Data di pubblicazione: 12 dicembre 2023
Autori: Mesh Flinders, Ian Smalley
Il disaster recovery as a service (DRaaS) è una soluzione di terze parti che offre funzionalità di protezione dei dati e di disaster recovery (DR) alle aziende on-demand, via internet e con pagamento a consumo.
Le soluzioni DRaaS replicano e ospitano server fisici e server virtuali che forniscono il failover in caso di emergenza, ovvero un processo in cui le operazioni IT vengono trasferite a un sistema secondario quando uno primario è guasto. Un DRaaS efficace aiuta a limitare i tempi di inattività e ad abbreviare il recovery point objective (RPO) e il recovery time objective (RTO) quando si verifica un disastro.
Le soluzioni di DR stanno guadagnando popolarità negli ultimi anni grazie alla crescente consapevolezza dell'importanza della sicurezza dei dati nella comunità aziendale. Essenzialmente, le aziende che adottano l'approccio DRaaS delegano la pianificazione del DR a terzi. Secondo un recente report di Global Market Insights (GMI) (link esterno a ibm.com), il mercato del DRaaS nel 2022 valeva 11,5 miliardi di USD con una prospettiva di crescita del 22% nell'anno seguente (link esterno a ibm.com).
Cos’è un piano di disaster recovery?
Le soluzioni DRaaS si basano su piani di disaster recovery (DRP), che sono documenti dettagliati che descrivono come un'organizzazione risponde a un'interruzione non pianificata. Insieme ai piani di continuità aziendale (BCP), i piani di DR aiutano a garantire che le aziende siano preparate ad affrontare molti tipi diversi di minacce, tra cui attacchi ransomware e malware, disastri naturali e molto altro ancora.
Un DRP efficace può aiutare a ripristinare la connettività e a riparare la perdita di dati dopo un disastro. In caso di eventi non pianificati, un fornitore terzo che fornisce assistenza DRaaS ha meno probabilità di subire lo stesso arresto dei suoi clienti, potendo quindi attuare il DRP del cliente in modo più efficace del cliente stesso.
Cosa sono il failover e il failback?
Failover e failback sono concetti centrali per il DRaaS, che aiutano i fornitori di terze parti a supportare efficacemente i loro clienti e a implementare il loro DRP indipendentemente dalla gravità dell'incidente che stanno affrontando. Il failover è un processo in cui le operazioni IT vengono trasferite su un sistema secondario quando quello principale è inattivo a causa di un'interruzione di corrente, un attacco informatico o un'altra minaccia.
Il failback è il processo di ritorno al sistema originale una volta ripristinata la piena funzionalità. In un modello di servizio DRaaS, un fornitore potrebbe eseguire il failover dal data center di un cliente su un sito secondario, in cui un sistema ridondante entrerebbe in funzione all'istante. Se eseguiti correttamente, il failover e il failback possono creare un'esperienza senza interruzioni in cui l'utente non si renderà neanche conto di essere stato trasferito su un sistema secondario.
Il primo passo verso il DRaaS è quello di selezionare il fornitore o il master service provider (MSP) giusto per la tua organizzazione. Questa è l'azienda che fornirà le funzionalità DRaaS, inclusa la definizione di RTO e RPO, e contribuirà a creare un piano di continuità aziendale (BCP). In genere, gli MSP DRaaS competono per fornire RTO e RPO sempre più bassi, quindi questa è una buona metrica da cui partire per valutare se sono adatti alle proprie esigenze.
Recovery Time Objective (RTO): l'RTO si riferisce alla quantità di tempo necessaria per ripristinare le operazioni aziendali dopo un incidente imprevisto. In un modello DRaaS, i service level agreement (SLA) includono l'RTO e spiegano come l'MSP e l'organizzazione collaboreranno per raggiungerlo.
