La Business Continuity e le azioni messe in atto di prevenzione

Dal piano di Disaster Recovery alle strategie di Backup con il calcolo di RTO e RPO

La business continuity e le azioni di prevenzione


Parte delle strategie aziendali riguardano il settore IT. Il settore informatico ad oggi è uno degli aspetti più importanti nelle attività d'impresa e non può essere più considerato solo come la fornitura di qualche device, server, computer, notebook, smartphone.

Una volta individuati gli strumenti per poter lavorare, dall'hardware (device) al software (sistema operativo e applicativi), all'infrastruttura informatica (ufficio), bisogna valutare l'aspetto che riguarda il blocco dell'operatività; cioè cosa fare nel caso in cui l'operatività quotidiana venga interrotta; immaginare tutti i possibili scenari e mettere in atto tutti i possibili rimedi richiede uno sforzo tecnologico e un investimento importante che le piccole imprese non possono permettersi.


Esiste un modo per garantire la Business Continuity e limitare i danni causati dalle perdite dei dati anche nelle piccole realtà.

L'analisi del rischio

Facendo un'analisi del rischio si prendono in considerazione gli effetti di un eventuale blocco e della perdita dei dati che si traducono in danni:

  • Economici
  • Di immagine
L'analisi di questi aspetti mette in evidenza che nessuna impresa può sottovalutare i rischi. Per questo sono necessari strumenti adeguati per una corretta pianificazione delle attività da fare, con l'uso di specifiche procedure per limitare al minimo i rischi e i relativi danni.

Le azioni per prevenire i danni causati da un blocco dell'operatività sono definite in politiche di Disaster Recovery, che si basano generalmente a loro volta di 3 elementi fondamentali per la messa in opera.

Elemento di Recovery Time Objective RTO

A seguito di un blocco dell'operatività, il termine RTO si riferisce al tempo in cui l'impresa è in grado di lavorare senza o con i sistemi essenziali, fino al suo totale ripristino.

Ad esempio: il server all'interno di un'impresa ospita al suo interno il software gestionale, lo stesso che consente a tutti i reparti coinvolti - amministrazione, produzione, marketing e logistica - di lavorare quotidianamente ognuno per le proprie necessità; nell'ipotesi di un guasto ad un apparato di rete, ad esempio lo switch, il tecnico IT, che provvede all'immediata sostituzione, si accorge di avere un modello sottodimensionato; ciò vuol dire che invece di poter riconnettere tutte i rami aziendali, è costretto a lasciarne alcuni non operativi.

Il cronometro che misura RTO si fermerà solo quando tutti i reparti saranno di nuovo operativi. Per ridurre il valore RTO nell'esempio esposto sarebbe stato necessario un apparato switch di backup di riserva, con le stesse caratteristiche di quello in produzione rotto; ma questo implica per l'impresa un ulteriore investimento in materiali che potrebbero non essere mai usati.

Elemento Recovery Point Objective RPO

Questo elemento si riferisce al dato, più specificatamente al processo che va dalla creazione del dato alla sua conservazione ed è legato alla politica di backup dell'impresa. Si può definire come "la mancanza del dato non disponibile al momento in cui l'infrastruttura subisce un blocco a partire dal suo ultimo salvataggio".

Ad esempio: un'impresa riceve gli ordini dai clienti, li elabora per consentire all'amministrazione la fatturazione e alla logistica la predisposizione per il confezionamento e la gestione del magazzino. Ipotizzando che il tecnico esegue un solo backup quotidiano alle 04:00 del mattino, se ci fosse un blocco con conseguente perdita dei dati alle ore 20:00, dovuto ad esempio alla rottura del server su cui è ospitato il software gestionale, all'impresa mancheranno i dati per un totale di 16 ore: questo si definisce "gap di backup", ovvero la differenza tra il momento di crisi e l'ultimo backup disponibile.

Per ridurre il gap di backup, e quindi evitare che un blocco causi la perdita di molte ore di lavoro, con conseguenze economiche importanti, sarebbe sufficiente predisporre una frequenza di backup superiore, ad esempio 2 o 3 volte al giorno, oppure per ogni singola attività, a seconda delle esigenze.

Nel caso esposto, l'impresa dovrà fare un investimento, con conseguente aumento dei costi, dopo aver valutato attentamente lo storage necessario e le politiche di backup da implementare.

Elemento di Backup

L'Elemento di backup è il più importante, da non confondere con il Disaster Recovery che è invece la messa in atto delle procedure per il ripristino dei sistemi.

Per capire il concetto di backup, basta tenere a mente che nessuno strumento è immune da guasti, che siano accidentali o volontari; il rischio di rottura è determinato dalla qualità del materiale, dalla sua usura e da cause esterne. Per questo motivo, avere un criterio di backup significa aver valutato attentamente i rischi a cui l'impresa va incontro nel caso di problemi. La pianificazione dei backup è fondamentale, ma prima ancora lo è stabilire quali dati vanno conservati per sicurezza. Dopo aver definito la pianificazione, che aiuta a interpretare il parametro RPO, si sceglie la destinazione del backup.

Per ovvie ragioni non è consigliato salvare le copie di backup all'interno degli stessi sistemi; è buona prassi creare diverse copie di backup e archiviarle su supporti esterni diversi, hard disc, nastri, oppure su supporti di rete, come Nas, o cloud, così da rendere reperibile il backup nel caso in cui si guasti uno dei supporti scelti.

Ad esempio: salvare il backup solo in cloud significa non aver valutato il rischio di un ripristino urgente in mancanza di connettività internet.

Ad oggi con le nuove tecnologie VM Virtual Machine (postazioni virtuali) è possibile usare strumenti che consentono il backup e ripristino di intere postazioni e non solo dei dati.

Disaster Recovery

Le politiche di Disaster Recovery definiscono le azioni da mettere in atto durante una situazione di crisi (un disastro); ad esempio: problemi nella sede dell'impresa (incendio, inagibilità del quartiere, mancanza di corrente o collegamento internet), oppure un problema interno, dovuto a un attacco virus o a un guasto ad un apparato di rete, Switch, Firewall.

Non tutti i problemi causano danni economici e blocchi dell'operatività in modo rilevante per l'impresa, ma identificarli durante la fase di analisi del rischio consente di valutare le azioni adeguate per affrontarli senza essere colti impreparati.

Per concludere, il Disaster Recovery è una "best practices" che permette ad ogni impresa la Business Continuity da implementare con le opportune procedure, per quei casi in cui è possibile prevedere un problema dell'operatività.

Contattami per una valutazione della tua infrastruttura informatica

Richiedi maggiori informazioni