Di questi tempi, ancor più che in passato, potresti aver sentito parlare di business continuity. Ma che cos’è esattamente?
Business continuity significa continuare a lavorare nonostante il verificarsi di un incidente o un disastro, quindi continuare a fare le cose che stavi facendo o comunque subire un’interruzione il più limitata possibile nel tempo.
Normalmente quando si parla di disastro tutti siamo portati a pensare alle trombe d’aria o alle alluvioni. Ma in realtà per un’azienda avere un disastro informatico è molto semplice.
Basti pensare alla diffusione che hanno avuto i ransomware in Italia negli ultimi anni.
Il ransomware è quella tipologia di virus in grado di cifrare tutti i dati aziendali e bloccarne l’accesso o la lettura. L’unico modo per avere indietro i propri dati (quando funziona) è pagare un riscatto ai cyber criminali che hanno infettato i sistemi IT.
Ma un disastro può essere anche un collaboratore che involontariamente o di proposito cancella 20 ordini o dei dati fondamentali per la tua azienda.
La business continuity si prefigge l’obiettivo di aiutare l’azienda che dovesse incappare in disastri a far sì che l’impatto sul business sia il meno oneroso possibile, commisurato naturalmente ai costi che il disastro comporta all’azienda.
A fronte di un incidente bisogna capire quanto a lungo un’azienda può permettersi di non essere produttiva e quanto importanti sono i dati che vengono trattati dai sistemi informatici
In sintesi è necessario mettere in piedi un piano di business continuity valutando quali sono i costi di inattività per l’azienda. Un’azienda può magari permettersi di stare ferma, 5, 10, 30 minuti e magari 4 ore sono già troppe. Alcune aziende non possono permettersi di stare ferme nemmeno per 2 secondi!
Due acronimi ricorrono spesso quando si parla di business continuity: RPO e RTO. Di che cosa si tratta e come sono correlati alla business continuity?
RPO è l’acronimo di Recovery Point Objective ed è l’intervallo di tempo che passa tra il verificarsi di un disastro e a quando risale l’ultimo backup utilizzabile.
Supponiamo che tu faccia il salvataggio a mezzanotte. Se il disastro si verifica alle 10 di mattina, il valore dell’RPO in questo caso è il tempo che intercorre tra la mezzanotte e le 10 di mattina.
L’RTO, o Recovery Time Objective, invece, indica il tempo necessario a far ripartire il sistema dopo un incidente. Quindi indica quanto a lungo un’azienda deve rimanere “ferma” in caso di incidente IT.
RTO e RPO sono entrambi parametri vitali per misurare quanto costa un disastro o la bontà di un sistema di business continuity. Minori sono questi due valori e minore è il fermo che il business subisce sia in termini di tempo che ci mette a ripartire sia in termini di quanti dati sono stati persi dopo il disastro.
RPO e di RTO ricorrono spesso anche quando si parla di backup. Qual è quindi la differenza tra la business continuity e il backup?
Il backup si occupa di salvare i dati, mentre la business continuity si preoccupa di salvare il tempo, di salvare il downtime.
Fare il backup è assolutamente necessario, ma una volta che i dati sono salvati, in caso di disastro, per poter riutilizzare questi dati sarà necessario rimettere in piedi uno o più server, rimettere in piedi il sistema operativo, le applicazioni e solo alla fine si potranno caricare i dati.
Tutto questo richiede del tempo e se l’azienda in questo tempo non può lavorare, questo arco di tempo sarà soggetto a downtime, ossia il tempo di fermo.
La business continuity invece protegge da questo downtime perché tende a minimizzare il tempo che si impiega a tornare operativi con tutti i dati.
Il backup è solo una parte dell’intera business continuity.
E il backup offsite?
È importante ricordare che il backup si deve accompagnare sempre al restore, le soluzioni tradizionali di backup si occupano di questi due aspetti, appunto salvataggio dei e recupero dei dati ma non di tutto il processo che vi ruota attorno.
In questo senso, il backup offsite è semplicemente un altro tipo di backup. Non è business continuity.
Il backup offsite non fa altro che aggiungere uno strato di protezione in più nel caso in cui nella prima location i dati vengano persi, distrutti o rubati. In queste situazioni c’è comunque un secondo luogo dove recuperarli.
