Dal backup alla continuità dell’attività: come prepararsi?

Contesto e situazione del mercato

Preparedness - Response - Recovery - Mitigation

Negli ultimi 12 anni, l'utilizzo di tecnologie di replica, architetture di datacenter multisito, Public Cloud storage e DRP è notevolmente aumentato. Tuttavia, solo una parte degli intervistati (38%) dall’Istituto Forrester nel 2019 si considera totalmente preparata in caso di incidente**. Nella maggior parte dei casi, le grandi aziende sono organizzate meglio delle piccole e medie imprese.

Esistono diversi motivi che spingono i professionisti ad adottare un PRA. Il principale, come dichiarato dal 54 per cento degli intervistati, è la possibilità di essere online 24h/24. Si tratta di una sfida notevole, soprattutto per le aziende di e-commerce.

Per le organizzazioni è importante anche migliorare la disponibilità delle applicazioni critiche (per loro o per i loro clienti). Anche la questione finanziaria legata al costo dei tempi di arresto è importante.

Per rispondere a queste esigenze è necessario:

effettuare backup regolari e ripristinabili dei tuoi dati;
definire una strategia di DRP realistica ed efficace per la tua attività.

Backup e replica

Si tratta della base per la protezione della tua azienda. I backup permettono di evitare la perdita dei tuoi dati e di quelli dei tuoi clienti. Costituiscono un elemento fondamentale per il rilancio dell'attività e sono utili in diverse situazioni, come danneggiamento dell'hard disk, hacking, calamità naturale o errore umano.

Cos'è un backup efficace?

Un backup efficace è una copia dei tuoi dati recuperabile rapidamente e facilmente in caso di incidente.

Il ripristino di questi backup è l'elemento più importante.

Secondo Veeam, il nostro partner, la strategia di backup ottimale è il principio del "3, 2, 1",

Questo significa:

disporre di tre copie dei dati;
su due supporti diversi, per evitare la perdita, la corruzione o l’hacking;
una di queste copie viene salvata su un altro sito (in caso di incidente presso la sede della tua azienda).

Questa strategia ti permette di proteggerti da gran parte delle perdite di dati, che possono verificarsi in diverse situazioni.

Per farti comprendere meglio questa strategia di backup, prendiamo l'esempio dell'azienda X, una PMI che vende online un kit per creare capsule di caffè. L’azienda produce informazioni critiche che deve proteggere, come i dati personali dei suoi clienti. Per questo motivo, decide di effettuare:

un backup dei propri dati a Parigi, su un server e un hard disk esterno;
un altro backup su un server remoto, situato a Lille.

In caso di incidente sul sito di Parigi, le informazioni potranno essere trovate sul server di Lille. Nella rara eventualità che entrambi i server vengano distrutti, l'hard disk esterno permette di ripristinare i dati su un nuovo server. Questa soluzione limita quindi i rischi di perdita dei dati centralizzati sullo stesso sito e sullo stesso supporto.

Se disponi di un'architettura Cloud, il nostro cliente YetiForce ha creato un sistema di backup completo. Questa soluzione permette una ripresa rapida della tua attività in caso di incidente, grazie alla creazione di diverse copie dei dati su server dedicati a questo utilizzo, localizzati in un datacenter distante. Il sistema effettua backup settimanali, quotidiani e ogni 30 minuti, in base al tipo di dati da proteggere.

Un altro efficace meccanismo di backup è la replica dei dati, che può essere effettuata in tempo reale e permette di creare copie in diversi datacenter. In caso di incidente in un datacenter, i dati sono sempre attivi negli altri.

Analizziamo ad esempio il nostro cliente ForePasS.

I dati della piattaforma di Cloud management sono replicati in tempo reale in tre datacenter, uno dei quali è situato su un altro continente (America del Nord). In caso di incidente in un datacenter, l’azienda può recuperare i propri dati in un altro sito e riavviare l’attività senza perdere tempo.

