Facciamo un esempio pratico in relazione al disaster recovery plan.
se la tua azienda produce e spedisce 20 bilici di prodotti al giorno, fermare l’impianto di distribuzione che porta i tuoi prodotti ai camion probabilmente potrebbe causarti perdite monetarie ingenti. Per questo motivo ti sarai dotato di pezzi di ricambio a non finire, un team di manutentori sempre disponibile ed è facile che, degli snodi più delicati e vitali, avrai più possibilità di manovra (più macchine, più ricambi etc). Nel caso di una rottura seria potresti compromettere parti dell’impianto e comunque riuscire ad andare avanti mentre il team di manutenzione risolve il problema.
A livello di business immagina cosa potrebbe significare non avere più il sistema che gestisce l’impianto. Non averlo significa “computer scollegati, magazzino non accessibile, perdita di visibilità su ordinato e liste di spedizione etc”. Quanto è vitale “ripristinare” una situazione del genere?
E se il backup ci mettesse 12 ore per poter essere ripristinato? La tua azienda sarebbe in grado di sopravvivere?
In questo caso i sistemi informatici che governano il cuore dell’azienda, quelli critici, vitali per la sua sopravvivenza, vengono duplicati per intero e mantenuti aggiornati in un secondo sito. Con un costo solitamente non trascurabile, si possono effettuare ripartenze anche rapide per assicurare la sopravvivenza dell’intera organizzazione. E’ il disaster recovery, e chiunque dovrebbe – perlomeno – averlo valutato correttamente prima di decidere “non mi serve”.
A questo punto entra in gioco il Disaster recovery plan.
Non servono solo dei professionisti dell’IT per farlo, tutto il management aziendale deve essere coinvolto per analizzare ogni flusso e porre le basi per una corretta valutazione. Ecco i passi principali necessari per predisporlo correttamente:
- Identificazione eventi disastrosi;
- Stima dell’impatto di questi eventi catastrofici sul business aziendale;
- Scelta del personale addetto al piano di sicurezza e di quello che lo attuerà in caso d’emergenza (chi fa/che cosa/ruoli/responsabilità);
- Formazione e aggiornamenti periodici del personale dedicato al disaster recovery e alle procedure di sicurezza;
- Verifica che il team di persone coinvolto in tutte le procedure di sicurezza conosca le proprie responsabilità;
- Pianificazione periodica dei test sulle procedure di emergenza, per verificare l’efficacia del piano di sicurezza e, nel caso, modificarlo;
- Verifica periodica dell’effettiva “attualità” (e coerenza) delle strategie e delle policy di sicurezza.
Due sono i parametri nel Disaster recovery plan che dettano il livello di efficienza e di costo e sono RTO e RPO.
RTO ( Recovery Time Objective, ovvero il tempo necessario per il pieno recupero dell’operatività di un sistema) e RPO (Recovery Point Objective, ovvero la massima quantità di dati che un sistema può perdere a causa di un guasto improvviso), sono due parametri che in fase di valutazione di una soluzione tecnologica hanno un fortissimo impatto sui costi e devono essere garantiti a livello contrattuale.
Una banca ad esempio dovrà avere un RPO pari a zero (cioè anche l’ultimo dato, quello di 10 secondi prima, deve essere recuperato, transazioni, pagamenti etc). Per alcune aziende di produzione un RPO pari a 24 ore a volte è sufficiente
Come per il crisis management, è sempre opportuno tenersi a portata di mano un piano di ripristino. Certo, spesso pensi che non serva a nulla, ma la volta in cui diventa utile può essere il discrimine fra il continuare a mantenere attiva l’azienda o chiuderla definitivamente.
