Cos’è un Disaster Recovery Plan e perché la tua azienda dovrebbe averne uno
Partiamo subito dalla definizione di “Disaster Recovery Plan”:
In italiano possiamo tradurlo con Piano di Recupero dal Disastro.
Se vogliamo essere più specifici, è quell’insieme di misure tecnologiche ma anche logistiche o organizzative che consentono di ripristinare sistemi, dati e infrastrutture necessarie ad un’azienda per erogare i suoi prodotti o servizi a fronte di eventi che ne intacchino la normale attività.
Tradotto più semplicemente in: quella serie di istruzioni di cui hai bisogno nel momento che devi far ripartire l’azienda dopo un evento disastroso che ha colpito il tuo sistema informatico.
Per “evento disastroso” intendo:
Incendio, allagamento, corto circuito, blackout, furto.
Ma anche errore umano: tu o un tuo dipendente eliminate per errore dei file, una mail, un database, etc
Un guasto ad un server, PC o NAS che compromette l’utilizzo dei dati contenuti.
Un virus, un attacco informatico esterno, un temibile cryptolocker.
Insomma, un qualsiasi evento che ti mette in ginocchio dal punto di vista informatico e che non ti consente di erogare i tuoi prodotti e/o servizi.
Utilizzo il paragone automobilistico per rendere meglio l’idea.
Immagina di essere nella tua auto, in coda. Stai aspettando il verde, non hai fretta e sei immerso nei tuoi pensieri.
Diventa verde e te ne accorgi improvvisamente.
Quindi ingrani la prima, ma distrattamente alzi il pedale della frizione troppo in fretta e la macchina si spegne.
Ecco, hai il semaforo verde davanti, una colonna di auto dietro e tu sei fermo con la macchina spenta.
Qui cominci a sentire la pressione del verde, degli altri automobilisti che stanno per partire con sonori colpi di clacson incitandoti a partire, a muoverti.
Ora, pensa un attimo a cosa succede:
Tu molto velocemente, riaccendi l’auto e riparti. Così d’istinto, senza pensarci. Sai benissimo cosa fare, sei un guidatore esperto ormai e lo fai. Chissà quante altre volte ti sarà capitato.
In pochi secondi si rientra dall’emergenza, riprendi la tua corsa e la cosa finisce la.
Ecco, questo è quello che deve esattamente succedere nella tua azienda in caso di “Evento disastroso” che colpisce il tuo sistema informatico.
Devi avere ben chiaro cosa fare nel momento che succede un casino senza che dilaghi il panico. E devi farlo perdendo poco tempo.
Devono esserci procedure chiare che dicono alla mano di riavviare l’auto d’istinto.
Senza pensarci troppo, devono dettare alla tua azienda le istruzioni per ripartire subito.
Ovviamente c’è un po’ di lavoro dietro a quello che sembra un banale automatismo, ma per quello ci sono io con la mia squadra.
L’obiettivo del Piano di Recupero da Disastro serve proprio a questo.
Creare (ma soprattutto TESTARE) delle procedure che ti consentono di riavviare la macchina senza andare nel panico. Senza farsi suonare il clacson da tutti quelli dietro.
Un “Piano di Recupero da Disastro” si basa su 4 punti fondamentali:
Punto n° 1 – L’analisi iniziale
Serve per fare una fotografia alla situazione della tua azienda dal punto di vista informatico. Qui vengono identificati gli strumenti informatici (PC, Sever etc) e i dati che sono presenti nella tua azienda.
Vengono identificati e classificati con un punteggio in base all’importanza.
In questa fase dobbiamo anche determinare l’RPO (Recovery Point Objective). Potremo tradurlo con “La Perdita dei dati tollerata”.
È il tempo che intercorre tra la produzione di un dato e il suo salvataggio ed è molto importante stabilirlo.
Cioè, se faccio la mia copia di backup alle 13:00 e succede qualcosa la mattina seguente alle 12:30, l’ultima copia disponibile è del giorno prima alle 13:00. Ho perso quindi tutti i dati del pomeriggio e della mattina seguente. Ma ho tutti gli altri dati e dovrò ricostruire solo 8 ore di lavoro.
Ora, questo è un esempio, ma è un dato che devi conoscere.
Un piano è appunto qualcosa di organizzato. Non si può creare un piano in maniera casuale. Va pianificato e valutato tutto.
