Cos'è il business continuity disaster recovery (BCDR)?

La differenza principale è che i BCP sono proattivi e mirano a garantire la continuità delle operazioni prima, durante e subito dopo un disastro. I DRP, invece, sono reattivi e si concentrano su come rispondere e riprendersi da un incidente. Questa distinzione dovrebbe guidare la creazione della propria strategia BCDR, con i BCP focalizzati sui processi e sui ruoli critici e i DRP sulle azioni di ripristino post-incidente. 

Entrambi i processi dipendono fortemente da due componenti critici: il recovery time objective e il recovery point objective.

Recovery time objective (RTO)

L'RTO si riferisce alla quantità di tempo necessaria per ripristinare i processi aziendali dopo un incidente imprevisto. Stabilire un RTO ragionevole è una delle prime cose che le aziende devono fare durante la creazione di un DRP.

Recovery point objective (RPO)

L'RPO di un'azienda è la quantità di dati che può permettersi di perdere in una situazione di emergenza riuscendo comunque a riprendersi. Poiché la protezione dei dati è una funzionalità fondamentale di molte aziende moderne, alcune copiano costantemente i dati in un data center remoto per garantire la continuità in caso di violazione grave. Altre impostano un RPO di pochi minuti, o persino ore, per il recupero dei dati aziendali da un sistema di backup, in modo da sapere di essere in grado di recuperare tutto ciò che hanno perso durante quel lasso di tempo.

1. Eseguire un'analisi dell'impatto aziendale

Per creare un BCP efficace, è innanzitutto necessario comprendere i vari rischi che l'organizzazione deve affrontare. L'analisi dell'impatto aziendale (BIA) è fondamentale nella gestione del rischio e nella resilienza aziendale. La BIA è il processo di identificazione e valutazione del potenziale impatto di un disastro sulle normali operazioni. Una BIA efficace include una panoramica di tutte le potenziali minacce e vulnerabilità esistenti, interne ed esterne, e piani dettagliati per attenuarle. La BIA deve inoltre identificare la probabilità di un evento, in modo che l'organizzazione possa stabilire le priorità di conseguenza.

2. Progettare le risposte

Una volta completata la BIA, il passo successivo nella creazione del BCP consiste nel pianificare risposte efficaci a ciascuna delle minacce identificate. Minacce diverse richiedono naturalmente strategie di disaster recovery diverse, quindi ciascuna delle risposte identificate dovrebbe contenere un piano dettagliato su come l'organizzazione individuerà e risolverà una minaccia specifica.

3. Identificare i ruoli e le responsabilità chiave

Questo passaggio determina il modo in cui i membri chiave del tuo team rispondono quando affrontano una crisi o un evento dirompente. Documenta le aspettative di ogni membro del team e anche le risorse necessarie per svolgere i rispettivi ruoli. Questa parte del processo è utile per valutare il modo in cui le persone comunicano quando si verifica un incidente. Alcune minacce interrompono le reti chiave, come la connettività mobile o internet, quindi è importante disporre di metodi di comunicazione alternativi affidabili.

4. Testare e aggiornare il piano

Affinché il piano BCDR sia efficace, è necessario che sia testato e perfezionato costantemente. I test e la formazione costanti dei dipendenti consentono un'implementazione senza interruzioni in caso di disastro reale. Prova scenari realistici come attacchi informatici, incendi, inondazioni, errori umani, interruzioni massicce e altre minacce rilevanti, in modo che i membri del team possano acquisire fiducia nei loro ruoli e responsabilità.

Come i BCP, i DRP richiedono una BIA, ovvero la definizione di ruoli e responsabilità, nonché test e perfezionamenti costanti. Ma poiché i DRP sono di natura più reattiva, ci si concentra maggiormente sull'analisi del rischio e sul backup and recovery dei dati. Le fasi 2 e 3 dello sviluppo del DRP, l'analisi dei rischi e la creazione di un inventario degli asset non fanno affatto parte del processo di sviluppo del BCP.

Di seguito è riportato un processo in cinque fasi ampiamente utilizzato per la creazione di un DRP:

1. Eseguire un'analisi dell'impatto aziendale.

Come nel processo del BCP, inizia valutando ogni minaccia che la tua azienda potrebbe affrontare e le sue possibili conseguenze. Considera in che modo le potenziali minacce potrebbero influire sulle operazioni quotidiane, sui canali di comunicazione regolari e sulla sicurezza dei lavoratori. Altri fattori importanti per una BIA efficace includono la perdita di entrate, il costo del tempo di inattività, i costi di riparazione della reputazione (pubbliche relazioni), la perdita di clienti e investitori (a breve e a lungo termine) e le eventuali sanzioni per le violazioni della conformità.

