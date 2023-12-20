Cos'è il business continuity disaster recovery (BCDR)?

Data di pubblicazione: 21 dicembre 2023
Autori: Mesh Flinders, Ian Smalley
Cos'è il BCDR?

Il business continuity disaster recovery (BCDR) è un processo che aiuta le organizzazioni a ripristinare le normali operazioni aziendali in caso di disastro. Sebbene la continuità aziendale e il disaster recovery siano strettamente correlati, descrivono due approcci leggermente diversi alla gestione delle crisi che le aziende possono adottare.

Poiché la prevenzione della perdita di dati e i tempi di inattività sono sempre più costosi, molte organizzazioni stanno aumentando i loro investimenti nella gestione delle emergenze. Nel 2023, le aziende di tutto il mondo erano destinate a spendere 219 miliardi di USD per la cybersecurity, con un aumento del 12% rispetto all'anno precedente, secondo un recente report dell'International Data Corporation.

Cos’è un piano di disaster recovery?

Un piano di disaster recovery (DRP) è un piano di contingenza che descrive come un'azienda si riprenderà da un evento imprevisto. I DRP aiutano le aziende a gestire diversi scenari di disastro, come interruzioni massicce, calamità naturali, attacchi ransomware e malware e molti altri.

Cos'è un piano di continuità aziendale?

Come i DRP, i piani di continuità aziendale (BCP) giocano un ruolo fondamentale nel disaster recovery e aiutano le organizzazioni a tornare alle normali funzioni aziendali in seguito a un incidente. Mentre un DRP si concentra specificamente sui sistemi IT, la gestione della continuità aziendale si concentra in modo più ampio su vari aspetti della preparazione.
Come funziona il BCDR?

La maggior parte delle organizzazioni suddivide la pianificazione BCDR in due processi distinti: continuità aziendale e disaster recovery. Questo approccio è efficace perché, sebbene i due processi condividano molti passaggi, ci sono differenze fondamentali nel modo in cui le organizzazioni elaborano, implementano e testano questi piani.

La differenza principale è che i BCP sono proattivi e mirano a garantire la continuità delle operazioni prima, durante e subito dopo un disastro. I DRP, invece, sono reattivi e si concentrano su come rispondere e riprendersi da un incidente. Questa distinzione dovrebbe guidare la creazione della propria strategia BCDR, con i BCP focalizzati sui processi e sui ruoli critici e i DRP sulle azioni di ripristino post-incidente. 

Entrambi i processi dipendono fortemente da due componenti critici: il recovery time objective e il recovery point objective.

Recovery time objective (RTO)

L'RTO si riferisce alla quantità di tempo necessaria per ripristinare i processi aziendali dopo un incidente imprevisto. Stabilire un RTO ragionevole è una delle prime cose che le aziende devono fare durante la creazione di un DRP.

Recovery point objective (RPO)

L'RPO di un'azienda è la quantità di dati che può permettersi di perdere in una situazione di emergenza riuscendo comunque a riprendersi. Poiché la protezione dei dati è una funzionalità fondamentale di molte aziende moderne, alcune copiano costantemente i dati in un data center remoto per garantire la continuità in caso di violazione grave. Altre impostano un RPO di pochi minuti, o persino ore, per il recupero dei dati aziendali da un sistema di backup, in modo da sapere di essere in grado di recuperare tutto ciò che hanno perso durante quel lasso di tempo.

 Come creare un piano di continuità aziendale 

1. Eseguire un'analisi dell'impatto aziendale

Per creare un BCP efficace, è innanzitutto necessario comprendere i vari rischi che l'organizzazione deve affrontare. L'analisi dell'impatto aziendale (BIA) è fondamentale nella gestione del rischio e nella resilienza aziendale. La BIA è il processo di identificazione e valutazione del potenziale impatto di un disastro sulle normali operazioni. Una BIA efficace include una panoramica di tutte le potenziali minacce e vulnerabilità esistenti, interne ed esterne, e piani dettagliati per attenuarle. La BIA deve inoltre identificare la probabilità di un evento, in modo che l'organizzazione possa stabilire le priorità di conseguenza.

2. Progettare le risposte

Una volta completata la BIA, il passo successivo nella creazione del BCP consiste nel pianificare risposte efficaci a ciascuna delle minacce identificate. Minacce diverse richiedono naturalmente strategie di disaster recovery diverse, quindi ciascuna delle risposte identificate dovrebbe contenere un piano dettagliato su come l'organizzazione individuerà e risolverà una minaccia specifica.

