Qual è la situazione attuale nelle strategie di disaster recovery plan (DR) messe in campo dalle aziende? Il recente studio di Forrester The state of Disaster Recovery preparedness in 2020 pubblicato ad agosto prova a fare il punto. La ricerca si basa su un sondaggio, condotto online nel novembre 2019 insieme a SurveyMonkey, nel quale è stato coinvolto un campione qualificato di 80 rispondenti: 30 scelti da Forrester tra i suoi clienti, 50 selezionati da SurveyMonkey. Gli intervistati di entrambi i gruppi sono decision maker o comunque esponenti di organizzazioni di vari settori con una padronanza elevata nella pianificazione delle tecnologie relative a business continuity e nella stesura del piano di disaster recovery.
Le loro risposte, perciò, sono uno strumento prezioso per capire dove si trovano oggi gli utenti avanzati e qual è la direzione verso cui si sta orientando il mondo economico, visto che nell’indagine è ben rappresentato da imprese con classi dimensionali che vanno da 0 a oltre 20 mila dipendenti.
Il disaster recovery alla prova degli attacchi ransomware
La premessa da cui muove lo studio è che, a fronte della minaccia crescente costituita dagli attacchi ransomware, molte aziende tendono a sottoinvestire in disaster recovery plan soprattutto perché manca una comprensione piena di quali possano essere i costi reali di un downtime.
Alla domanda, posta a quanti dichiarano di aver subito un disastro negli ultimi cinque anni, di quantificare il costo per l’azienda causato dall’incidente, il 38% risponde di non saperlo. Emergono, quindi, tra le organizzazioni processi di pianificazione immaturi e non aggiornati, sistemi di recovery workflow sprovvisti di automazione, una scarsa comunicazione fra l’IT e il business, un’attività di testing limitata. E questo nonostante la maggior parte sostenga che il miglioramento del piano di disaster recoevery sia una priorità, proprio perché in uno scenario ipercompetitivo come quello odierno è auspicabile rimanere online 24×7 e migliorare la disponibilità delle applicazioni mission-critical.
Resta tuttavia una discrepanza nella valutazione di quali possano essere i rischi da mitigare con il DR. Il ripristino da un ransomware, per esempio, si differenzia in modo significativo dagli altri tipi di incidenti. Spesso, invece, il disaster recovery è associato a eventi fisici come le calamità naturali e il terrorismo. Al contrario, gli attacchi ransomware, che sono aumentati notevolmente negli ultimi anni, sono virtuali, non fisici. Chi gestisce il disaster recovery plan deve prendere nota del loro impatto e non trattare questa categoria di cyberattack o altri analoghi quali i DDoS (distributed denial of service) come un dominio esclusivo del team di sicurezza. Bisogna sviluppare opzioni di recupero, runbook e worklow in maniera diversa rispetto a come vengono affrontati comunemente gli incidenti catastrofici.
CIO, CISO o manager I&O: chi è responsabile del piano di disaster recovery?
La buona notizia è che appena il 4% dei rispondenti riconosce di non avere un programma formale di DR. La cattiva è che solo il 57% afferma di avere un programma unificato in tutta l’impresa. Il resto ne ha uno indipendente o con silos multipli che non prevedono una supervisione centralizzata.
Questa situazione può essere una strada pragmatica in particolare in quelle grandi aziende che hanno acquisito altre società o che hanno business unit che agiscono essenzialmente come realtà autonome. È anche vero che esiste una tendenza verso un modello federato in cui a livello di corporate si stabiliscono governance generale, strategia, policy, processi e standard, mentre i team più piccoli personalizzano poi i piani per il loro ambito territoriale o la loro unità di business.
La differenza di approccio, secondo il sondaggio di Forrester, dipende dai ruoli di chi in azienda ha la responsabilità di gestire i programmi di disater recovery. Sebbene nel 46% dei casi siano i CIO a occuparsene e nel 19% i CISO (Chief Information Security Officer), rimane un buon 17% appannaggio dei manager I&O (Infrastructure and Operations). Il che non sorprende, se si pensa che questi profili seguono la parte di rete, storage, calcolo e data center.
Tuttavia questa circostanza non sempre dà al direttore del programma DR una sufficiente visione espansiva o l’autorità per garantire la resilienza dei servizi IT end-to-end che supportano funzioni aziendali critiche. Analogamente, una percentuale pari al 44% dei responsabili del piano di disaster recovery non riporta a una figura C-level, con la conseguenza che questo fatto impedisce di esercitare un’influenza su elementi cruciali quali la strategia dei data center, gli standard di sicurezza e compliance, l’architettura aziendale, lo sviluppo e il rilascio delle applicazioni.
Le aree di miglioramento: public cloud, BIA e risk assessment
Sul versante infrastrutturale, Forrester ricorda i dati di una sua ricerca precedente da cui si ricava che l’adozione del public cloud è in continua crescita, con una stima della spesa per i soli servizi infrastrutturali di cloud pubblico che dovrebbe raggiungere i 122 miliardi di dollari entro il 2022.
Si tratta di una tendenza vitale per una moderna attività di disaster recovery plan, ma ciò non toglie che sussistano margini di miglioramento. Poiché, infatti, le aziende adoperano servizi cloud-native, come la replica tra diverse regioni per migliorare DR e business continuity, il 66% del campione dichiara di utilizzare lo stesso provider, mentre il 10% sostiene di non riuscire a passare a un altro cloud provider, anche se l’utilizzo di più provider migliorerebbe la resilienza complessiva delle applicazioni aziendali ospitate negli ambienti cloud iperscala.
Un’ulteriore area di miglioramento riguarda l’adozione della business impact analysis (BIA), che è fondamentale per identificare le funzioni aziendali critiche, mappare le dipendenze IT e definire gli obiettivi di ripristino. La BIA va affiancata da un risk assessment che aiuti a capire quali passi intraprendere per mitigare i rischi più probabili e ad alto impatto e sviluppare piani di promemoria associati. Sfortunatamente, invece, molte aziende non riescono ancora a condurre e aggiornare con regolarità queste funzioni di pianificazione. Nel mondo di oggi, caratterizzato da scenari di rischio in costante cambiamento, al contrario BIA e risk assessment dovrebbero essere condotte su base continuativa.
Le raccomandazioni conclusive dello studio di Forrester, per le quali si rimanda alla lettura integrale del documento, sottolineano in definitiva l’importanza di questo passaggio: da aggiornamenti una tantum o sporadici del piano DR a processi reiterati che tengano conto dell’evoluzione ininterrotta delle minacce e dei possibili incidenti da contrastare.
