Business Continuity Plan: come proteggere i dati in azienda
Perché qualsiasi azienda, a prescindere dal settore e dalle sue dimensioni, dovrebbe implementare un Business Continuity Plan per la protezione dei dati e della propria operatività? La risposta è banale, ma alcune imprese faticano ancora a comprenderne la centralità: se è vero che un’azienda vive per soddisfare (o anticipare) le esigenze del mercato, incrementando i profitti e migliorando il proprio posizionamento, tutto ciò non può succedere se improvvisamente si trova a fronteggiare un evento inatteso che ne interrompe l’operatività e generando, magari, anche una perdita di dati. Cause? Possiamo elencarne decine: un malware, un evento atmosferico, un guasto ai server, un attacco hacker o magari un virus… anche di quelli biologici. Gli eventi degli ultimi mesi sono eloquenti: comprensibilmente, chi lavora nel settore non ha mai sentito parlare così spesso di Business Continuity – e Business Continuity Plan – come nell’ultimo periodo.
Business Continuity Plan: perché l’attività non si deve fermare
Attualità a parte, Business Continuity Plan è un concetto fondamentale per ogni azienda poiché al giorno d’oggi nessuna può permettersi una – più o meno lunga – interruzione di attività senza ripercussioni sui contratti in essere, sulla produttività e sulla reputazione del brand; se poi il problema causa una perdita di dati, c’è anche tutto un discorso di responsabilità legale da affrontare.
Posto che in teoria l’attività non si deve mai interrompere, è anche palese il fatto che la strategia di continuità operativa debba essere personalizzata in funzione del tipo di impresa. Alcuni servizi e applicazioni non possono andare offline neanche per qualche secondo – si pensi all’attività di produzione manifatturiera di alcune filiere – e altre che, per loro stessa natura, possono tollerare downtime più consistenti senza causare particolari danni. In tutti i casi, il Business Continuity Plan è lo strumento con cui le aziende valutano i rischi, la severità degli impatti e tutte le contromisure necessarie per poter portare avanti la propria attività anche di fronte all’evento avverso o per ripristinarla nel minor tempo possibile.
In tutto ciò, qual è il problema? Se ne intravede solo uno: non tutte le imprese sono ancora consapevoli dell’importanza di un Business Continuity Plan per la loro stessa sopravvivenza, prima ancora che per il successo sul mercato. Alcune ritengono certi rischi – come quelli cyber -un’esclusiva delle grandi aziende; altre invece ritengono il costo della Business Continuity troppo elevato: in questi casi bisogna riflettere sul rovescio della medaglia, ovvero bisogna domandarsi quale sia il prezzo di “non” implementare un Business Continuity Plan, scoprendo così che quest’ultimo può rilevarsi davvero insostenibile.
Business Continuity Plan: non solo una questione tecnologica
Business Continuity Plan non si limita alla tecnologia, per quanto sia strettamente connesso con il Disaster Recovery Plan, il quale riguarda specificamente il ripristino dei sistemi IT a seguito di un evento imprevisto. Peraltro, formulare un Business Continuity Plan è un’attività molto complessa, specie nelle grandi aziende: occorre procedere con una Business Impact Analysis (BIA) per identificare gli effetti di specifici downtime, ma soprattutto bisogna identificare ruoli e responsabilità, fattori e indizi scatenanti, le risposte immediate all’incidente e la gestione successiva fino alla stabilizzazione. Per quanto ogni azienda sia diversa – così come sono diversi i rischi, le vulnerabilità e gli impatti – ci sono comunque dei framework e delle metodologie a cui ispirarsi per una corretta gestione della continuità operativa (in particolare, lo standard di riferimento ISO 22301:2012).
Business Continuity Plan è l’obiettivo del massimo Uptime
Ovviamente, la disponibilità (cioè, accessibilità) dei sistemi informativi e l’integrità del dato sono centrali nel mondo della Business Continuity. Anche qui, non esiste una soluzione che vada bene per tutti i casi poiché la tolleranza all’indisponibilità dei dati e delle applicazioni è diversa da un’attività e da un’impresa all’altra. Occorre comunque ragionare in termini di alta disponibilità dell’infrastruttura, di backup e replica di dati e workload su cluster tecnologici distanti anche centinaia di chilometri oppure in cloud, nonché di tempi di ripristino allineati alle esigenze dell’azienda: dal punto di vista tecnico, si tratta sostanzialmente di ottimizzare i parametri del Recovery Time Objective (RTO) e del Recovery Point Objective (RPO).
Un modello in grado di favorire Business Continuity e Disaster Recovery, offrendo soluzioni estremamente avanzate alle imprese di piccole e medie dimensioni, è l’iperconvergenza che per sua stessa natura ha la capacità di miscelare l’alta disponibilità (ottenibile anche solo con 2 nodi) con la virtualizzazione dell’intero stack; permettendo così di semplificare e automatizzare i processi di replica, backup e restore.