Un sistema di backup è però solo uno strumento che ti protegge dalla perdita di dati. Pur costituendo la base della continuità della tua attività, è importante prevedere le azioni da attuare in anticipo. In questo modo è possibile riavviare i servizi.

Disaster Recovery Plan (DRP)

Il DRP definisce i processi aziendali da adottare per riavviare la tua attività. Gli indicatori importanti per definire le strategie del tuo DRP sono:

l’RPO (Recovery Point Objective), cioè la durata massima di perdita di dati ammissibile. L’RPO si misura su un lasso di tempo ed è generalmente scaglionato in questo modo: nessuna perdita possibile, 1, 4 o 24 ore di dati;
l’RTO (Recovery Time Objective), cioè il periodo massimo durante il quale un'applicazione può rimanere fuori servizio prima di essere riavviata. L’RTO è scaglionato allo stesso modo dell’RPO: nessun ritardo, 1, 4 o 24 ore.

Questi indicatori devono essere predefiniti in funzione della criticità dei dati colpiti dall’incidente. Prendiamo come esempio un’ipotetica azienda X, che dispone di tre tipi di applicazioni che richiedono un diverso Disaster Recovery Plan in caso di incidente. La prima è un’applicazione di dati bancari, che non può permettersi tempi di arresto o perdite. La seconda è il suo sito istituzionale, essenziale ma non critico. La terza è l’applicazione di prenotazione delle sale riunioni, anch’essa non critica. L'azienda dovrà scegliere un DRP diverso a seconda dell'applicazione.

Come adattare il tuo Disaster Recovery Plan

Applicazione critica RPO & RTO=0	Applicazione essenziale RPO>1h & RTO> 4h	Applicazione non critica RPO>24h & RTO>24h

L'azienda non può lavorare senza queste applicazioni. L'applicazione funziona: in 2 datacenter; situati a distanza di diversi chilometri (+100 km); i dati sono sincronizzati tra le due localizzazioni; i backup sono salvati in un terzo datacenter.	L'azienda può lavorare senza queste applicazioni ma non più di un'ora. L'applicazione funziona: in un datacenter principale; i dati sono replicati in una seconda localizzazione a distanza di diversi chilometri (+100 km); i backup sono localizzati in un terzo datacenter.	L'azienda può lavorare senza questa applicazione per più di un giorno. L'applicazione funziona: in un datacenter; i backup dei dati sono localizzati in un secondo datacenter. Quindi utilizzerà i dati di backup per ripristinare l'applicazione nel secondo datacenter se il primo è fuori servizio.

Applicazione critica

RPO & RTO=0

Applicazione essenziale

RPO>1h & RTO> 4h

Applicazione non critica

RPO>24h & RTO>24h

L'azienda non può lavorare senza queste applicazioni.

L'applicazione funziona:

in 2 datacenter;
situati a distanza di diversi chilometri (+100 km);
i dati sono sincronizzati tra le due localizzazioni;
i backup sono salvati in un terzo datacenter.

L'azienda può lavorare senza queste applicazioni ma non più di un'ora.

L'applicazione funziona:

in un datacenter principale;
i dati sono replicati in una seconda localizzazione a distanza di diversi chilometri (+100 km);
i backup sono localizzati in un terzo datacenter.

L'azienda può lavorare senza questa applicazione per più di un giorno.

L'applicazione funziona:

in un datacenter;
i backup dei dati sono localizzati in un secondo datacenter.

Quindi utilizzerà i dati di backup per ripristinare l'applicazione nel secondo datacenter se il primo è fuori servizio.

Per aiutare i nostri clienti a implementare il loro DRP, proponiamo loro soluzioni dei nostri partner. Partitio, ad esempio, offre ai propri utenti diversi modelli di Disaster Recovery Plan, basati su soluzioni di backup e replica manuale con Veeam, con replica automatica tramite Zerto.

