Continuità aziendale vs. disaster recovery: qual è il piano giusto per te?

I piani di continuità aziendale e di disaster recovery sono strategie di gestione del rischio su cui fanno affidamento le aziende per prepararsi ad affrontare incidenti non pianificati. Sebbene i termini siano strettamente correlati, esistono alcune differenze chiave che vale la pena considerare quando si sceglie la strategia adatta a te:

• Business continuity plan (BCP): un BCP è un piano dettagliato che delinea le misure che un'organizzazione adotterà per tornare alle normali funzioni aziendali in caso di disastro. Mentre altri tipi di piani si concentrano su un aspetto specifico del ripristino e della prevenzione delle interruzioni (ad esempio un disastro naturale o un attacco informatico), i BCP adottano un approccio più ampio e mirano a garantire che un'organizzazione possa affrontare la più ampia gamma possibile di minacce.
• Disaster recovery plan (DRP): più dettagliati rispetto ai BCP, i piani di disaster recovery consistono in piani di contingenza che definiscono le modalità con cui le aziende proteggeranno in modo specifico i loro sistemi IT e i dati critici durante un'interruzione. Oltre ai BCP, i piani DR aiutano le aziende a proteggere i dati e i sistemi IT da molti scenari diversi, come interruzioni massicce, calamità naturali, attacchi ransomware e malware e molti altri.
• Business continuity e disaster recovery (BCDR): la business continuity e il disaster recovery (BCDR) possono essere affrontati insieme o separatamente, a seconda delle esigenze aziendali. Di recente, sempre più aziende si stanno orientando verso la pratica congiunta delle due discipline, chiedendo ai dirigenti di collaborare alle pratiche di BC e DR anziché lavorare in modo isolato. Ciò ha portato a combinare i due termini in uno, BCDR, ma il significato essenziale delle due pratiche rimane invariato.

Indipendentemente dal modo in cui scegli di approcciarti allo sviluppo del BCDR nella tua organizzazione, vale la pena notare quanto velocemente il settore stia crescendo in tutto il mondo. Dal momento che i risultati di un BCDR non efficace, così come la perdita di dati e i tempi di inattività, diventano sempre più costosi, numerose aziende stanno aumentando gli investimenti attuali. L'anno scorso, le aziende di tutto il mondo erano pronte a spendere 219 miliardi di dollari per la cybersecurity e relative soluzioni, un aumento del 12% rispetto all'anno precedente secondo un recente report dell'International Data Corporation (IDC) (link esterno a ibm.com).

I piani di continuità aziendale (BCP) e i piani di disaster recovery (DRP) aiutano le organizzazioni a prepararsi a un'ampia gamma di incidenti non pianificati. Se implementato in modo efficace, un piano efficace di DR può aiutare gli stakeholder a conoscere meglio i rischi che una particolare minaccia può comportare per le normali funzioni aziendali. Le aziende che non investono in un BCDR (Business Continuity Disaster Recovery) hanno maggiori probabilità di incorrere in perdite di dati, tempi di inattività, sanzioni finanziarie e danni alla reputazione a causa di incidenti non pianificati.

Ecco alcuni dei vantaggi che le aziende che investono in piani di continuità aziendale e disaster recovery possono attendersi:

• Tempi di inattività ridotti: quando un evento interrompe le normali operazioni aziendali, tornare operativi può costare alle aziende centinaia di milioni di dollari. Gli attacchi informatici di alto profilo sono particolarmente dannosi, attirano frequentemente attenzioni indesiderate e fanno fuggire investitori e clienti verso concorrenti che pubblicizzano tempi di inattività più brevi. L'implementazione di un solido piano BCDR può ridurre i tempi di recupero indipendentemente dal tipo di evento che devi affrontare.
• Minor rischio finanziario: secondo il recente report Cost of a Data Breach di IBM, il costo medio di una violazione dei dati è stato di 4,45 milioni di dollari nel 2023, con un aumento del 15% rispetto al 2020. Le aziende con solidi piani di continuità aziendale hanno dimostrato di poter ridurre significativamente tali costi riducendo i tempi di inattività e aumentando la fiducia di clienti e investitori.
• Sanzioni ridotte: le violazioni dei dati possono comportare gravi sanzioni in caso di divulgazione di informazioni private sui clienti. Le aziende che operano nel settore sanitario e della finanza personale sono esposte a rischi più elevati a causa della sensibilità dei dati che gestiscono. Per le aziende che operano in questi settori è fondamentale disporre di una solida strategia di continuità aziendale che contribuisca a mantenere relativamente basso il rischio di pesanti sanzioni finanziarie.