2. Analizzare i rischi

I DRP richiedono in genere una valutazione del rischio più attenta rispetto ai BCP, poiché il loro ruolo è quello di concentrarsi sulle azioni di recupero da un potenziale disastro. Durante la parte della pianificazione relativa all'analisi del rischio, considera la probabilità che un rischio si verifichi e il potenziale impatto sulla sua attività.

3. Creare un inventario degli asset

Per creare un DRP efficace, è necessario sapere esattamente cosa possiede la propria azienda, il suo scopo o funzione e le sue condizioni. Eseguire regolarmente un inventario degli asset aiuta a identificare hardware, software, infrastruttura IT e qualsiasi altra risorsa di cui la propria organizzazione potrebbe disporre che è essenziale per le operazioni aziendali. Una volta identificati gli asset, è possibile raggrupparli in tre categorie: critici, importanti e non importanti.

• Critici: etichetta gli asset come critici solo se la tua azienda ne ha bisogno per le normali operazioni aziendali.
• Importanti: assegna questa etichetta agli asset che utilizzi almeno una volta al giorno e che avrebbero un impatto sulle operazioni aziendali (ma non le interromperebbero completamente) se interrotti.
• Non importanti: si tratta di asset che l'azienda utilizza di rado e che non sono essenziali per le normali operazioni aziendali.

4. Assegnare ruoli e responsabilità

Proprio come nello sviluppo del BCP, devi descrivere chiaramente le responsabilità e assicurarti che i membri del team abbiano ciò di cui hanno bisogno per svolgere i loro compiti. Senza questo passaggio cruciale, nessuno saprà come agire durante un disastro. Ecco alcuni ruoli e responsabilità da considerare nella creazione del DRP:

• Incident reporter: persona addetta a conservare le informazioni di contatto per le parti interessate e a comunicare con i leader aziendali e gli stakeholder in caso di eventi dirompenti.
• Supervisore DRP: il supervisore DRP si assicura che i membri del team svolgano i compiti a loro assegnati durante un incidente. 
• Asset manager: persona addetta a proteggere e a mettere in sicurezza gli asset critici in caso di disastro.
• Referente terze parti: la persona che si coordina con eventuali fornitori terzi o fornitori di servizi assunti nell'ambito del DRP e aggiorna di conseguenza gli stakeholder sugli sviluppi del DRP.

5. Testare e perfezionare

Come il BCP, anche il DRP richiede pratica e perfezionamento costanti per essere efficace. Effettua test regolari e aggiorna il piano in base a eventuali modifiche significative necessarie. Ad esempio, se la tua azienda acquisisce un nuovo asset dopo la creazione del DRP, dovrai incorporarlo nel tuo piano per garantire che sia protetto in futuro.

Piano di gestione delle crisi

Un piano di gestione della crisi, noto anche come piano di gestione degli incidenti, è un piano dettagliato per la gestione di un incidente specifico. Fornisce istruzioni dettagliate su come la propria organizzazione risponderà a una crisi specifica, come un'interruzione di corrente, un attacco informatico o un disastro naturale.

Piano di comunicazione

Un piano di comunicazione delinea il modo in cui la propria organizzazione gestisce le relazioni pubbliche (PR) in caso di disastro. I leader aziendali di solito si coordinano con gli specialisti della comunicazione per formulare piani di comunicazione che integrino qualsiasi attività di gestione della crisi necessaria per garantire la continuità delle operazioni aziendali durante un'interruzione non pianificata.

Piano di data center recovery

Un piano di data center recovery si concentra sulla sicurezza della struttura del data center e sulla sua capacità di riprendere le operazioni dopo un'interruzione non pianificata. Alcune minacce comuni al data storage includono sovraccarico del personale che può portare a errori umani, attacchi informatici, interruzioni di corrente e difficoltà nel rispettare i requisiti di conformità. 

Network recovery plan

I network recovery plan consentono alle organizzazioni di riprendersi da un'interruzione dei servizi di rete, tra cui accesso a internet, dati cellulari, reti locali (LAN) e reti geografiche (WAN). Data l'importanza fondamentale dei servizi di rete nelle operazioni aziendali, i piani di ripristino della rete devono delineare chiaramente i passaggi, i ruoli e le responsabilità necessari per ripristinare i servizi in modo rapido ed efficace dopo una compromissione della rete.

Piano di recovery virtualizzato

Un piano di recovery virtualizzato si basa su istanze di macchine virtuali (VM) che possono tornare a essere operative entro un paio di minuti da un'interruzione. Le macchine virtuali sono rappresentazioni o emulazioni di computer fisici che forniscono il ripristino delle applicazioni critiche tramite l'alta disponibilità o la capacità di un sistema di funzionare in modo continuo senza guasti.