Il DRP ti aiuta a limitare l'impatto degli incidenti sulla tua attività e a ridurre le perdite di dati legate a un'interruzione temporanea del servizio. Tuttavia, alcuni tipi di aziende, come le banche o i provider di servizi informatici, non possono permettersi tempi di arresto: i servizi online devono essere disponibili in qualsiasi momento. Questo implica la costruzione di un'infrastruttura resiliente per garantire accessibilità anche in caso di malfunzionamenti.

Il nostro cliente KBRW, che offre soluzioni SaaS Cloud native alle società specializzate nella vendita al dettaglio e nella logistica, conferma che costruire infrastrutture resilienti è un obiettivo imprescindibile per la sicurezza di un'azienda. Tuttavia, l’implementazione e la manutenzione di un Disaster Recovery Plan efficace sono processi continui: il piano deve essere sottoposto a test e aggiornato regolarmente. Il tuo parco di soluzioni IT e la tua infrastruttura evolvono, influenzando le tue esigenze in materia di sicurezza.

"[...] La resilienza deve essere considerata come una strategia globale all’interno dell’azienda e non deve essere assolutamente di sola responsabilità del servizio IT o degli esperti di sicurezza. Dal punto di vista aziendale, è importante sviluppare una cultura della gestione dei rischi informatici, a ogni livello. Ogni dipendente deve essere consapevole del proprio ruolo e delle proprie responsabilità in questa strategia globale. Per realizzare un piano di resilienza IT efficace, è indispensabile procedere a un’analisi realistica dei potenziali rischi, che deve essere condotta con regolarità. Consigliamo di effettuarla ogni 6 mesi su tutti i punti critici del tuo sistema."

Arnaud Wetzel, co-fondatore e CTO di KBRW, e Ronan Garet, Site Reliability Engineer

Verso la continuità della tua attività

Un Disaster Recovery Plan ti permette di reagire in caso di incidente. Pianificare la continuità dell’attività significa includere le azioni da intraprendere prima, durante e dopo questo evento, in modo da mantenere operativi i servizi e garantire il funzionamento ottimale della tua azienda.

La pianificazione si basa su tre elementi:

una buona comunicazione sui canali a tua disposizione, come le email, i social network o la stampa, in merito alla possibile crisi. Tieni aggiornati i tuoi dipendenti, clienti e partner sui progressi nella gestione dell'incidente e informali quando viene risolto;
definire un piano d'azione per i dipendenti in caso di incidente: devono sapere cosa fare e chi contattare. Informali regolarmente sugli sviluppi relativi alla pianificazione e ai cambiamenti delle politiche di sicurezza;
un'infrastruttura IT resiliente è il modo migliore per mantenere i tuoi servizi online in qualsiasi circostanza. In questo modo eviterai le perdite e le spese legate alle interruzioni.

Plan de reprise d’activité vs la continuité de votre activité

L’obiettivo da raggiungere è la continuità della tua attività. Una pianificazione delle procedure da seguire ti permetterà di gestire la maggior parte dei potenziali pericoli per la tua azienda. I nostri partner, come Thales e Capgemini, possono fornirti servizi di consulenza per permetterti di attuare un DRP o pianificare la continuità della tua attività.

"[...] il primo passo da compiere è identificare con precisione le proprie esigenze di resilienza in base al servizio ospitato. È quindi necessario definire la criticità e i rischi associati a ogni servizio in caso di problemi di disponibilità. Una volta fatto il quadro della situazione, inizia la fase di progettazione dell’architettura, considerando tutti gli elementi identificati in fase di analisi [...] Possiamo individuare tre diversi elementi dell’infrastruttura sui quali il cliente deve lavorare per garantirne la resilienza:

resilienza dell'infrastruttura di produzione;
esecuzione del backup;
attuazione del DRP.

Queste soluzioni devono essere protette per garantire la conservazione di tutti i dati dei clienti."

Jean-Charles Ferrand, direttore generale di Partitio

*Secondo uno studio condotto dall'editor di software CA Technologies.

**Fonte: The State Of Disaster Recovery Preparedness In 2020, Forrester Research, Inc., 24 agosto 2020.