3. Identificare i ruoli e le responsabilità chiave

Questo passaggio determina il modo in cui i membri chiave del tuo team rispondono quando affrontano una crisi o un evento dirompente. Documenta le aspettative di ogni membro del team e anche le risorse necessarie per svolgere i rispettivi ruoli. Questa parte del processo è utile per valutare il modo in cui le persone comunicano quando si verifica un incidente. Alcune minacce interrompono le reti chiave, come la connettività mobile o internet, quindi è importante disporre di metodi di comunicazione alternativi affidabili.

4. Testare e aggiornare il piano

Affinché il piano BCDR sia efficace, è necessario che sia testato e perfezionato costantemente. I test e la formazione costanti dei dipendenti consentono un'implementazione senza interruzioni in caso di disastro reale. Prova scenari realistici come attacchi informatici, incendi, inondazioni, errori umani, interruzioni massicce e altre minacce rilevanti, in modo che i membri del team possano acquisire fiducia nei loro ruoli e responsabilità.

 Come creare un piano di disaster recovery

Come i BCP, i DRP richiedono una BIA, ovvero la definizione di ruoli e responsabilità, nonché test e perfezionamenti costanti. Ma poiché i DRP sono di natura più reattiva, ci si concentra maggiormente sull'analisi del rischio e sul backup and recovery dei dati. Le fasi 2 e 3 dello sviluppo del DRP, l'analisi dei rischi e la creazione di un inventario degli asset non fanno affatto parte del processo di sviluppo del BCP.

Di seguito è riportato un processo in cinque fasi ampiamente utilizzato per la creazione di un DRP:

1. Eseguire un'analisi dell'impatto aziendale.

Come nel processo del BCP, inizia valutando ogni minaccia che la tua azienda potrebbe affrontare e le sue possibili conseguenze. Considera in che modo le potenziali minacce potrebbero influire sulle operazioni quotidiane, sui canali di comunicazione regolari e sulla sicurezza dei lavoratori. Altri fattori importanti per una BIA efficace includono la perdita di entrate, il costo del tempo di inattività, i costi di riparazione della reputazione (pubbliche relazioni), la perdita di clienti e investitori (a breve e a lungo termine) e le eventuali sanzioni per le violazioni della conformità.

2. Analizzare i rischi

I DRP richiedono in genere una valutazione del rischio più attenta rispetto ai BCP, poiché il loro ruolo è quello di concentrarsi sulle azioni di recupero da un potenziale disastro. Durante la parte della pianificazione relativa all'analisi del rischio, considera la probabilità che un rischio si verifichi e il potenziale impatto sulla sua attività.

3. Creare un inventario degli asset

Per creare un DRP efficace, è necessario sapere esattamente cosa possiede la propria azienda, il suo scopo o funzione e le sue condizioni. Eseguire regolarmente un inventario degli asset aiuta a identificare hardware, software, infrastruttura IT e qualsiasi altra risorsa di cui la propria organizzazione potrebbe disporre che è essenziale per le operazioni aziendali. Una volta identificati gli asset, è possibile raggrupparli in tre categorie: critici, importanti e non importanti.

  • Critici: etichetta gli asset come critici solo se la tua azienda ne ha bisogno per le normali operazioni aziendali.
  • Importanti: assegna questa etichetta agli asset che utilizzi almeno una volta al giorno e che avrebbero un impatto sulle operazioni aziendali (ma non le interromperebbero completamente) se interrotti.
  • Non importanti: si tratta di asset che l'azienda utilizza di rado e che non sono essenziali per le normali operazioni aziendali.

4. Assegnare ruoli e responsabilità

Proprio come nello sviluppo del BCP, devi descrivere chiaramente le responsabilità e assicurarti che i membri del team abbiano ciò di cui hanno bisogno per svolgere i loro compiti. Senza questo passaggio cruciale, nessuno saprà come agire durante un disastro. Ecco alcuni ruoli e responsabilità da considerare nella creazione del DRP:

  • Incident reporter: persona addetta a conservare le informazioni di contatto per le parti interessate e a comunicare con i leader aziendali e gli stakeholder in caso di eventi dirompenti.
  • Supervisore DRP: il supervisore DRP si assicura che i membri del team svolgano i compiti a loro assegnati durante un incidente. 
  • Asset manager: persona addetta a proteggere e a mettere in sicurezza gli asset critici in caso di disastro.
  • Referente terze parti: la persona che si coordina con eventuali fornitori terzi o fornitori di servizi assunti nell'ambito del DRP e aggiorna di conseguenza gli stakeholder sugli sviluppi del DRP.

