Un piano di disaster recovery funzionale, valido e aggiornato può essere l’elemento in grado di fare la differenza e di cambiare le sorti, anche sul piano economico, in seguito a un problema di natura tecnica o meno. Un buon piano deve essere rivolto a una gamma ampia di potenziali incidenti, individuando oltre che i più classici scenari di incidenti tecnici anche i possibili rischi infrastrutturali, geopolitici e fisici. Tutte situazioni che, seppur critiche e di difficile risoluzione, possono essere affrontate e risolte quando vengono previste.
Il principale obiettivo di un piano di disaster recovery è quello di garantire un rapido ritorno alla normalità dei servizi e dei sistemi a supporto della Business Continuity. Quindi, deve essere attivato in modo tempestivo al fine di minimizzare i danni e le perdite. Ma prima ancora di essere attivato, deve essere progettato, condiviso e aggiornato.
Soffermiamoci su questi ultimi tre aspetti di natura strategica per capire meglio la sua importanza ai fini della protezione del business. Il piano di disaster recovery deve essere progettato, e ciò andrà fatto “in tempo di pace”, in una situazione in cui non vi sia emergenza e si possa avere un quadro della situazione il più chiaro possibile.
Questa progettazione deve essere ad ampio raggio, guardando oltre l’aspetto tecnico e infrastrutturale. Il punto di partenza deve proprio essere questo: capire che l’infrastruttura, i servizi e le risorse tecniche sono solo un aspetto del problema. Ci sono molteplici variabili che possono compromettere il business: variabili legate ad esempio a situazioni esterne all’azienda stessa in termini di accesso fisico, in termini di approvvigionamento energetico o di altra situazione di emergenza non direttamente riconducibile all’organizzazione stessa.
Questo primo passo dovrà essere seguito da una precisa valutazione dei possibili impatti che i rischi ipotizzati potrebbero avere sull’infrastruttura tecnica, e conseguentemente sul business. Questa valutazione dei rischi potenziali e delle relative ricadute metterà in evidenza un core di risorse maggiormente a rischio e vulnerabili, o per lo meno aiuterà a capire quali di esse possono divenire davvero rilevanti e determinanti in caso di applicazione del piano di disaster recovery.
Sarà così possibile definire in base ai differenti rischi il Recovery Time Objective (RTO) attraverso il quale strutturare le tempistiche di applicazione delle varie fasi nelle quali è articolato il piano di disaster recovery. Con questo quadro così delineato si definisce un secondo elemento importante: l’RPO (Recovery Point Objective) che intende definire l’obiettivo di ripristino più verosimile valutando quindi anche quali possibili perdite di dati sarà necessario dover affrontare. Nel computo delle possibili perdite è bene considerare anche la reputazione dell’organizzazione stessa, un elemento difficilmente misurabile numericamente ma indubbiamente strategico. Ben più misurabili sono invece le possibili perdite dovute a risarcimenti o ammende che l’organizzazione potrebbe essere chiamata a dover pagare.
Fin qui abbiamo idealmente definito il perimetro delle potenziali situazioni a cui il piano di disaster recovery dovrà rispondere. Questa risposta dovrà avvenire con concrete azioni che andranno ad attivare servizi aggiuntivi, risorse straordinarie e procedure differenti, la valutazione corretta di queste azioni è strategica tanto quanto la fase iniziale relativa all’individuazione dei possibili scenari di intervento. Le azioni concrete che andranno pianificate riguardano da vicino l’infrastruttura dei servizi IT dell’organizzazione: ci si dovrà occupare delle routine di backup, della creazione di repliche conservate eventualmente in datacenter geograficamente distanti, potranno essere previsti servizi in cloud preconfigurati e da attivare in tempi rapidi. Anche tecnologie di accesso o carrier alternativi dovranno essere considerati: di fatto il piano di disaster recovery diventa efficace se al suo interno si trovano le giuste soluzioni pre-articolate e definite per far fronte alla situazione di crisi.
All’elemento di pianificazione e a quello di attuazione segue un altro aspetto: la formazione del personale e l’aggiornamento. Un piano ben strutturato ma non conosciuto da parte dei vari attori deputati alla sua attuazione è un piano che difficilmente avrà successo; deve essere divulgato al fine di armonizzarne l’applicazione. Inoltre, il piano stesso merita di essere aggiornato e adeguato in base al variare delle esigenze dell’organizzazione e in base anche alle nuove opportunità offerte dal comparto tecnologico perché l’obiettivo primario deve essere quello di garantire la Business Continuity, limitando perdite e disservizi.
Il piano, se ben progettato, aggiornato e applicato è in grado di limitare i danni in termini di risorse e guadagni perduti a fronte di una failure tecnica o problemi di altra natura, proteggendo così il business delle organizzazioni. Tutte queste considerazioni possono far capire l’importanza e le molteplici sfaccettature di un piano di disaster recovery che non può essere inquadrato solo come un problema di natura tecnica, ma merita di essere definito e condiviso con tutti i livelli dell’organizzazione direttamente coinvolti.
Il mercato ormai da tempo è popolato da vendor che offrono soluzioni di Disaster-Recover-as-a-Service offrendo quindi alle organizzazioni un approccio al problema il più completo possibile. La sua importanza strategica è quindi confermata anche da indicatori economici di rilievo: Garter nel proprio Magic Quadrant for Disaster Recovery as a Service identifica l’attuale mercato relativo al Disaster-Recover-as-a-Service pari a 2,01 miliardi di dollari, con una stima di crescita per il 2021 fino a 3,7 miliardi di dollari.