I piani di business continuity (BC) e disaster recovery (DR) sono inutili finché non si collaudano.
Fortunatamente, è possibile condurre molti tipi di test, che vanno da quelli semplici a quelli molto complessi. La chiave per il successo del collaudo di un piano di business continuity è incorporare il test come parte dell’intero processo di gestione della business continuity/disaster recovery.
Ma il test può essere una notevole sfida per molte organizzazioni. Queste ultime infatti richiedono supporto di gestione, tempo per la preparazione ed esecuzione, finanziamenti, un’attenta pianificazione e un processo strutturato dalla fase di pre-test, a quella di test, alla valutazione post-test.
TechTarget, tramite SearchDisasterRecovery.com, ha creato un modello di test della business continuity e una guida per mostrarvi come costruire ed eseguire il vostro test.
In questa guida, imparerete come condurre un test di business continuity, chi vi dovrebbe essere incluso, e come sviluppare una strategia di collaudo BC/DR di successo.
Introduzione al test di un piano di business continuity
Tre tipi di test fondamentali sono utilizzati nel collaudo di un piano di business continuity: la revisione del piano, il ‘tabletop test’, e il test di simulazione. Esaminiamo brevemente ciascuno di questi:
- In una revisione del piano, il titolare del piano di business continuity/disaster recovery e il team di business continuity/disaster recovery discutono il piano BC/DR. Insieme esaminano il documento del piano in dettaglio, controllando eventuali elementi mancanti e incongruenze.
- In un tabletop test, i partecipanti analizzano le attività del piano passo dopo passo. Le esercitazioni possono effettivamente dimostrare se i membri del team conoscono i loro compiti in una emergenza. Qui gli errori di documentazione, le informazioni mancanti e le incongruenze nei piani BCM (business continuity management) possono essere identificati.
- Per determinare se le procedure BCM e le risorse funzionano in una situazione più realistica, è auspicabile un test di simulazione. Esso utilizza risorse di business continuity stabilite, come siti di ripristino, sistemi di backup, e altri servizi specializzati. Le simulazioni possono anche far emergere problemi del personale riguardanti la natura dei loro compiti. In effetti, una simulazione è un test su scala completa senza reale protezione. L’uso degli scenari è raccomandato nelle simulazioni.
Utilizzare il nostro modello di test della business continuity
Il modello per il test del piano di business continuity fornisce un punto di partenza per la preparazione ed esecuzione di un test di business continuity. Esso fornisce un framework di test senza indirizzare uno specifico modello di piano.
Tutte le fasi di un test – dalla panoramica pre-test, all’esecuzione del test, alla revisione post-test, alla preparazione del rapporto finale – sono supportate in questo modello. La reale attività di test, inclusa la struttura del test, gli scenari, gli script e le immisioni, e le attività aggiuntive (ad esempio, programmi audio e video) sono a vostra discrezione.
La chiave nell’utilizzo del modello è seguire tutti i passi delineati: pianificazione pre-test, conduzione del test, identificazione e formazione dei partecipanti al test, conduzione dei colloqui post-test e preparazione dei rapporti riassuntivi finali.
Il modello di test della business continuity fornito in questo articolo aiuterà a migliorare i piani di business continuity e disaster recovery. Tuttavia, non importa quanto spesso collaudate i piani BC/DR, poiché, quando dovesse verificarsi un caso reale, la vostra risposta sarà probabilmente molto differente da quella dei test.
Le strategie chiave per il test includono la partenza con scenari semplici; poi l’innalzamento del livello in termini di difficoltà; il coinvolgimento di vendor e stakeholder nei test; la creazione di test tanto difficili da essere impossibili da superare; e il lancio di test a sorpresa.
Quando si vara un programma di esercitazioni di test, è bene partire con le revisioni del piano e i tabletop. Questo aiuterà il personale a prendere confidenza con il processo di testing.
Via via che lo staff migliora, incrementate il livello di complessità del test. Ricordate che se un test ‘fallisce’ non va visto come un disastro ma, piuttosto, come un successo. È molto meglio identificare sistemi e procedure che potrebbero fallire, e rettificarli, prima che si verifichi un reale incidente. Infine, un vero test è lanciare un incidente a sorpresa. Ciò metterà davvero alla prova quanto l’azienda è ben preparata a indirizzare un reale incidente.
La prima ragione per eseguire i test è identificare carenze nei piani BC/DR. Idealmente, i test riusciti scoprono e documentano i problemi. I test che sembrano essere ‘riusciti’ ma non portano alla luce nessun problema dovrebbero essere sospetti. Alla fine, i test presentano opportunità di risolvere i problemi prima che succeda un disastro.
