Disaster recovery plan, quale piano scegliere: ecco i consigli di Forrester

Studio Forrester per capire quale Disaster Recovery serve oggi alle aziende

pittogramma Zerouno

Prospettive

Studio Forrester per capire quale Disaster Recovery serve oggi alle aziende

Con “The state of Disaster Recovery preparedness in 2020”, sondaggio condotto su 80 decision maker appartenenti ad aziende di vari settori e dimensioni, Forrester offre uno spaccato in merito allo stato dell’arte delle aziende sul versante DR e sugli scenari possibili di miglioramento. Alla luce di nuove minacce, come quelle degli attacchi ransomware, la ricerca suggerisce di ridisegnare i piani di ripristino con modalità adeguate a rischi in costante evoluzione

07 Dic 2020

di Carmelo Greco

Qual è la situazione attuale nelle strategie di disaster recovery plan (DR) messe in campo dalle aziende? Il recente studio di Forrester The state of Disaster Recovery preparedness in 2020 pubblicato ad agosto prova a fare il punto. La ricerca si basa su un sondaggio, condotto online nel novembre 2019 insieme a SurveyMonkey, nel quale è stato coinvolto un campione qualificato di 80 rispondenti: 30 scelti da Forrester tra i suoi clienti, 50 selezionati da SurveyMonkey. Gli intervistati di entrambi i gruppi sono decision maker o comunque esponenti di organizzazioni di vari settori con una padronanza elevata nella pianificazione delle tecnologie relative a business continuity e nella stesura del piano di disaster recovery.

Le loro risposte, perciò, sono uno strumento prezioso per capire dove si trovano oggi gli utenti avanzati e qual è la direzione verso cui si sta orientando il mondo economico, visto che nell’indagine è ben rappresentato da imprese con classi dimensionali che vanno da 0 a oltre 20 mila dipendenti.

Il disaster recovery alla prova degli attacchi ransomware

La premessa da cui muove lo studio è che, a fronte della minaccia crescente costituita dagli attacchi ransomware, molte aziende tendono a sottoinvestire in disaster recovery plan soprattutto perché manca una comprensione piena di quali possano essere i costi reali di un downtime.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Alla domanda, posta a quanti dichiarano di aver subito un disastro negli ultimi cinque anni, di quantificare il costo per l’azienda causato dall’incidente, il 38% risponde di non saperlo. Emergono, quindi, tra le organizzazioni processi di pianificazione immaturi e non aggiornati, sistemi di recovery workflow sprovvisti di automazione, una scarsa comunicazione fra l’IT e il business, un’attività di testing limitata. E questo nonostante la maggior parte sostenga che il miglioramento del piano di disaster recoevery sia una priorità, proprio perché in uno scenario ipercompetitivo come quello odierno è auspicabile rimanere online 24×7 e migliorare la disponibilità delle applicazioni mission-critical.

Resta tuttavia una discrepanza nella valutazione di quali possano essere i rischi da mitigare con il DR. Il ripristino da un ransomware, per esempio, si differenzia in modo significativo dagli altri tipi di incidenti. Spesso, invece, il disaster recovery è associato a eventi fisici come le calamità naturali e il terrorismo. Al contrario, gli attacchi ransomware, che sono aumentati notevolmente negli ultimi anni, sono virtuali, non fisici. Chi gestisce il disaster recovery plan deve prendere nota del loro impatto e non trattare questa categoria di cyberattack o altri analoghi quali i DDoS (distributed denial of service) come un dominio esclusivo del team di sicurezza. Bisogna sviluppare opzioni di recupero, runbook e worklow in maniera diversa rispetto a come vengono affrontati comunemente gli incidenti catastrofici.

Frequenza con la quale vengono copiati i dati dal sito primario a quello di recovery. Fonte Forrester The state of Disaster Recovery preparedness in 2020

CIO, CISO o manager I&O: chi è responsabile del piano di disaster recovery?