Punto n° 2 – Gli strumenti per proteggere i dati
In questo punto andiamo a determinare le strategie per proteggere i nostri dati.
Di quanto spazio ho bisogno per salvare i miei dati?
I miei dati crescono nel tempo, di quanto spazio avrò bisogno nei prossimi 3/5 anni?
E ancora: Scelta della schedulazione.
Devo determinare una Data Policy Retention (quanto storico teniamo dei nostri backup?)
Teniamo uno storico di 30 giorni? 60 giorni? Devo stabilirlo in questo punto perché influisce sulla capacità del sistema di storage.
Tanto più storico tengo, di tanto più spazio ho bisogno.
Infine scelgo la tipologia di storage: salvo in locale, remoto cloud. Anche qui ho varie possibilità.
Bisogna fare le scelte corrette.
Punto n° 3 – RIPRISTINO
Qui andiamo a determinare l’RTO (Recovery Time Object). Possiamo tradurlo con “Il Tempo Massimo Accettabile per Ripristinare un Sistema”.
È il tempo che m i serve per rimettere in moto la mia macchina e ripartire, quindi il tempo necessario alla mia azienda per ripristinare i dati ed essere di nuovo operativo per erogare prodotti e/o servizi.
Se per ripristinare un backup ho bisogno di 8 ore, devo saperlo perché ho l’azienda ferma per ulteriori 8 ore dopo un disastro.
Ora, questo è un esempio, ma anche questo dato devo assolutamente conoscerlo per scegliere la migliore strategia di backup per la mia azienda.
Qui in linea di massima vale il principio che più spendo e più diminuisco il tempo per la ripartenza.
Anche per questo punto bisogna fare le scelte corrette.
Infine, una volta stabilito queste informazioni devo provare se tutto funziona come ho progettato.
Punto n° 4 – La fase di TEST
Se pochi hanno un piano di backup preciso, NESSUNO ha un piano organizzato per testare i backup.
Bisogna assolutamente creare un piano di test periodico per i backup.
Devo testare (i backup in locale, quelli in remoto e quelli sul cloud) in modo da verificare subito TRE cose:
La prima è se funziona, se c’è tutto veramente.
La seconda è quanto tempo mi serve per rimettere in piedi la mia azienda. Quindi il famoso RTO di prima devo vedere se corrisponde al vero.
La terza: è provare tutte le procedure prima in modo da non andare “nel panico” nel malaugurato caso che succeda qualcosa. Le fasi di test servono a questo. Si prova in condizioni di normale operatività per allenarsi nel momento dell’emergenza. Così possiamo affrontare l’emergenza sicuri e preparati.
Solo con la fase di test riesci ad avere la sicurezza necessaria alla tua attività per non restare in ginocchio.
Ora, come vedi sono temi molto importanti e molto sottovalutati.
La definizione di un Disaster Recovery Plan è una fase delicata con molte variabili.
NON puoi adottare il Fai da te. Non puoi trascurarla.
Se il tuo attuale fornitore ti chiede semplicemente cosa vuoi salvare o nemmeno quello prima di portarti un NAS o una pen drive per fare le copie, la cosa più sensata che devi fare è cambiare fornitore. Scappa subito a gambe levate, hai tutto da guadagnare.
Ho visto un sacco di praticoni accrochiare alla meno peggio soluzioni inefficaci. Salvo poi lasciare il cliente abbandonato a se stesso nel momento del bisogno.
Diffida sempre di chi ti vuole vendere soluzioni che conosce a malapena.
Stai lontano da venditori di informatica che vogliono solo prendere la provvigione.
È IN GIOCO LA SICUREZZA DEI TUOI DATI, DEL TUO LAVORO
Con il mio Metodo Azienda Sicura ho dedicato una intera fase all’analisi.
Il primo punto fondamentale del Metodo infatti è l’analisi della situazione iniziale.
Da li parte la costruzione di una soluzione disegnata sulla tua azienda.
Il percorso per definire una ottima strategia di backup infatti non si improvvisa. Con la mia esperienza maturata sul campo ho aiutato molte aziende a lavorare in sicurezza.
Adotta subito nella tua azienda il Metodo Azienda Sicura e inizia a lavorare in sicurezza.
Passa al punto 6 – Formazione Cybersecurity oppure Contattami subito