Qualunque sia la forma di un disastro, il modo migliore per affrontarlo è essere preparati e ricorrere a un piano di Disaster Recovery ben congegnato. Rimanere freddi e calmi sotto pressione è molto più facile quando si ha qualcuno (o qualcosa) che ci guida in una situazione difficile. Le catastrofi assumono diverse forme, dai disastri naturali ai cyberattacchi e agli incidenti.
Gli attacchi informatici, come il ransomware, possono essere disastrosi per un'azienda, spesso bloccando completamente il lavoro. L'impatto di una perdita accidentale di documenti o di una violazione dolosa della sicurezza può essere grave, con perdita di reputazione, multe e tempi di inattività del sistema e dell'azienda. La creazione di un piano di continuità operativa offre all'organizzazione la migliore possibilità di ridurre al minimo l'impatto di un disastro come un'alluvione, un incendio o un attacco informatico e di ridurre i tempi di recupero.
Ecco la nostra guida su cos'è un piano di Disaster Recovery e come scriverne uno.
Cos'è un piano di Disaster Recovery?
Nella Guida galattica per gli autostoppisti, l'Enciclopedia Galattica inizia con le parole "Nientepanico". Un piano di Disaster Recovery (DR) efficace non ha bisogno di queste parole in copertina, perché è una guida ragionata per affrontare un disastro. Un piano di DR è la guida documentata di un'organizzazione per rispondere agli incidenti, compresi i disastri naturali come le inondazioni, le interruzioni di corrente, gli attacchi informatici, la perdita di dati e così via. Il piano presenta una serie di strategie che aiutano a ridurre al minimo l'impatto di un disastro, con l'obiettivo di mantenere l'operatività aziendale e riprendere il lavoro il prima possibile.
Perché è necessario scrivere un piano di disaster recovery?
Le cose brutte accadono e spesso senza preavviso, causando disagi diffusi. Le tempeste del 2015-2016 nel Regno Unito, ad esempio, hanno avuto un impatto economico di 1,6 miliardi di sterline, con una spesa di oltre 500 milioni di sterline per i danni causati dalle inondazioni. Anche gli attacchi informatici sono un disastro in agguato: secondo un'indagine del DCMS del 2021, nel 2020 il 65% delle medie imprese subirà un attacco informatico. Anche le minacce interne possono essere disastrose, con un'impennata dei costi, secondo il Ponemon Institute: negli ultimi 12 mesi il costo medio annuo di una violazione interna è aumentato del 31%, raggiungendo 11,45 milioni di dollari (8,27 milioni di sterline).
Le catastrofi sono spesso inevitabili, ma possono essere gestite per ridurne al minimo l'impatto: è qui che entra in gioco il piano di Disaster Recovery. Un piano di DR è progettato per:
- Limitare l'impatto del disastro sul business
- Minimizzare l'impatto sui processi e sulle operazioni aziendali
- Minimizzare qualsiasi danno fisico o informatico
- Ridurre i costi associati al disastro
- Formare il personale, i fornitori e le parti interessate sui processi identificati per mitigare i disastri.
- Identificare i modi di lavorare mentre il disastro viene affrontato
- Procedure di recupero post-disastro
Come scrivere un piano di disaster recovery
I piani di Disaster Recovery sono tipicamente composti da cinque componenti chiave:
- Ruoli e responsabilità
- Quali sono le aree di rischio?
- Effettuare una valutazione dell'impatto aziendale (BIA)
- Audit delle risorse
- Backup dei dati
Ruoli e responsabilità
Creare un team DR che sarà responsabile dello sviluppo e del mantenimento del piano DR. Identificare il personale chiave coinvolto nell'esecuzione dei compiti necessari per affrontare e riprendersi da un disastro. La diffusione efficace delle informazioni e i solidi canali di comunicazione sono essenziali per un piano di DR efficace. Inserisci i dettagli del personale, comprese le informazioni di contatto e di riserva, in un registro facilmente accessibile nel piano di DR. Questo sarà il tuo elenco principale di contatti. Dovreste anche creare un team di contatti di riserva.
Tutti i dipendenti devono essere informati sul piano DR e su chi è responsabile dell'esecuzione del piano in caso di disastro. Questo farà parte di un più ampio programma di formazione nella pianificazione delle catastrofi per tutti i dipendenti per capire cosa succede in caso di disastro.
Quali sono le aree di rischio?
Definire le aree di rischio associate a un disastro. Questo tipicamente suddivide i disastri in tipi, per esempio, naturali, creati dall'uomo, legati alla tecnologia. Ogni tipo di disastro avrebbe tipicamente le proprie strategie di mitigazione. Delineare quali sono queste strategie di mitigazione e come ognuna è implementata.
Effettuare una valutazione dell'impatto aziendale (BIA)
La gestione efficace di un disastro richiede la definizione delle priorità. Un Business Impact Assessment (BIA) esamina i tipi di attività aziendali e li mappa ai livelli di rischio in termini di quanto siano critici per la continuità delle operazioni dell'azienda. Questo è associato ai requisiti delle risorse delle operazioni aziendali critiche che sono necessarie per assicurare la resilienza e la continuità operativa quando il business è interrotto. In termini di pianificazione del disastro, un piano di Disaster Recovery si concentrerebbe tipicamente su aree aziendali chiave come la generazione di entrate e il libro paga. L'obiettivo, tuttavia, è quello di ottenere operazioni complete e funzionanti il più rapidamente possibile.
Audit delle risorse
Come parte di una più ampia valutazione dell'impatto, il piano di DR dovrebbe fornire una verifica delle applicazioni, dei documenti, dell'hardware, ecc. più impattanti e della loro criticità per le operazioni di business. Questo è un processo continuo, poiché questi elementi possono cambiare rapidamente.
Backups
Il backup dei dati dei documenti più importanti e sensibili è una garanzia di sicurezza. I documenti essenziali per un'azienda possono essere persi o danneggiati in caso di disastro o crittografati in attacchi ransomware. Assicuratevi che la vostra polizza includa una strategia di backup e ripristino che copra la seguente lista di controllo:
- Chi è responsabile dei backup dei dati?
- Cosa salvare e quanto spesso eseguire i backup
- Come salvarlo (tipo di sistema di backup usato - questo è particolarmente importante per la resistenza al ransomware)
- Come testare il sistema di backup e con quale frequenza
- Come recuperare dai backup
È inoltre importante ricordare che un piano di recupero dati è un documento vivo che deve essere aggiornato regolarmente. La creazione di un solido piano di recupero dati è un processo intensivo che si addentra negli aspetti più profondi dell'organizzazione e delle modalità di gestione dello scenario peggiore. Il piano ha molte parti critiche per l'azienda e la collaborazione con esperti di terze parti dovrebbe essere presa in considerazione per garantire un piano ottimale.
Il tuo piano di recupero in caso di disastro è pronto?
Ogni piano di Disaster Recovery è unico per un'organizzazione: un piano di DR si addentra nel cuore dell'attività di un'organizzazione e del suo funzionamento. Ma un piano di Disaster Recovery ha come fulcro le persone. La formazione del personale sull'attuazione dei principi di un piano di Disaster Recovery è fondamentale per garantire che il piano venga attuato in modo efficace. Il nostro personale è il mezzo per evitare un disastro, ma deve essere pienamente consapevole del proprio ruolo per evitare o ridurre al minimo l'impatto di tale disastro.