5. Testare e perfezionare

Come il BCP, anche il DRP richiede pratica e perfezionamento costanti per essere efficace. Effettua test regolari e aggiorna il piano in base a eventuali modifiche significative necessarie. Ad esempio, se la tua azienda acquisisce un nuovo asset dopo la creazione del DRP, dovrai incorporarlo nel tuo piano per garantire che sia protetto in futuro.
    Esempi di BCDR

    In termini di pianificazione BCDR, ogni azienda ha le proprie esigenze specifiche. Ecco alcuni esempi di piani efficaci per aziende di diverse dimensioni e settori:

    Piano di gestione delle crisi

    Un piano di gestione della crisi, noto anche come piano di gestione degli incidenti, è un piano dettagliato per la gestione di un incidente specifico. Fornisce istruzioni dettagliate su come la propria organizzazione risponderà a una crisi specifica, come un'interruzione di corrente, un attacco informatico o un disastro naturale.

    Piano di comunicazione

    Un piano di comunicazione delinea il modo in cui la propria organizzazione gestisce le relazioni pubbliche (PR) in caso di disastro. I leader aziendali di solito si coordinano con gli specialisti della comunicazione per formulare piani di comunicazione che integrino qualsiasi attività di gestione della crisi necessaria per garantire la continuità delle operazioni aziendali durante un'interruzione non pianificata.

    Piano di data center recovery

    Un piano di data center recovery si concentra sulla sicurezza della struttura del data center e sulla sua capacità di riprendere le operazioni dopo un'interruzione non pianificata. Alcune minacce comuni al data storage includono sovraccarico del personale che può portare a errori umani, attacchi informatici, interruzioni di corrente e difficoltà nel rispettare i requisiti di conformità. 

    Network recovery plan

    I network recovery plan consentono alle organizzazioni di riprendersi da un'interruzione dei servizi di rete, tra cui accesso a internet, dati cellulari, reti locali (LAN) e reti geografiche (WAN). Data l'importanza fondamentale dei servizi di rete nelle operazioni aziendali, i piani di ripristino della rete devono delineare chiaramente i passaggi, i ruoli e le responsabilità necessari per ripristinare i servizi in modo rapido ed efficace dopo una compromissione della rete.

    Piano di recovery virtualizzato

    Un piano di recovery virtualizzato si basa su istanze di macchine virtuali (VM) che possono tornare a essere operative entro un paio di minuti da un'interruzione. Le macchine virtuali sono rappresentazioni o emulazioni di computer fisici che forniscono il ripristino delle applicazioni critiche tramite l'alta disponibilità o la capacità di un sistema di funzionare in modo continuo senza guasti.
    Vantaggi del BCDR

    La pianificazione del BCDR aiuta le organizzazioni a comprendere meglio le minacce che devono affrontare e a prepararsi meglio ad affrontarle. Le aziende che non attuano una pianificazione del BCDR affrontano vari rischi, tra cui perdita di dati, tempi di inattività, sanzioni finanziarie e danni alla reputazione. Una pianificazione BCDR efficace aiuta a garantire la continuità aziendale e il rapido ripristino dei servizi dopo un'interruzione dell'attività. Ecco alcuni dei vantaggi di cui godono le aziende con un'efficace pianificazione BCDR:
    Tempi di inattività ridotti

    Un evento imprevisto che interrompe il normale svolgimento delle attività aziendali può costare centinaia di milioni di dollari. Inoltre, gli attacchi informatici di alto profilo attirano spesso un'attenzione indesiderata da parte della stampa e possono causare una perdita di fiducia sia nei clienti che negli investitori. I piani BCDR aumentano la capacità di un'organizzazione di tornare in funzione rapidamente e senza problemi a seguito di un incidente non pianificato.
    Costi ridotti

    Secondo il recente report Cost of Data Breach di IBM, il costo medio di una violazione dei dati nel 2023 è stato di 4,45 milioni di USD, con un aumento del 15% rispetto agli ultimi tre anni. Le aziende con un BCDR efficace possono ridurre tali costi garantendo la continuità aziendale durante un incidente e accelerando il successivo ripristino. Un'altra opportunità di risparmio con una forte BCDR è rappresentata dall'assicurazione informatica. Molti assicuratori non assicurano le organizzazioni che non hanno istituito un piano BCDR efficace.
    Sanzioni ridotte

    Le violazioni dei dati comportano pesanti sanzioni in caso di compromissione delle informazioni private dei clienti. Le aziende che operano in settori fortemente regolamentati come l'assistenza sanitaria e la finanza personale possono incorrere in sanzioni particolarmente pesanti. Poiché queste sanzioni sono spesso legate alla durata e alla gravità di una violazione, garantire la continuità aziendale e abbreviare i cicli di vita di risposta e ripristino è fondamentale per ridurre il rischio di incorrere in sanzioni.