Recovery Point Objective (RPO): l'RPO è la quantità di dati che un'organizzazione può permettersi di perdere in caso di disastro riuscendo comunque a riprendersi. Alcune aziende hanno bisogno che i propri dati vengano costantemente copiati in un data center remoto per garantire la continuità in caso di violazione; altre possono tollerare un RPO di pochi minuti (o persino ore). Definire aspettative chiare sull'RPO dell'organizzazione è un passo fondamentale verso la creazione di una soluzione DRaaS.
Piano di continuità aziendale: come i DRP, gli RTO e gli RPO, i piani di continuità aziendale (BCP) sono fondamentali per il processo DRaaS. I BCP generalmente esaminano in modo più ampio le minacce e le opzioni di risoluzione rispetto a un DRP, concentrandosi su ciò che un'organizzazione e un fornitore di DRaaS dovranno fare per ripristinare le funzioni aziendali di base dopo un incidente. Secondo il modello DRaaS, il BCP di un'organizzazione viene solitamente sviluppato dall'MSP che fornisce i servizi DRaaS in stretta consultazione con i dirigenti dell'organizzazione.
Il DRaaS si basa sul backup dei sistemi critici, in modo da poterli ripristinare dopo un'interruzione non pianificata. La scelta della posizione e del tipo di backup da utilizzare è una delle decisioni più importanti che un'organizzazione prenderà durante il processo di DRaaS. Ci sono tre opzioni tra cui scegliere: data center, cloud e backup ibridi.
Centri dati
Quando un'organizzazione decide di eseguire il backup dei dati più critici tramite un data center, i dati vengono spostati fuori sede, proteggendoli da calamità naturali o attacchi informatici localizzati. A causa della necessità di più infrastrutture, come strutture fuori sede e server fisici, sistemi e personale, i backup dei data center sono spesso l'opzione più costosa. Inoltre, il ripristino dei dati da un data center fuori sede è un processo più lungo rispetto al ripristino dal cloud e a volte può richiedere giorni o persino settimane.
Cloud
I piani di disaster recovery nel cloud sono spesso i più scalabili ed economici, perché non necessitano di infrastrutture fisiche e di supporto. I piani di DR basati sul cloud memorizzano i dati critici nel cloud, consentendo a un'organizzazione di creare un'istanza di macchina virtuale (VM) che può essere attivata in pochi minuti, o anche secondi, in caso di disastro.
Hybrid cloud
I piani DRaaS ibridi utilizzano sia un ambiente cloud pubblico che un data center per il backup. I servizi hybrid cloud sono la più flessibile delle tre opzioni disponibili e sono una buona opzione per le piccole e medie imprese (PMI) che desiderano funzionalità DRaaS di livello aziendale senza investire in infrastrutture fisiche.
Molte organizzazioni che stanno considerando il DRaaS valutano anche il Backup as a Service (BaaS) come opzione meno costosa. Il BaaS è un servizio gestito offerto da un fornitore terzo che aiuta le aziende a ripristinare i dati più importanti dopo un incidente. Le soluzioni BaaS archiviano i dati in una posizione sicura ed esterna, spesso nel cloud, dove sono protetti da varie minacce.
Il backup dei dati BaaS può includere qualsiasi risorsa di valore di un'organizzazione, come file, record e persino interi workload. Come il DRaaS, il BaaS è un servizio fornito da un MSP e regolato da uno SLA che delinea tutte le responsabilità e le aspettative di entrambe le parti.
Esistono tre differenze fondamentali tra le soluzioni BaaS e DRaaS che vale la pena considerare:
Requisiti di backup: mentre il DRaaS esegue il backup sia dei dati che dell'infrastruttura, il BaaS esegue solo il backup dei dati. I provider di servizi gestiti (MSP) di DRaaS in genere si assumono la responsabilità di mantenere le infrastrutture critiche come server, complessi di uffici e reti disponibili e accessibili agli utenti durante e subito dopo un incidente. I fornitori di BaaS non offrono servizi di questo tipo.