La pianificazione di un BCDR è più efficace quando le aziende adottano un approccio separato ma coordinato. Sebbene i piani di continuità aziendale (BCP) e i piani di disaster recovery (DRP) siano simili, esistono differenze importanti che ne rendono vantaggioso lo sviluppo separato:

• I robusti piani BCP si concentrano sulle tattiche per garantire il normale funzionamento delle operazioni prima, durante e immediatamente dopo un disastro.
• I piani DRP tendono ad essere più reattivi, mettendo in evidenza i modi a disposizione per rispondere a un incidente e far tornare tutto a funzionare senza problemi.

Prima di approfondire la creazione di BCP e DRP efficaci, esaminiamo un paio di termini che sono rilevanti per entrambi:

• Recovery Time Objective (RTO): l'RTO si riferisce alla quantità di tempo necessaria per ripristinare i processi aziendali dopo un incidente imprevisto. Stabilire un RTO ragionevole è una delle prime cose che le aziende devono fare durante la creazione di un BCP o di un DRP. 
• Recovery Point Objective (RPO): l'obiettivo del punto di ripristino (RPO) della tua azienda è la quantità di dati che può permettersi di perdere in caso di emergenza e comunque ancora ripristinare. Poiché la protezione dei dati è una funzionalità fondamentale di numerose aziende moderne, alcune aziende copiano costantemente i dati in un data center remoto per garantire la continuità in caso di violazione grave. Altre aziende stabiliscono un RPO tollerabile di pochi minuti (o addirittura ore) per il ripristino dei dati aziendali da un sistema di backup e sanno che potranno recuperare tutto quello che è andato perso in quel periodo.

Sebbene ogni azienda avrà requisiti leggermente diversi per quanto riguarda la pianificazione della continuità aziendale, ci sono quattro fasi ampiamente utilizzate che producono risultati eccellenti indipendentemente dalle dimensioni o dal settore.

1. Eseguire un'analisi dell'impatto aziendale

L'analisi dell'impatto aziendale (BIA) aiuta le organizzazioni a conoscere meglio le varie minacce che si trovano ad affrontare. Una BIA efficace include la creazione di descrizioni affidabili di tutte le potenziali minacce e di tutte le vulnerabilità che potrebbero essere oggetto di attacco. Inoltre, la BIA stima la probabilità di ogni evento, in modo che l'organizzazione possa quindi assegnare la priorità.

2. Creare potenziali risposte

Per ogni minaccia identificata nella BIA, dovrai elaborare una risposta per la tua azienda. Minacce diverse richiedono strategie diverse, quindi per ogni disastro che la tua azienda potrebbe dover affrontare è bene creare un piano dettagliato per il suo potenziale recupero.

3. Assegnare ruoli e responsabilità

Il passo successivo è capire cosa è richiesto a tutti i membri del tuo team di disaster recovery in caso di disastro. Questa fase deve documentare le previsioni e considerare il modo in cui le persone comunicheranno durante un incidente non pianificato. Ricorda che molte minacce interrompono le funzionalità di comunicazione chiave come le reti cellulari e Wi-Fi, per cui conviene avere a disposizione delle procedure di riserva di comunicazione su cui contare.

4. Provare e rivedere il piano

Per ogni minaccia a cui ci si è preparati, è necessario esercitarsi e perfezionare costantemente i piani BCDR fino a quando non funzionano senza problemi. Prova uno scenario il più realistico possibile senza mettere a rischio nessuno, in modo che i membri del team possano acquisire fiducia e scoprire come si comporteranno in caso di interruzione della continuità aziendale.

Come i BCP, i DRP identificano i ruoli e le responsabilità chiave e devono essere costantemente testati e perfezionati per essere efficaci. Di seguito è riportato un processo in quattro fasi ampiamente utilizzato per la creazione di DRP.

1. Eseguire un'analisi dell'impatto aziendale

Esattamente come il piano BCP, il tuo DRP inizia con un'attenta valutazione di ogni minaccia che la tua azienda potrebbe affrontare e relative implicazioni. Considera i danni che ogni potenziale minaccia potrebbe causare e la probabilità che vengano interrotte le tue operazioni aziendali quotidiane. Ulteriori considerazioni potrebbero includere la perdita di entrate, i tempi di inattività, i costi di recupero della reputazione (pubbliche relazioni) e la perdita di clienti e investitori a causa della cattiva pubblicità.

2. Fare l'inventario degli asset

Per un DRP efficace è necessario sapere esattamente cosa possiede la tua azienda. Esegui regolarmente questi controlli di inventario in modo da poter identificare facilmente hardware, software, infrastruttura IT e qualsiasi altra cosa su cui la sua organizzazione fa affidamento per le funzioni aziendali critiche. Puoi utilizzare le seguenti etichette per classificare ogni asset e dare priorità alla sua protezione: critico, importante e non importante.

• Critico: etichetta le risorse come critiche se dipendi da esse per le normali operazioni aziendali.
• Importante: assegna questa etichetta a tutto ciò che utilizzi almeno una volta al giorno e che, in caso di interruzione, potrebbe influire sulle sue operazioni critiche (ma non interrompendole completamente).
• Non importanti: si tratta di risorse di proprietà dell'azienda che vengono utilizzate con una frequenza così ridotta da risultare non essenziali per la normale operatività.

