top of page

Servizi di Backup locali e in cloud, Disaster Recovery, Protezione dei dati

Analisi dei rischi

Il primo passo nella stesura di un piano di disaster recovery consiste nel fare un'analisi dei rischi dei propri sistemi informatici. Occorre elencare tutti i potenziali rischi (elevati e non) e valutare la probabilità che questi rischi si verifichino.
Ogni cosa che può compromettere il funzionamento dei sistemi IT è un rischio da prendere in considerazione: l'attacco dei virus, il furto, gli atti vandalici, gli errori umani, l'incendio e così via. Di ogni potenziale rischio si deve stabilire la probabilità con cui si può verificare l'evento e l'impatto che avrebbe sui sistemi e sull'azienda.

Stabilire il budget

Una volta stabiliti i rischi, ci si deve chiedere come si può prevenire ogni rischio e quanto costa la prevenzione, nonché che impatto avrebbe un tale evento sul piano del business. Per esempio un sistema di virtualizzazione nel proprio ufficio potrebbe richiedere l'uso di un gruppo di continuità per proteggere da sbalzi di tensione, i dati potrebbero essere backuppati due volte al giorno e trasferiti in un luogo remoto per sicurezza, se si dovesse verificare un furto. Maggiori sono i rischi che si riescono a prevenire, maggiore è il valore della prevenzione; come dice Cole Emerson: "Un dollaro speso in prevenzione vale più di un dollaro speso nel ripristino della situazione". Il risultato dell'analisi dei rischi dovrebbe essere una lista dei rischi con la corrispondente soluzione e il costo di implementazione. È dovere dell'IT manager presentare ai titolari un elenco del genere perché spesso gli imprenditori non sono nemmeno a conoscenza dei potenziali rischi legati all'IT. Un buon punto di partenza per presentare questi piani alla Direzione consiste nell'evidenziare i costi legati al downtime dei sistemi informativi: quanto a lungo può stare ferma l'azienda senza sistemi informativi? Sarà poi la Direzione ad assumersi la responsabilità di valutare quali rischi possono essere tollerati e quali no. Ma anche in questo caso l'IT manager è fondamentale, infatti la Direzione e gli IT manager devono concordare di comune accordo quali siano i sistemi critici e quali no. Per esempio, nel caso precedente, l'azienda potrebbe decidere di risparmiare sul backup fuori sede ma di investire in un secondo server per ridondanza. I budget variano da azienda ad azienda e da settore a settore, ma statisticamente un budget tipico per sistemi di backup e disaster recovery va dal 5% al 15% di tutto il budget dedicato all'IT.

Lo sviluppo del piano

Le direttive e le opinioni della Dirigenza indicano la strada da percorrere nella stesura delle procedure di disaster recovery. Per esempio se si stabilisce che l'azienda non può stare ferma per più di 24 ore, è necessario dotarsi di sistemi e procedure che garantiscano la ripresa delle operazioni in quel tempo. Le procedure di disaster recovery dovrebbero essere scritte in maniera chiara e semplice per permette di essere eseguite in condizioni di stress e senza dover pensare (perché chi le ha scritte le ha già pensate e provate in assenza di stress). Inoltre andrebbero individuate, e addestrate, le persone preposte ad agire in caso di disastro. Le procedure dovrebbero definire le priorità, ossia quali sistemi ripristinare per primi e come gestire eventuali perdite di dati (ordini, messaggi di posta elettronica, ...). Infine al termine delle procedure di emergenze dovrebbe esserci una checklist per verificare che le procedure siano state eseguite alla perfezione e i sistemi siano effettivamente funzionanti.

Il test non è mai abbastanza

Una volta che il piano di disaster recovery è pronto, è necessario testarlo. Più volte. Meglio se con cadenza regolare, perché i sistemi cambiano e non è detto che un'operazione che andava bene sei mesi fa vada bene anche oggi: poiché le esigenze di business cambiano, anche i piani di disaster recovery devono cambiare. Infine occorre revisionare il piano almeno due volte l'anno:

  • serve altro budget?

  • Sono cambiate le priorità?

  • È cambiato il personale che va quindi nuovamente addestrato?

E tu, hai pronto il tuo piano di disaster recovery? Cosa succede se va via la corrente nel tuo ufficio? E se dovessi subire un furto, sei pronto a ripartire secondo un piano prestabilito?

Fonte: sito Achab, articolo a cura di Claudio Panerai

bottom of page