende a minimizzare il tempo che si impiega a tornare operativi con tutti i dati. Il backup risulta quindi una parte dell’intero piano di Business Continuity.
La Business Continuity si occupa di quindi di tenere stretti i tempi di ripartenza, mentre il backup si occupa solo di salvare i dati e non si preoccupa di quanto (e come) ci metteremo a ripartire.
Il backup offsite è un altro tipo di backup che aggiunge un gradino in più alla sicurezza del semplice backup. Creando backup esternamente alla struttura (offsite per l’appunto) nel caso in cui nel posto di lavoro vengano persi, distrutti o rubati, c’è comunque un secondo luogo da cui recuperarli. Tale tipologia di backup aumenta la sicurezza dei dati, ma non accorcia i tempi di ripartenza da un disastro.
Business Continuity e Disaster recovery
Il disaster recovery, si occupa di mettere in piedi le procedure per ripristinare i sistemi allo stato precedente ad un avvenuto disastro.
Per raggiungere la perfezione della business continuity, si dovrebbe avere un sistema di disaster recovery istantaneo: una volta che è successo il disastro, immediatamente faccia tornare tutto allo stato iniziale e senza alcun impatto.
Il traguardo della perfezione assoluta della business continuity e del disaster recovery in tempo zero rasenta quasi l’impossibilità. Qualunque azienda, anche la più sofisticata e corazzata, ha pochi secondi di downtime, ma non zero. Questo è in ogni caso altamente desiderabile: il processo di disaster recovery deve esistere, di modo che qualcuno e/o qualcosa si accorga dell’avvenuto disastro e metta in atto le procedure che rimedino ad esso.
Come accorciare RPO e RTO – investimenti
Gli investimenti per avere un tempo di recovery di qualche secondo sono sicuramente maggiori di altre soluzioni che hanno invece un tempo di indisponibilità dei sistemi più lungo.
La regola più efficace è che quanto minori sono i tempi di RPO e RTO tanto più è necessario investire.
E’ necessario avere un piano a monte della disater recovery
Poichè quando c’è un malfunzionamento il panico regna, c’è il rischio di agire in modo scoordinato e seguendo l’istinto personale. In quei momenti è evidente come sia necessario avere un piano riflesso di analisi e studi effettuati a freddo: lì si trovano i passi esatti e sistematici da compiere per ripartire e rispondere ad un disastro.
Purtroppo sono tante le realtà che non hanno previsto un piano, nonostante le complessità nascoste nei sistemi informativi all’apparenza tanto semplici.
È fondamentale che tutte le aziende ragionino su questo problema. Analizzino quale sia il costo di un down e quindi ponderino ed investano su una soluzione di business continuity (e conseguente disaster recovery).
Tutti hanno bisogno di un piano di Business Continuity.