Tempo di ripristino: i provider BaaS possono ripristinare i dati ed eseguirne il recupero, ma ciò richiede più tempo rispetto a un provider DRaaS a causa della quantità di dati coinvolti. Le implementazioni BaaS trattano in genere volumi di dati maggiori rispetto alle implementazioni DRaaS e misurano i loro RPO e RTO in ore e giorni. I provider DRaaS possono misurare RPO e RTO in minuti e talvolta persino in secondi.
Prezzo della soluzione: il BaaS costa molto meno del DRaaS. Ciò è dovuto principalmente al costo delle risorse impiegate. In un'implementazione DRaaS, le aziende pagano per risorse come il software di replica e l'infrastruttura di calcolo oltre alle risorse di storage, mentre in un'implementazione BaaS l'organizzazione paga solo per le risorse di storage.
La maggior parte delle organizzazioni suddivide la pianificazione BCDR in due processi distinti: continuità aziendale e disaster recovery. Si tratta di un approccio efficace perché, sebbene i due processi condividano molti passaggi, esistono anche differenze fondamentali nel modo in cui i piani vengono creati, implementati e testati.
La differenza principale è che i BCP tendono ad essere proattivi, mentre i DRP tendono ad essere più reattivi. È bene tenerlo a mente quando si definiscono le due parti del proprio piano BCDR, perché regola il modo in cui i due processi si relazionano tra loro.
Una solida strategia di continuità aziendale si concentra su processi, procedure e ruoli che sono fondamentali per le operazioni aziendali prima, durante e immediatamente dopo un disastro. La pianificazione del DR è più orientata a reagire a un incidente e a intraprendere le azioni appropriate per riprendersi.
Entrambi i processi dipendono fortemente da due componenti critici: il recovery time objective e il recovery point objective:
- Recovery Time Objective (RTO): l'RTO si riferisce alla quantità di tempo necessaria per ripristinare i processi aziendali dopo un incidente imprevisto. Stabilire un RTO ragionevole è una delle prime cose che le aziende devono fare durante la creazione di un DRP.
- Recovery point objective (RPO): l'RPO di un'azienda è la quantità di dati che può permettersi di perdere in caso di disastro riuscendo comunque a riprendersi. Poiché la protezione dei dati è una funzionalità fondamentale di numerose aziende moderne, alcune aziende copiano costantemente i dati in un data center remoto per garantire la continuità in caso di violazione grave. Altre aziende stabiliscono un RPO tollerabile di pochi minuti (o persino ore) per il recupero dei dati aziendali da un sistema di backup, in modo da sapere di essere in grado di recuperare tutto ciò che hanno perso durante quel lasso di tempo.
1. Eseguire un'analisi dell'impatto aziendale (BIA)
Per creare un BCP efficace, è innanzitutto necessario comprendere i vari rischi che l'organizzazione deve affrontare. L'analisi dell'impatto aziendale (BIA) svolge un ruolo cruciale nella gestione del rischio e nella resilienza aziendale. La BIA è il processo di identificazione e valutazione del potenziale impatto di un disastro sulle normali operazioni.
Un BIA efficace include una panoramica di tutte le potenziali minacce e vulnerabilità esistenti, interne ed esterne, e piani dettagliati per attenuarle. Inoltre, la BIA deve identificare la probabilità che si verifichi un evento, in modo che l'organizzazione possa stabilire le priorità di conseguenza.
2. Progettare le risposte
Una volta completata la BIA, il passo successivo nella creazione del BCP consiste nel pianificare risposte efficaci a ciascuna delle minacce identificate. Minacce diverse richiedono naturalmente strategie di disaster recovery diverse, quindi ciascuna delle risposte identificate dovrebbe contenere un piano dettagliato su come l'organizzazione individuerà e risolverà una minaccia specifica.