La buona notizia è che appena il 4% dei rispondenti riconosce di non avere un programma formale di DR. La cattiva è che solo il 57% afferma di avere un programma unificato in tutta l’impresa. Il resto ne ha uno indipendente o con silos multipli che non prevedono una supervisione centralizzata.

Questa situazione può essere una strada pragmatica in particolare in quelle grandi aziende che hanno acquisito altre società o che hanno business unit che agiscono essenzialmente come realtà autonome. È anche vero che esiste una tendenza verso un modello federato in cui a livello di corporate si stabiliscono governance generale, strategia, policy, processi e standard, mentre i team più piccoli personalizzano poi i piani per il loro ambito territoriale o la loro unità di business.

La differenza di approccio, secondo il sondaggio di Forrester, dipende dai ruoli di chi in azienda ha la responsabilità di gestire i programmi di disater recovery. Sebbene nel 46% dei casi siano i CIO a occuparsene e nel 19% i CISO (Chief Information Security Officer), rimane un buon 17% appannaggio dei manager I&O (Infrastructure and Operations). Il che non sorprende, se si pensa che questi profili seguono la parte di rete, storage, calcolo e data center.

Tuttavia questa circostanza non sempre dà al direttore del programma DR una sufficiente visione espansiva o l’autorità per garantire la resilienza dei servizi IT end-to-end che supportano funzioni aziendali critiche. Analogamente, una percentuale pari al 44% dei responsabili del piano di disaster recovery non riporta a una figura C-level, con la conseguenza che questo fatto impedisce di esercitare un’influenza su elementi cruciali quali la strategia dei data center, gli standard di sicurezza e compliance, l’architettura aziendale, lo sviluppo e il rilascio delle applicazioni.

Le aree di miglioramento: public cloud, BIA e risk assessment

Sul versante infrastrutturale, Forrester ricorda i dati di una sua ricerca precedente da cui si ricava che l’adozione del public cloud è in continua crescita, con una stima della spesa per i soli servizi infrastrutturali di cloud pubblico che dovrebbe raggiungere i 122 miliardi di dollari entro il 2022.

Si tratta di una tendenza vitale per una moderna attività di disaster recovery plan, ma ciò non toglie che sussistano margini di miglioramento. Poiché, infatti, le aziende adoperano servizi cloud-native, come la replica tra diverse regioni per migliorare DR e business continuity, il 66% del campione dichiara di utilizzare lo stesso provider, mentre il 10% sostiene di non riuscire a passare a un altro cloud provider, anche se l’utilizzo di più provider migliorerebbe la resilienza complessiva delle applicazioni aziendali ospitate negli ambienti cloud iperscala.

Un’ulteriore area di miglioramento riguarda l’adozione della business impact analysis (BIA), che è fondamentale per identificare le funzioni aziendali critiche, mappare le dipendenze IT e definire gli obiettivi di ripristino. La BIA va affiancata da un risk assessment che aiuti a capire quali passi intraprendere per mitigare i rischi più probabili e ad alto impatto e sviluppare piani di promemoria associati. Sfortunatamente, invece, molte aziende non riescono ancora a condurre e aggiornare con regolarità queste funzioni di pianificazione. Nel mondo di oggi, caratterizzato da scenari di rischio in costante cambiamento, al contrario BIA e risk assessment dovrebbero essere condotte su base continuativa.

Le raccomandazioni conclusive dello studio di Forrester, per le quali si rimanda alla lettura integrale del documento, sottolineano in definitiva l’importanza di questo passaggio: da aggiornamenti una tantum o sporadici del piano DR a processi reiterati che tengano conto dell’evoluzione ininterrotta delle minacce e dei possibili incidenti da contrastare.

Carmelo Greco

Giornalista

Giornalista professionista, si occupa come freelance e formatore di temi connessi all’innovazione digitale, all’economia civile e alle trasformazioni del mercato del lavoro. È anche autore di opere teatrali e di narrativa. Ultimo romanzo pubblicato, Focara di sangue, Edizioni Fogliodivia, 2020.

Argomenti trattati

Approfondimenti

R
Ransomware

Articolo 1 di 4