Backup o disaster recovery? C’è solo una risposta.

Partiamo da quello che si legge su Wikipedia in merito al disaster recovery:

“delle imprese che hanno subito disastri con pesanti perdite di dati, circa il 43% non ha più ripreso l’attività, il 51% ha chiuso entro due anni e solo il 6% è riuscita a sopravvivere nel lungo termine.

In altre parole, quando capita un “vero” disastro informatico, di quelli dove – per capirci – non hai più a disposizione l’IT, o l’infrastruttura è stata compromessa completamente, o comunque non hai più i sistemi in grado di supportarti, nella maggioranza dei casi portano al fallimento dell’impresa.

Cerchiamo di capire meglio.

Dove arriva il backup

Con il backup dei dati puoi recuperare una situazione di emergenza, dove per esempio hai perso dei dati, oppure ti hanno compromesso un sito web, o magari hai fatto delle operazioni che non sono andate a buon fine e vuoi ritornare ad una situazione precedente.

Queste situazioni solitamente sono locali, e compromettono la funzionalità di un reparto o di una postazione. Di solito, per aziende ben organizzate, si risolvono senza che il resto dell’organizzazione se ne accorga. Le soluzioni di backup sono tantissime, anche in cloud, e ne abbiamo già parlato.

Situazione molto più delicata in caso di rotture: una macchina a bordo linea, una postazione fondamentale per il lavoro con il pubblico etc. In questo caso i tempi di ripristino iniziano ad essere pesanti, nel senso che la rimessa in linea dell’apparecchiatura (il pc, la workstation etc) diventano “vitali” alla ripresa delle attività. In questo caso avere un backup potrebbe non essere sufficiente, potrebbe semplicemente “non essere sufficientemente efficace” per ripristinare la situazione prima che il fermo si traduca in “danni seri” per l’azienda stessa.

E’ qui che una pianificazione della sicurezza a più alto livello diventa fondamentale, ed è proprio per salvaguardare questi casi che si scelgono soluzioni di disaster recovery.

Storie di disastri (e di disaster recovery)

In senso lato il disaster recovery è quando ti sei dotato di un “secondo sito” dove poter riattivare tutta la tua infrastruttura IT, per rendere l’azienda in grado di continuare a lavorare. Il livello di sofisticazione dell’impianto è direttamente proporzionale all’investimento necessario per implementarlo e di solito ha a che fare tempi di ripartenza e punto di ripartenza (ne parliamo sotto).

Facciamo un esempio: se la tua azienda produce e spedisce 20 bilici di prodotti al giorno, fermare l’impianto di distribuzione che porta i tuoi prodotti ai camion probabilmente potrebbe causarti perdite monetarie ingenti. Per questo motivo ti sarai dotato di pezzi di ricambio a non finire, un team di manutentori sempre disponibile ed è facile che, degli snodi più delicati e vitali, avrai più possibilità di manovra (più macchine, più ricambi etc). Nel caso di una rottura seria potresti compromettere parti dell’impianto e comunque riuscire ad andare avanti mentre il team di manutenzione risolve il problema.

A livello di business immagina cosa potrebbe significare non avere più il sistema che gestisce l’impianto. Non averlo significa “computer scollegati, magazzino non accessibile, perdita di visibilità su ordinato e liste di spedizione etc”. Quanto è vitale “ripristinare” una situazione del genere?

E se il backup ci mettesse 12 ore per poter essere ripristinato? La tua azienda sarebbe in grado di sopravvivere?

In questo caso i sistemi informatici che governano il cuore dell’azienda, quelli critici, vitali per la sua sopravvivenza, vengono duplicati per intero e mantenuti aggiornati in un secondo sito. Con un costo solitamente non trascurabile, si possono effettuare ripartenze anche rapide per assicurare la sopravvivenza dell’intera organizzazione. E’ il disaster recovery, e chiunque dovrebbe – perlomeno – averlo valutato correttamente prima di decidere “non mi serve”.

Come si implementa il disaster recovery?

Come vedi, le variabili che possono accadere sono tante, e non solo interne. Quando c’è stato il terremoto in Emilia, purtroppo troppe aziende si sono accorte di non avere adeguatamente “pensato” a tutto quello che poteva succedere.

Senza voler speculare sulle tragedie (che comunque possono accadere e a cui è meglio perlomeno “pensare”, visto che parliamo di business) la miglior cosa da fare è redigere un Disaster Recovery Plan. Non servono solo dei professionisti dell’IT per farlo, tutto il management aziendale deve essere coinvolto per analizzare ogni flusso e porre le basi per una corretta valutazione. Ecco i passi principali necessari per predisporlo correttamente:

1. Identificazione eventi disastrosi;
2. Stima dell’impatto di questi eventi catastrofici sul business aziendale;
3. Scelta del personale addetto al piano di sicurezza e di quello che lo attuerà in caso d’emergenza (chi fa/che cosa/ruoli/responsabilità);
4. Formazione e aggiornamenti periodici del personale dedicato al disaster recovery e alle procedure di sicurezza;
5. Verifica che il team di persone coinvolto in tutte le procedure di sicurezza conosca le proprie responsabilità;
6. Pianificazione periodica dei test sulle procedure di emergenza, per verificare l’efficacia del piano di sicurezza e, nel caso, modificarlo;
7. Verifica periodica dell’effettiva “attualità” (e coerenza) delle strategie e delle policy di sicurezza.

RTO e RPO

In generale per le soluzioni più avanzate di disaster recovery ci si affida ad aziende esterne capaci di operare nell’ambito della sicurezza. Per completezza potremmo dire che ogni soluzione di disaster recovery è diversa e personalizzata sulle esigenze dell’azienda. Due parametri che dettano il livello di efficienza e costo sono RTO e RPO.

RTO ( Recovery Time Objective, ovvero il tempo necessario per il pieno recupero dell’operatività di un sistema) e RPO (Recovery Point Objective, ovvero la massima quantità di dati che un sistema può perdere a causa di un guasto improvviso), sono due parametri che in fase di valutazione di una soluzione tecnologica hanno un fortissimo impatto sui costi e devono essere garantiti a livello contrattuale.

Una banca ad esempio dovrà avere un RPO pari a zero (cioè anche l’ultimo dato, quello di 10 secondi prima, deve essere recuperato, transazioni, pagamenti etc). Per alcune aziende di produzione un RPO pari a 24 ore a volte è sufficiente

Conclusioni: inizia a redigere un disaster recovery plan

Pensa alla quantità e all’importanza dei dati che ogni giorno transitano sui tuoi sistemi aziendali. Non sono forse un vero e proprio patrimonio da tutelare e proteggere? E quanto costa farlo? Quanto potresti “investire” in modo sano per garantire la sopravvivenza della tua azienda?

La risposta ti arriverà dal Disaster Recovery Plan. Noi possiamo aiutarti a realizzarne uno serio, dove mettere su carta tutte le possibili situazione e ragionare poi sui passi necessari per affrontarle. Non aspettare che sia troppo tardi e fatti sentire. Chiedi un incontro non impegnativo attraverso il nostro form dei contatti.