Il 75% delle piccole imprese non ha alcun piano per il disaster recovery. Il dato emerge da uno studio di
Deloitte, secondo cui il 90% delle attività commerciali prive di piani di emergenza è destinata al fallimento. Un atteggiamento che lascia perplessi, considerato
l'allarme sui rischi. Forse molti imprenditori pensano che calamità e attacchi devastanti non possano capitare proprio a loro. Un segnale che non si ha presente il quadro complessivo, e ci si preoccupa solo delle emergenze "convenzionali".
La realtà è che le minacce informatiche, in costante evoluzione, possono colpire in qualsiasi momento, anche attraverso i
provider di servizi gestiti. L'argomento è stato dibattuto nella conferenza organizzata dal Disaster Recovery Journal, a cui hanno partecipato oltre 1.000 tra professionisti e imprenditori IT.
Il risultato è che un piano di disaster recovery oggi è una priorità. Il primo tassello indispensabile è il
backup di dati, applicazioni e sistemi. Serve per il data recovery, ossia per poter
tornare operativi in tempi rapidi in caso di attacchi. Più che un backup fisico, la soluzione più efficace è quella cloud. Sfruttando un sistema DRAAS (Disaster Recovery As-A-Service), i sistemi aziendali "critici" possono essere eseguiti in remoto mentre si ripristinano gli altri. Non solo: un ambiente indipendente di disaster recovery ha costi proibitivi. Il cloud rappresenta la soluzione più conveniente.
Il punto da cui partire per un efficiente piano di disaster recovery è
l'identificazione dei sistemi aziendali "critici". Ad esempio, il sistema POS, il sito web, i dati memorizzati dei pazienti o dei clienti. L'approccio dipende dal tipo di attività, dalla modalità di erogazione dei servizi e dai sistemi di distribuzione in uso.
Bisogna inoltre approntare un piano dettagliato che permetta a tutte le persone coinvolte di
sapere come agire durante le emergenze. Per farlo bisogna stilare un documento con finalità del piano e responsabili del suo avvio. Deve dettagliare
singoli ruoli e responsabilità, con numeri e termini di reperibilità.
Non si deve trascurare la parte con i contatti secondari: forze di pubblica sicurezza, fornitori hardware, software e di servizi. Occorre poi definire il piano per la
valutazione del danno subito dall'azienda e le fasi iniziali della procedura di disaster recovery.
Tutte le procedure operative in modalità di emergenza devono essere dettagliate, con istruzioni per tutti i membri del team. È inoltre importante delineare i
criteri per il ritorno all'operatività. Tassativa l'inclusione delle procedure per la sostituzione delle attrezzature, il riavvio dei sistemi, l'invio di notifiche al personale, eccetera.
Il piano deve essere costantemente aggiornato, e ogni volta devono essere registrate le date delle revisioni e i nomi e le qualifiche di chi le ha approvate. Anche i test da condurre per le valutazioni devono essere documentati e testati, con cadenza annuale o semestrale.
Nella valutazione delle soluzioni di disaster recovery da adottare, è prioritario
decidere per quella più semplice, efficiente e sicura. La sua implementazione e un piano ben rodato possono fare la differenza tra il fallimento e la sopravvivenza dell'azienda.