Può sicuramente bastare un dato per capire perché oggi è fondamentale per un’azienda avere un disaster recovery plan. Secondo le stime di Gartner, un downtime dell’IT comporta un costo che può andare da circa 420 dollari al minuto per un’impresa di piccole dimensioni e arrivare fino a 9.000 dollari al minuto per una grande organizzazione. E l’IT si può bloccare a fronte di qualsiasi tipo di disastro, da un evento naturale, come un'inondazione o un terremoto, a uno causato dall'uomo, sia per un errore umano, un guasto al dispositivo o un attacco informatico. 

Un disaster recovery plan permette di essere pronti a far fronte ai danni causati da tutte le già menzionate circostanze, permettendo alle aziende di ridurre il tempo di inattività complessivo, risparmiando denaro e, soprattutto, non intaccando la fiducia dei clienti. 

 

Cos’è un disaster recovery plan 

Il disaster recovery è una forma di pianificazione della sicurezza che permette a un'azienda di recuperare l’uso di infrastrutture e sistemi dopo un disastro avendo preventivamente creato un backup dei dati e anche delle applicazioni. Con un buon disaster recovery, un'azienda dovrebbe essere in grado di riprendere le normali operazioni recuperando l'accesso all'hardware, alle applicazioni e ai dati. Questo si ottiene attraverso un disaster recovery plan, ovvero un insieme di pratiche e procedure da seguire in caso di disastro. 

 

Alla base di ogni disaster recovery plan ci deve essere un’analisi accurata della valutazione dei rischi che un’infrastruttura IT può correre. Si tratta di considerare tutti i rischi dai disastri naturali, agli incendi fino agli attacchi dei cybercriminali. L'obiettivo è di identificare quali potenziali situazioni potrebbe dover affrontare l'infrastruttura IT e se è all'altezza di tali sfide. 

Un'analisi può aiutare le organizzazioni a identificare le funzioni di business e gli elementi IT che sono più critici e prevedere i potenziali effetti finanziari di un evento disastroso. Sulla base di queste determinazioni, il business può fare scelte più informate su quali carichi di lavoro proteggere, come questi carichi di lavoro dovrebbero essere protetti e dove sono necessari più investimenti per raggiungere questi obiettivi. L'analisi può anche aiutare a determinare RPO e RTO per l'infrastruttura e i carichi di lavoro. 

 

Cosa ci si può permettere di perdere? 

Quando si allestisce un disaster recovery ci si deve porre nella malaugurata ipotesi che l’azienda sia stata vittima di un disastro di qualsiasi tipo e ci si deve chiedere cosa è necessario riattivare e in che tempi. In pratica, si deve definire una scala di priorità che consenta di riprendere l’attività ripristinando dapprima i processi più critici e via via tutti gli altri. Si tratta, perciò, di definire i due parametri fondamentali del disaster recovery, ovvero RTO e RPO. Il primo, il Recovery Time Objective, consente di stabilire in quanto tempo si deve tornare a essere operativi. Se si ha un’attività di e-commerce probabilmente si vorrà un RTO uguale a zero mentre se svolgono altre attività si può forse tollerare un certo periodo di tempo per il ripristino. Allo stesso modo, RPO (Recovery Point Objective) indica quanti dati ci si può permettere di perdere nel caso di un disastro. In pratica, RPO definisce il tempo trascorso dall’ultimo backup sino al disastro ed è chiaramente legato alla periodicità con cui si effettua la replica dei sistemi: più è frequente, minore sarà l’eventuale perdita di dati. 

RTO E RPO sono fondamentali e possono incidere in modo sostanziale sul costo di un disaster recovery. 

 

Perché nel cloud è meglio 

Come visto, alla base di un disaster recovery c’è una replica di dati e applicazioni. Questa deve ovviamente avvenire in un luogo distante. Le organizzazioni che scelgono strutture disaster recovery fai-da-te possono affrontare significativi costi di capitale, mentre la scelta di fornitori di co-location gestita per servizi off-site spesso vincola ad accordi a lungo termine. Diversa è la situazione se si sceglie il cloud. Uno dei principali vantaggi dei servizi cloud è il pay-per-use, che consente di pagare un costo mensile ricorrente solo per le risorse e i servizi utilizzati. Man mano che le risorse vengono aggiunte o rimosse, i pagamenti cambiano di conseguenza. Inoltre, si trasformano i costi di capitale iniziali in spese operative ricorrenti.  

 

Rispetto poi ai disaster recovery tradizionali, solitamente implementati in data center locali o remoti, il cloud rimuove le limitazioni nella flessibilità e nella scalabilità dovute alla necessità di comprare i server, lo storage, l'attrezzatura di rete e gli strumenti software necessari, e poi progettare, testare e mantenere l'infrastruttura necessaria per gestire le operazioni. 

Un altro vantaggio del cloud è la possibilità di avere una ridondanza geografica per posizionare le risorse di disaster recovery in un'altra regione (o anche in più regioni) per massimizzare la disponibilità.  

 

Come sceglier un provider 

Oggi, forse, il problema maggiore se si vuole attivare un disaster recovery plan in cloud è la scelta del provider. Questo comporta solitamente di dover valutare cinque aspetti basilari:  

  • posizione; 
  • affidabilità; 
  • scalabilità; 
  • sicurezza; 
  • conformità. 

Un provider deve ovviamente essere distante per evitare che possa incorrere nei medesimi problemi causati da un disastro ambientale, ma non deve essere in un luogo tale per cui sorgano disagi a causa della latenza nei collegamenti. 

Il provider deve essere poi in grado di proteggere i dati, le applicazioni e le altre risorse selezionate, ma deve anche poter ospitare risorse aggiuntive secondo necessità e assicurare sempre il medesimo livello di prestazioni all’aumentare dei clienti che utilizzano i suoi servizi. Va da sé che debbano poi sussistere comprovate caratteristiche di affidabilità e sicurezza a fronte anche di servizi di autenticazione, reti private virtuali (VPN), crittografia e altri strumenti necessari per salvaguardare le preziose risorse che un’azienda gli affida. 

Da ultimo, ma non meno importante, è il rispetto dei requisiti di conformità. Il service provider dovrebbe, infatti, essere certificato per soddisfare i principali standard che riguardano il business, come ISO 27001, SOC 2 e SOC 3. 

 

New call-to-action

Topic: Disaster Recovery