3. Identificare i ruoli e le responsabilità chiave
Questo passaggio determina il modo in cui i membri chiave del tuo team risponderanno in caso di crisi o di un evento dirompente. Documenta le aspettative di ogni membro del team e le risorse necessarie per svolgere i rispettivi ruoli.
Una buona parte del processo consiste nel valutare come le persone comunicheranno in caso di incidente. Alcune minacce possono bloccare reti chiave, come la connettività mobile o internet, quindi è importante disporre di metodi di comunicazione alternativi su cui i dipendenti possano fare affidamento.
4. Provare e aggiornare il piano
Affinché il piano BCDR sia efficace, è necessario che sia testato e perfezionato costantemente. I test e la formazione costanti dei dipendenti consentiranno un'implementazione senza interruzioni in caso di disastro reale. Prova scenari realistici come attacchi informatici, incendi, inondazioni, errori umani, interruzioni massicce e altre minacce rilevanti, in modo che i membri del team possano acquisire fiducia nei loro ruoli e responsabilità.
Come i BCP, i DRP richiedono l'analisi dell'impatto aziendale (BIA), la definizione di ruoli e responsabilità e test e perfezionamenti costanti. Ma poiché i DRP sono di natura più reattiva, ci si concentra maggiormente sull'analisi del rischio e sul backup and recovery dei dati. Le fasi 2 e 3 dello sviluppo del DRP, l'esecuzione dell'analisi dei rischi (RA) e la creazione di un inventario degli asset non fanno affatto parte del processo di sviluppo del BCP.
Di seguito è riportato un processo in cinque fasi ampiamente utilizzato per la creazione di un DRP:
1. Eseguire un'analisi dell'impatto aziendale.
Come nel processo del BCP, inizia valutando ogni minaccia che la tua azienda potrebbe affrontare e le sue possibili conseguenze. Considera in che modo le potenziali minacce potrebbero influire sulle operazioni quotidiane, sui canali di comunicazione regolari e sulla sicurezza dei lavoratori.
Altri fattori importanti per una BIA efficace includono la perdita di entrate, il costo del tempo di inattività, i costi di riparazione della reputazione (pubbliche relazioni), la perdita di clienti e investitori (a breve e a lungo termine) e le eventuali sanzioni per le violazioni della conformità.
2. Analizzare i rischi
I DRP richiedono in genere una valutazione del rischio più attenta rispetto ai BCP, poiché il loro ruolo è quello di concentrarsi sulle azioni di recupero da un potenziale disastro. Durante la parte della pianificazione relativa all'analisi del rischio (RA), considera la probabilità che un rischio si verifichi e il potenziale impatto sulla sua attività.
3. Creare un inventario degli asset
Per creare un DRP efficace, è necessario sapere esattamente cosa possiede la propria azienda, il suo scopo e la funzione e le sue condizioni. Eseguire regolarmente un inventario degli asset aiuta a identificare hardware, software, infrastruttura IT e qualsiasi altra risorsa di cui la propria organizzazione potrebbe disporre che è essenziale per le operazioni aziendali. Una volta identificati, è possibile raggruppare gli asset in tre categorie: critici, importanti e non importanti:
- Critici: etichetta gli asset come critici solo se sono necessari per le normali operazioni aziendali.
- Importante: assegna questa etichetta agli asset che vengono utilizzati almeno una volta al giorno e che, in caso di interruzione, avrebbero un impatto sulle operazioni aziendali (ma non interrompendole completamente).
- Non importanti: si tratta di asset che l'azienda utilizza di rado e che non sono essenziali per le normali operazioni aziendali.
4. Assegnare ruoli e responsabilità
Proprio come nello sviluppo del BCP, devi descrivere chiaramente le responsabilità e assicurarti che i membri del team abbiano ciò di cui hanno bisogno per svolgere i loro compiti. Senza questo passaggio cruciale, nessuno saprà come agire durante un disastro. Ecco alcuni ruoli e responsabilità da considerare nella creazione del DRP:
- Incident reporter: persona addetta a conservare le informazioni di contatto per le parti interessate e a comunicare con i leader aziendali e gli stakeholder in caso di eventi dirompenti.
