Qualunque sia la forma di un disastro, il modo migliore per affrontarlo è essere preparati e ricorrere a un piano di Disaster Recovery ben congegnato. Rimanere calmi e tranquilli sotto pressione è molto più facile quando hai qualcuno (o qualcosa) che ti guida in una brutta situazione. Le catastrofi assumono diverse forme, dai disastri naturali ai cyberattacchi e agli incidenti.

Gli attacchi informatici, come il ransomware, possono essere disastrosi per un’azienda e spesso interrompere del tutto il lavoro. L’impatto di una perdita accidentale di documenti o di una violazione dolosa della sicurezza può essere grave, con perdita di reputazione, multe e interruzione dei sistemi e dell’attività. La creazione di un piano di continuità aziendale attuabile offre all’organizzazione la migliore possibilità di ridurre al minimo l’impatto di un disastro come un’alluvione, un incendio o un attacco informatico e di ridurre i tempi di recupero.

Ecco la nostra guida su cos’è un piano di Disaster Recovery e come scriverne uno.

Che cos’è un piano di disaster recovery?

Nella Guida galattica per gli autostoppisti, l’Enciclopedia Galattica inizia con le parole “Niente panico“. Un piano di Disaster Recovery (DR) efficace non ha bisogno di queste parole in copertina perché è una guida ragionata per affrontare un disastro. Un piano di DR è la guida documentata di un’organizzazione per rispondere agli incidenti, compresi i disastri naturali come le inondazioni, le interruzioni di corrente, gli attacchi informatici, la perdita di dati e così via. Il piano presenta una serie di strategie che aiutano a ridurre al minimo l’impatto di un disastro; l’obiettivo è mantenere le operazioni aziendali e riprendere il lavoro il prima possibile.

Perché è necessario scrivere un piano di disaster recovery?

Le cose brutte accadono e spesso senza preavviso, causando disagi diffusi. Le tempeste del 2015-2016 nel Regno Unito, ad esempio, hanno avuto un impatto economico di 1,6 miliardi di sterline, con le imprese che hanno speso oltre 500 milioni di sterline per i danni causati dalle inondazioni. Anche gli attacchi informatici sono un disastro in agguato: secondo un’indagine del DCMS del 2021, nel 2020 il 65% delle medie imprese subirà un attacco informatico. Anche le minacce interne possono essere disastrose e i costi sono in aumento, secondo il Ponemon Institute: negli ultimi 12 mesi il costo medio annuale di una violazione interna è aumentato del 31%, raggiungendo gli 11,45 milioni di dollari (8,27 milioni di sterline).

Le catastrofi sono spesso inevitabili, ma possono essere gestite per ridurne al minimo l’impatto: è qui che entra in gioco il piano di Disaster Recovery. Un piano di DR è progettato per:

  • Limitare l’impatto del disastro sull’azienda

  • Ridurre al minimo l’impatto sui processi e sulle operazioni aziendali.

  • Ridurre al minimo qualsiasi danno fisico o informatico

  • Ridurre i costi associati al disastro

  • Formare il personale, i fornitori e gli stakeholder sui processi identificati per mitigare i disastri.

  • Identificare le modalità di lavoro mentre il disastro è in corso.

  • Procedure di recupero post-catastrofe

Come scrivere un piano di disaster recovery

I piani di Disaster Recovery sono in genere costituiti da cinque componenti chiave:

  1. Ruoli e responsabilità

  2. Quali sono le aree a rischio?

  3. Eseguire una valutazione dell’impatto aziendale (BIA)

  4. Verifica delle attività

  5. Backup dei dati

Ruoli e responsabilità

Crea un team DR che sarà responsabile dello sviluppo e del mantenimento del piano DR. Identifica il personale chiave coinvolto nello svolgimento dei compiti legati alla gestione e al recupero di un disastro. Un’efficace diffusione delle informazioni e solidi canali di comunicazione sono essenziali per un piano di DR efficace. Inserisci i dati del personale, comprese le informazioni di contatto e di riserva, in un registro facilmente accessibile nel piano di emergenza. Questo sarà il tuo elenco principale di contatti. Dovresti anche creare un gruppo di contatti di riserva.

Tutti i dipendenti devono essere informati sul piano di DR e su chi è responsabile dell’esecuzione del piano in caso di disastro. Questo farà parte di un programma di formazione più ampio sulla pianificazione delle catastrofi per tutti i dipendenti, in modo da capire cosa succede in caso di catastrofe.

Quali sono le aree a rischio?

Definire le aree di rischio associate a un disastro. In genere si suddividono i disastri in tipi, ad esempio naturali, creati dall’uomo o legati alla tecnologia. Ogni tipo di disastro ha le sue strategie di mitigazione. Illustra quali sono queste strategie di mitigazione e come vengono attuate.

Eseguire una valutazione dell’impatto aziendale (BIA)

La gestione efficace di un disastro richiede la definizione delle priorità. Una valutazione dell’impatto aziendale (Business Impact Assessment, BIA) esamina i tipi di attività aziendali e li mappa in base ai livelli di rischio in termini di criticità per la continuità operativa dell’azienda. A ciò si aggiungono i requisiti di risorse delle operazioni aziendali critiche, necessari per garantire la resilienza e la continuità operativa in caso di interruzione dell’attività. In termini di pianificazione dei disastri, un piano di Disaster Recovery si concentra in genere su aree aziendali chiave come la generazione di ricavi e le buste paga. L’obiettivo, tuttavia, è quello di ripristinare la piena operatività nel più breve tempo possibile.

Audit delle attività

Nell’ambito di una più ampia valutazione dell’impatto, il piano di DR dovrebbe fornire una verifica delle applicazioni, dei documenti, dell’hardware, ecc. più impattanti e della loro criticità per le operazioni aziendali. Si tratta di un processo continuo, poiché questi elementi possono cambiare rapidamente.

Backup

Avere un backup dei dati dei documenti più importanti e sensibili è una sicurezza. I documenti essenziali per un’azienda possono essere persi o danneggiati in caso di disastro o crittografati in attacchi ransomware. Assicurati che la tua polizza includa una strategia di backup e ripristino che copra la seguente lista di controllo:

  • Chi è responsabile dei backup dei dati?

  • Cosa salvare e con quale frequenza eseguire i backup

  • Come salvarlo (tipo di sistema di backup utilizzato – questo è particolarmente importante per la resistenza al ransomware)

  • Come testare il sistema di backup e con quale frequenza

  • Come ripristinare i backup

È inoltre importante ricordare che un piano di recupero dati è un documento vivo che deve essere aggiornato regolarmente. La creazione di un solido piano di recupero dati è un processo intensivo che si addentra nei meandri della tua organizzazione e delle modalità di gestione dello scenario peggiore. Il piano ha molte parti critiche per l’azienda e la collaborazione con esperti di terze parti dovrebbe essere presa in considerazione per garantire un piano ottimale.

Il tuo piano di disaster recovery è pronto?

Ogni piano di Disaster Recovery è unico per un’organizzazione: un piano di DR si addentra nel cuore dell’attività di un’organizzazione e del suo funzionamento. Ma un piano di Disaster Recovery ha come fulcro le persone. La formazione del personale sull’implementazione dei principi di un piano di Disaster Recovery è fondamentale per garantire che il piano venga attuato in modo efficace. Il nostro personale è il mezzo per evitare un disastro, ma deve essere pienamente consapevole del proprio ruolo per evitare o ridurre al minimo l’impatto di tale disastro.

Passi fondamentali per una gestione efficace delle violazioni di dati