3. Assegnare ruoli e responsabilità

Come nel BCP, dovrai descrivere le responsabilità e assicurarti che i membri del tuo team abbiano ciò di cui hanno bisogno per svolgerle. Ecco alcuni ruoli e responsabilità ampiamente utilizzati da prendere in considerazione:

• Incident reporter: persona addetta a conservare le informazioni di contatto per le parti interessate e a comunicare con i leader aziendali e gli stakeholder in caso di eventi dirompenti.
• Supervisore DRP: una persona che si assicura che i membri del team svolgano i compiti loro assegnati durante un incidente. 
• Asset manager: persona addetta a proteggere e a mettere in sicurezza gli asset critici in caso di disastro.

4. Provare il piano

Proprio come con il BCP, dovrai esercitarti e aggiornare costantemente il tuo DRP affinché sia efficace. Esercitati regolarmente e aggiorna i tuoi documenti in base a eventuali modifiche significative che devono essere apportate. Ad esempio, se la tua azienda acquisisce un nuovo asset dopo la creazione del DRP, dovrai incorporarlo nel tuo piano in futuro o non sarà protetto in caso di catastrofe.

Indipendentemente che tu abbia bisogno di un piano di continuità aziendale (BCP), di un piano di disaster recovery (DRP) o di entrambi che collaborino o che agiscano separatamente, può essere utile vedere come altre aziende hanno messo in atto piani per aumentare la propria preparazione. Ecco alcuni esempi di piani che hanno aiutato le aziende a prepararsi sia al piano BC, sia al piano DR.

• Piano di gestione delle crisi: un buon piano di gestione delle crisi potrebbe far parte della pianificazione della business continuity o del disaster recovery. I piani di gestione delle crisi sono documenti dettagliati che delineano le modalità di gestione di una minaccia specifica. Forniscono istruzioni dettagliate su come un'organizzazione risponderà a un tipo specifico di crisi, come un'interruzione di corrente, un crimine informatico o una catastrofe naturale; in particolare, come affronteranno le pressioni ora per ora e minuto per minuto mentre l'evento si sta svolgendo. Molte delle fasi, dei ruoli e delle responsabilità richiesti nella pianificazione della continuità aziendale e del disaster recovery sono rilevanti per un buon piano di gestione delle crisi.
• Piano di comunicazione: i piani di comunicazione si applicano anche alla continuità aziendale e alle iniziative di disaster recovery. Descrivono il modo in cui l'organizzazione affronterà in modo specifico i problemi di PR durante un incidente imprevisto. Per formulare dei buoni piani di comunicazione, i leader aziendali si coordinano solitamente con gli specialisti della comunicazione. Alcuni dispongono di piani specifici per i disastri considerati probabili e gravi, quindi sanno esattamente come risponderanno.
• Piano di ripristino della rete: i piani di ripristino della rete aiutano le organizzazioni a riprendersi dalle interruzioni dei servizi di rete, tra cui accesso a Internet, dati cellulari, reti locali (LAN) e reti geografiche (WAN). I piani di ripristino della rete sono in genere di ampia portata poiché si concentrano su un'esigenza fondamentale ed essenziale, ovvero la comunicazione, e dovrebbero essere considerati più dal punto di vista della continuità aziendale che del disaster recovery. Data l'importanza di molti servizi di rete per le operazioni aziendali, i piani di ripristino della rete si concentrano sui passaggi necessari per ripristinare i servizi in modo rapido ed efficace dopo un'interruzione.
• Piano di ripristino del data center: è più probabile che un piano di ripristino del data center sia incluso in un BCP piuttosto che in un DRP, poiché riguarda la sicurezza dei dati e le minacce all'infrastruttura IT. Alcune minacce comuni al backup dei dati includono il sovraccarico del personale, attacchi informatici, interruzioni di corrente e difficoltà nel rispettare i requisiti di conformità. 
• Piano di ripristino virtualizzato: come un piano per data center, è più probabile che un piano di ripristino virtualizzato faccia parte di un BCP che di un DRP, dato che il BCP si concentra sulle risorse IT e sui dati. I piani di recupero virtualizzati si basano su istanze di macchine virtuali (VM) che possono tornare a essere operative entro un paio di minuti da un'interruzione. Le macchine virtuali sono rappresentazioni/emulazioni di computer fisici che forniscono il ripristino delle applicazioni critiche tramite l'alta disponibilità (HA) o la capacità di un sistema di funzionare in modo continuo senza guasti.

Anche una minima interruzione può mettere a rischio la tua attività. IBM dispone di un'ampia gamma di piani di emergenza e soluzioni di disaster recovery per preparare la tua azienda ad affrontare una serie di minacce, tra cui funzionalità di backup e disaster recovery su cloud e servizi di sicurezza e resilienza.