- Supervisore DRP: il supervisore DRP si assicura che i membri del team svolgano i compiti loro assegnati durante un incidente.
- Asset manager: persona addetta a proteggere e a mettere in sicurezza gli asset critici in caso di disastro.
- Referente di terze parti: la persona che si coordina con eventuali fornitori terzi o fornitori di servizi assunti nell'ambito del DRP e e aggiorna di conseguenza gli stakeholder sugli sviluppi del DRP.
4. Testare e perfezionare
Come il BCP, anche il DRP richiede pratica e perfezionamento costanti per essere efficace. Effettua test regolari e aggiorna il piano in base a eventuali modifiche significative che devono essere apportate. Ad esempio, se la tua azienda acquisisce un nuovo asset dopo la creazione del DRP, dovrai incorporarlo nel tuo piano per garantire che sia protetto in futuro.
È comprensibile che le aziende moderne tollerino sempre meno i tempi di inattività.
Ogni giorno si verificano attacchi informatici o altri eventi non pianificati che costano milioni alle aziende. Le soluzioni di disaster recovery come il DRaaS forniscono una protezione dei dati e un disaster recovery efficaci per una serie di minacce.
Esternalizzare l'implementazione del DRP e il backup dei dati più importanti dell'organizzazione in una posizione separata, due elementi chiave del DRaaS, aiutano a garantire un ripristino rapido e completo in caso di disastro.
Ecco alcuni dei principali vantaggi delle soluzioni DRaaS:
Le imprese più competitive di oggi si affidano alla tecnologia per le loro operazioni aziendali più critiche. Quando si verifica un disastro, ogni giorno, ora o persino minuto di interruzione dei normali può costare milioni. Oltre a ciò, gli attacchi informatici e le interruzioni di aziende note spesso finiscono sulle prime pagine dei giornali, aggiungendo i costi reputazionali all'elenco delle spese di recupero. Un DRaaS efficace fornisce alle aziende protezione e backup dei dati e aumenta la loro capacità di reagire a qualsiasi minaccia.
I costi per riprendersi da un disastro aumentano ogni anno. Considerando solo un tipo di incidente non pianificato, la violazione dei dati, il recente report Cost of a Data Breach di IBM ha rilevato che il costo medio di una violazione nel 2023 è stato di 4,45 milioni di USD, con un aumento del 15% negli ultimi 3 anni.
Quando si verifica un disastro, le aziende che si affidano a un provider di DRaaS godono di due vantaggi significativi rispetto a quelle che non lo fanno: i loro dati di backup e il responsabile dell'esecuzione del DRP si trovano entrambi in un altro luogo fisico. Ciò rende molto meno probabile che il provider di DRaaS sia colpito dallo stesso incidente che minaccia l'organizzazione. Inoltre, i provider di DRaaS offrono modelli basati su abbonamento o a consumo, eliminando la necessità di investimenti iniziali nell'infrastruttura IT.
Il DRaaS è una soluzione altamente adattiva che può essere personalizzata per soddisfare le esigenze di ogni azienda. I provider di DRaaS sfruttano le funzionalità basate sul cloud e l'automazione dei processi e delle attività chiave per massimizzare l'efficienza e ridurre le spese generali. Le aziende che implementano soluzioni DRaaS possono dedicare risorse critiche a più funzioni di core business che altrimenti sarebbero destinate allo sviluppo, all'implementazione e alla gestione del proprio DRP.
Settori fortemente regolamentati come l'assistenza sanitaria e la finanza personale impongono sanzioni severe alle aziende vittime di violazioni dei dati. Spesso, l'importo delle sanzioni è legato alla durata del periodo di inattività durante un attacco e alla quantità di dati compromessi. Il DRaaS aiuta ad abbreviare i tempi di risposta e di recupero, riducendo in modo significativo le sanzioni finanziarie associate alle violazioni dei dati.
