Cybersecurity & Privacy

Disaster Recovery Plan: la difesa migliore alla continuità aziendale

Scritto da Paolo Monini | Mar 31, 2021 10:00:00 PM

L’imprenditore digitale avveduto sa bene quali possono essere i danni economici e di immagine che causa il fermo di un’attività, specie se prolungato. Gli eventi che minano la continuità aziendale possono essere numerosi e diversi, di carattere naturale (alluvioni o terremoti per esempio), emergenziale (come l’attuale pandemia da Coronavirus), tecnici o collegati ad attività umane (un errore che porta ad un guasto o un attacco hacker).
Le imprese che hanno agito con azioni preventive, preparando un piano di intervento, sono state in grado di superare le emergenze, tornando subito alla normalità. Questa considerazione ci introduce al tema del disaster recovery plan, ovvero al piano di recupero del disastro.

Il disaster recovery, nell’ambito della sicurezza informatica, è l’insieme delle misure tecnologiche e logistico organizzative dirette a ripristinare dati, applicazioni e sistemi informatici necessari ad assicurare l’operatività del business per imprese, associazioni o enti, al verificarsi di guasti tecnici, calamità naturali o gravi emergenze che minacciano la sopravvivenza aziendale.

Il disaster recovery plan è il documento che esplicita queste misure, raccogliendo le procedure da adottare (a partire dalla classificazione dei dati e dei sistemi critici), ed è compreso all’interno del più ampio business continuity plan. Dunque, ne rappresenta solo un aspetto.

Infatti, il business continuity plan tiene conto non solo dell’eventuale compromissione della funzionalità tecnologica dell’azienda, ma anche degli eventi economici, normativi, sociali e finanziari che impattano sull’attività imprenditoriale.

 

I punti critici dell’azienda: come e dove intervenire

Il disaster recovery plan è lo strumento fondamentale a cui ogni azienda deve pensare, per evitare spiacevoli conseguenze nei casi di perdite dovute alle più disparate cause.
La quantità sempre crescente di dati che le aziende accumulano è diventata una sfida enorme negli ultimi anni, ancora di più nell’ultimo a causa della pandemia, con l’aumento esponenziale della digitalizzazione per ragioni di necessità.

E se le aziende elaborano, trasferiscono e archiviano una quantità di dati sempre maggiore, l’aumento delle informazioni digitali comporta di conseguenza un rischio più significativo dal punto di vista della possibile perdita di quei dati.

È, quindi, fondamentale che le aziende dispongano di un chiaro piano di disaster recovery che consenta il ripristino o la continuazione dell’infrastruttura tecnologica vitale, qualora si verifichi una calamità naturale o un evento disastroso causato dall’uomo.

Il disaster recovery plan va applicato a tutti gli aspetti di un’azienda che dipendono da un’infrastruttura it funzionante. Il suo scopo principale è proprio quello di consentire al reparto It dell’impresa di recuperare quantità di dati e funzionalità di sistema sufficienti al fine di garantirne l’operatività, anche a livello minimo.

Per avviare un disaster recovery plan, un’organizzazione deve anzitutto effettuare un’analisi dell’impatto sull’attività aziendale, che consenta di mettere in evidenza le funzioni aziendali più critiche e i requisiti per ripristinarle, in seguito ad un evento disastroso.

Peraltro, le aziende dovrebbero non solo sviluppare un piano di disaster recovery, ma anche testarlo e formare i propri dipendenti per assicurarsi che abbiano una conoscenza approfondita di esso, prima che si verifichi effettivamente un episodio dannoso.

 

Lo sviluppo del disaster recovery plan e il Gdpr

Ci sono diversi aspetti da considerare nello sviluppo e, quindi, nella creazione di un disaster recovery plan. Schematicamente, esemplificando, è necessario:

  • prevedere e coprire un’ampia gamma di potenziali incidenti (ad esempio guasti hardware, calamità naturali, criminalità informatica ed errore umano);
  • coinvolgere il maggior numero possibile di dipendenti dell’azienda nel processo di sviluppo del piano. Includere risorse umane provenienti da diverse aree dell’azienda, consentirà probabilmente di scoprire vulnerabilità e insidie in aree che altrimenti potrebbero essere trascurate;
  • testare il disaster recovery plan. Durante lo sviluppo del piano, è necessario assicurarsi di inserire diversi test pianificati. Ridurre i costi ed evitare i test potrebbe compromettere la sicurezza dell’azienda (quando magari il costo di un evento disastroso sarebbe molto più alto);
  • assicurarsi di mantenere aggiornato il piano. Gli aggiornamenti frequenti non sono necessari soltanto per il software e l’hardware dell’impresa, ma anche per il disaster recovery plan;
  • non è necessario disporre di un piano di disaster recovery di centinaia di pagine. Per alcune aziende, un semplice documento da due a dieci pagine di solito è sufficiente per analizzare tutti i passaggi essenziali, che descrivono come reagire in caso di evento disastroso o perdita di dati. Ma la valutazione dipende ovviamente dalla specifica struttura aziendale.

L’impresa, nella redazione del disaster recovery plan, dovrà definire i dati che ritiene importanti, tra i quali senza dubbio ci sono anche i dati particolari, che sono oggetto di specifica tutela, sulla base del regolamento di cui al Gdpr.

Infatti, quest’ultimo, all’articolo 32, specificamente alla lettera c), dispone: “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso (…) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

Il disaster recovery plan dovrà, quindi, essere in grado di rispondere ai requisiti del Gdpr, permettendo di recuperare in modo rapido un dato perso o danneggiato. Strumento fondamentale per il salvataggio dei dati è il backup.

Il backup è un processo di disaster recovery: in particolare, è la messa in sicurezza delle informazioni attraverso la creazione di una “ridondanza” delle informazioni stesse (una o più copie di riserva dei dati), da utilizzare come recupero (ripristino) dei dati stessi, in caso di eventi malevoli accidentali o intenzionali.

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

 

Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza delle informazioni da adottare nelle tue strategie di marketing e e-commerce.

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.