Disaster Recovery & Business Continuity


Come prevenire il rischio e gestire le emergenze aziendali


A cura di Giorgio Benvegna,


Disaster Recovery & Business Continuity

Disaster recovery e business continuity sono processi che aiutano le organizzazioni a prepararsi ad affrontare eventi distruttivi che potrebbero includere un’eruzione vulcanica, un terremoto o semplicemente la mancanza di corrente o di connettività causate da un escavatore nel parcheggio o un malfunzionamento software dovuto ad un virus informatico. Sebbene i due processi siano differenziabili da un punto di vista funzionale, che non verrà approfondito in questo articolo, essi hanno molti aspetti in comune. Il ripristino dell’emergenza è il processo attraverso il quale si riprende l’attività dopo un evento distruttivo. Data la tendenza umana all’ottimismo, molti dirigenti tendono a ignorare il “disaster recovery”, proprio perché il “disaster” sembra un evento improbabile.

L’accezione “Business continuity”, suggerisce un approccio diverso, esso infatti riporta al concetto di continuità operativa, ovvero, fare in modo di poter continuare a fare soldi, non solo dopo una calamità naturale, ma anche in caso di eventi minori, che sono più probabili e che le aziende si trovano ad affrontare nel corso della loro vita. Nonostante queste distinzioni, i due termini sono spesso sposati sotto l'acronimo BC/DR a causa delle loro molte considerazioni comuni. Ma cosa dovrebbe includere un piano di DR/BC? L’ideale sarebbe che i piani di BC/DR comprendessero anche delle procedure su come i dipendenti dovrebbero comunicare tra di loro e con l’azienda, dove dovrebbero recarsi e come dovrebbero continuare a svolgere il loro lavoro.

Il livello di dettaglio e il focus del piano possono variare notevolmente da caso a caso in funzione di vari parametri, come le dimensioni aziendali, il tipo di attività svolta e il modo in cui l’azienda opera. Per alcune aziende, questioni come la logistica della “supply chain” sono cruciali e rappresentano il focus del piano rispetto al resto dei processi IT, per altri, la tecnologia dell'informazione può svolgere un ruolo fondamentale e il piano di BC/DR può privilegiare il recupero dei sistemi. Ma il punto critico è che nessun elemento dovrebbe essere ignorato, i comparti aziendali dovrebbero sviluppare piani convergenti e lavorare insieme per determinare quali processi, quali sistemi e unità di business sono più importanti per l'azienda. Insieme, essi dovrebbero decidere quali persone hanno la responsabilità di dichiarare il verificarsi di un evento distruttivo e attivare le procedure necessarie ad attenuarne gli effetti. Il piano dovrebbe stabilire un processo per l'individuazione e la comunicazione con i dipendenti dopo un evento catastrofico; esso dovrebbe anche tenere conto del fatto che molti di questi lavoratori potrebbero avere problemi più seri da affrontare rispetto a tornare a lavoro. In sintesi, un buon piano di Business continuity richiede accortezza e pianificazione.

 

 



Ma da dove è possibile cominciare? Il primo passo è quello di svolgere una Business Impact Analysis (BIA). Questo tipo di analisi, ha l’obiettivo di individuare i sistemi più importanti del business e dei processi e l'effetto che un’interruzione di tali servizi avrebbe sul business dell’azienda. Maggiore è l'impatto stimato, maggiore dovrebbe essere il budget utilizzato per ripristinare un determinato sistema o un determinato processo in modo più rapido possibile. Ad esempio, un’azienda di servizi con più sedi potrebbe decidere di destinare tutto il budget per fare in modo di avere i sistemi informatici completamente ridondanti. Ciò consentirebbe di ripristinare l’operatività nel giro di poche ore in un altro luogo.

Questo approccio sarebbe poco utile per un’azienda manifatturiera che avrebbe ben altre priorità e potrebbe rimandare di qualche ora o giorno la disponibilità dei sistemi IT. Una BIA aiuterà comunque le aziende ad impostare una sequenza di ripristino per determinare quali parti del business devono essere ripristinate prima. Ma quali sono quindi gli assiomi che un piano di DR/BC dovrebbe rispettare? Il focus dovrebbe essere sicuramente orientato alle persone, quindi dovrebbe essere previsto un piano di successione per la catena di coordinamento e dovrebbero essere assegnati ruoli specifici ai dipendenti che si occuperanno di attivare le politiche definite dal piano di emergenza. Prevedere luoghi di incontro e piani di comunicazione da attuare in caso di crisi sia per i top manager che per propagare le indicazioni a dipendenti, clienti e mondo esterno. Inoltre, individuare un mezzo alternativo di comunicazione in caso di guasto alla rete, eseguire dei test periodici di continuità operativa abbastanza realistici. Un altro aspetto importante, riguarda la possibilità di eseguire dei test dei piani di disaster recovery. La possibilità di effettuare un test non distruttivo dell’ambiente di recovery dovrebbe essere assolutamente una prerogativa da perseguire. La possibilità di eseguire questi test permette inoltre di individuare problemi e debolezze che difficilmente salterebbero fuori in altro modo.

 

 



Ad esempio, alcune aziende hanno scoperto che mentre il backup dei propri server o data center venivano eseguiti in modo puntuale, venivano trascurati piani di backup per i computer portatili e dispositivi mobili senza quindi effettuare una corretta valutazione dell'importanza dei dati memorizzati su questi dispositivi che a causa della loro natura appunto “portatile” possono essere facilmente persi o danneggiati. Non ci vuole un evento catastrofico per distruggere mesi di lavoro, se i dipendenti usano tenere dati critici o insostituibili in giro sui portatili. Anche semplicemente rivedere il piano di azione spesso permette di fare emergere questioni del genere che non erano state pienamente affrontate prima.

Vale la pena ribadire un concetto: i sistemi informativi sono certamente centrali per le operazioni di business di oggi. Tuttavia, un piano BC/DR solo IT non è sufficiente. Comprendere la gamma completa delle attività, delle persone, dei sistemi e dei processi che rappresentano i business principali di un’azienda è la chiave del successo di un progetto di BC/DR. Oggi più che mai sempre più organizzazioni stanno creando programmi e/o dipartimenti di Enterprise Risk Management e questi problemi sono sempre più sentiti anche dalle imprese più piccole che hanno più (e meno costose) opzioni per il ripristino dell’emergenza di quelle più grandi. In definitiva, il problema va affrontato come qualunque altro problema di sicurezza o di gestione del rischio. Quanto rischio può tollerare la vostra azienda, e quanto è disposta a spendere per mitigare diversi rischi? Nel pianificare l'imprevisto, le aziende devono valutare il rischio rispetto al costo della creazione di un piano di emergenza.