I provider di DRaaS implementano le più solide misure di cybersecurity e crittografia disponibili per un semplice motivo: è il fulcro della loro attività. Assumendo un provider di DRaaS, assumi specialisti in sicurezza dei dati, prevenzione dei furti e disaster recovery per fare ciò che sanno fare meglio: proteggere te e i tuoi dati più critici.
Le soluzioni di Disaster Recovery as a Service (DRaaS) sono disponibili in tre varietà: DRaaS self-service, assistito e gestito. A seconda delle esigenze e delle risorse di un'organizzazione, ci sono differenze importanti tra queste opzioni che è necessario considerare.
Il DRaaS self-service offre alle organizzazioni gli strumenti e le risorse aziendali di cui hanno bisogno per creare e gestire il proprio DRP. È un'ottima soluzione per le organizzazioni tecnologicamente avanzate con team IT interni dedicati, che richiedono un elevato livello di controllo sui processi.
Essendo una soluzione molto semplificata, il DRaaS self-service ha opzioni di prezzo inferiori rispetto ad altri piani ed è molto più flessibile. Le organizzazioni, tuttavia, devono sapere che con una soluzione DRaaS self-service devono gestire autonomamente le fasi di pianificazione, test e gestione del proprio DRP.
Il DRaaS assistito è un buon tipo di servizio di ripristino per le organizzazioni che devono bilanciare le proprie esigenze di controllo con un solido supporto da parte di un MSP terzo. Nel DRaaS assistito, l'MSP aiuta a creare, pianificare, implementare, testare e perfezionare il DRP e offre competenze e indicazioni preziose durante l'intero processo.
Il DRaaS gestito è una soluzione DRaaS completamente esternalizzata in cui l'MSP assume il controllo totale e la responsabilità dello sviluppo e dell'implementazione del DRP di un'organizzazione. Il DRaaS gestito è un'ottima opzione per le aziende che non dispongono di dipartimenti IT propri e offre l'offerta DRaaS più solida disponibile. Non sorprende che spesso sia anche la più costosa.
Anche una piccola interruzione può metterti in una posizione di svantaggio competitivo. Proteggi i tuoi dati con un piano di disaster recovery nel cloud.
Abilita modelli resilienti per mitigare i rischi, rafforzare la gestione delle crisi e garantire la continuità aziendale.
Utilizza una destinazione altamente durevole, scalabile e sicura per il backup dei dati.
Espandi la capacità e consolida l'infrastruttura del data center in un data center definito dal software automatizzato e gestito centralmente con IBM Cloud for VMware Solutions.
Scopri quali fattori entrano in gioco quando decidi se investire e gestire le tue soluzioni di Disaster Recovery (DR) on-premise o affidarti ai provider di Disaster Recovery as a Service (DRaaS).
Scopri le tecnologie e le pratiche per effettuare copie periodiche di dati e applicazioni, che consentono alla tua azienda di riprendersi in caso di interruzione di corrente, attacco informatico, errore umano, disastro o altro evento imprevisto.
Scopri le somiglianze e le differenze fondamentali tra disaster recovery e backup e come queste soluzioni possono aiutarti a risolvere i problemi più importanti della tua azienda.
Scopri come garantire la resilienza della tua azienda con una Cyber Recover Guarantee su un array FlashSystem efficiente, vantaggioso, sostenibile e resiliente.
Adotta una strategia più intelligente per attuare una vera business transformation grazie a soluzioni di hybrid cloud. Scopri come accelerare i risultati aziendali con un approccio multicloud e AI aperto e ibrido che aumenta la resilienza e le prestazioni.
Scopri di più sullo storage immutabile, un tipo di protocollo di storage che protegge i dati memorizzati impedendo modifiche o alterazioni per un periodo di tempo determinato o indefinito.