Questo però non accorcia i tempi nei quali si può ripartire in caso di disastro.
C’è differenza tra business continuity e disaster recovery?
La business continuity è un obiettivo, cioè fare in modo che a fronte di un disastro l’azienda riesca a lavorare lo stesso.
Ci sono vari processi, vari elementi che concorrono a rendere possibile questo obiettivo, e il disaster recovery è uno di questi, ossia a fronte dell’avvenuto disastro mettere in piedi le procedure per ripristinare i sistemi come erano prima del disastro.
Possiamo quasi dire che per raggiungere la perfezione della business continuity dovremmo avere un sistema di disaster recovery istantaneo. Un sistema che, in caso di disastro, è in grado di far tornare tutto come era in meno di uno schiocco di dita.
Raggiungere business continuity o disaster recovery in tempo zero è un’operazione che rasenta quasi l’impossibile.
Anche le strutture più sofisticate come le banche non hanno veramente zero disservizi a fronte di un down.
La business continuity non è solo un prodotto, è un processo o un insieme di processi.
Per essere precisi la business continuity è un insieme di processi, di analisi, di valutazioni che ogni azienda dovrebbe mettere in atto per capire quali sono prima i suoi rischi, poi quali sono i costi, nel caso in cui si verifichi uno dei rischi valutati, ed eventualmente quali sono gli investimenti che può fare per mitigare i rischi e quindi i costi.
La prima cosa da fare è valutare i rischi oggettivi, facciamo un esempio molto banale: esiste veramente il rischio di alluvioni per la mia azienda?
Oppure ancora, nell’azienda dove lavoro, per com’è strutturata l’azienda, per i locali, c’è possibilità di furti?
Dopo la prima valutazione ci sono altri elementi da prendere in considerazione e che potremmo chiamare variabili, che sono la quantità di cose che sono veramente critiche.
Continuando con l’esempio, magari ho 10 server ma solo 2 contengono i dati dei miei clienti. Se perdessi gli altri 8 server, subirei sicuramente un danno ma un danno dal quale posso ripartire senza problemi.
E poi, alla fine di tutte le valutazioni, quando si decide che è necessario uno strumento per ripartire velocemente, si dovrà scegliere un prodotto.
Quanto è importante la definizione di un piano invece di disater recovery?
È assolutamente fondamentale la presenza di un piano dettagliato per un motivo molto semplice: quando c’è un malfunzionamento si va tutti panico e c’è il rischio di agire in modo scoordinato e seguendo il proprio istinto personale.
È proprio quello però il momento in cui è necessario avere un piano riflettuto a freddo, in cui sono elencati i passi necessari per ripartire e rispondere a un disastro.
Se invece non c’è questo piano, il rischio è iniziare a fare cose non necessarie o di non fare quelle necessarie. Purtroppo sono tante le realtà che non hanno previsto un piano.
Un piano che invece è necessario avere.
Perché nonostante i sistemi informativi che tutti noi oggi utilizziamo sono facili da usare, in realtà nascondono delle complessità.
Quale settore dovrebbe cogliere l’opportunità di un piano di business continuity?
Sicuramente gli studi professionali, come uffici paghe, commercialisti, che in determinati periodi dell’anno vanno sotto pressione. E se si rompe un disco in quel momento ecco che il fornitore IT viene messo sotto pressione perché non è tollerabile avere un fermo.
Anche uno studio di 10, o 5 professionisti, in un determinato periodo dell’anno non può permettersi un fermo nemmeno di qualche ora.
Ovviamente anche le aziende più grandi e strutturate, dai 20 dipendenti in su, non possono più permettersi un fermo dei sistemi.
In un mondo in cui il dato è al centro di qualsiasi business è quindi fondamentale che tutte le aziende si pongano il problema e facciano una valutazione sui costi e i benefici di una soluzione di business continuity.
Molte soluzioni di business continuity possono risultare costose e di difficile implementazione. Ma non tutte.
Se ti interessa scoprire di più su una soluzione che ti consenta di ripartire in tempi rapidi senza spendere un capitale, compila la form presente in questa pagina e valuta con un esperto quale può essere il piano di business continuity più adatto alla tua azienda.
Tratto dal blog di Achab.
