Continuità aziendale e ripristino di emergenza: qual è il piano giusto per te? –Blog dell’IBM

I piani di continuità aziendale e di ripristino di emergenza sono strategie di gestione del rischio su cui le aziende fanno affidamento per prepararsi a incidenti imprevisti. Sebbene i termini siano strettamente correlati, ci sono alcune differenze chiave che vale la pena considerare quando si sceglie quello giusto per te:

• Piano di continuità operativa (BCP): Un BCP è un piano dettagliato che delinea le misure che un'organizzazione intraprenderà per tornare alle normali funzioni aziendali in caso di disastro. Laddove altri tipi di piani potrebbero concentrarsi su un aspetto specifico del ripristino e della prevenzione delle interruzioni (come un disastro naturale o un attacco informatico), i BCP adottano un approccio ampio e mirano a garantire che un’organizzazione possa affrontare la gamma più ampia possibile di minacce.
• Piano di ripristino di emergenza (DRP): Di natura più dettagliata rispetto ai BCP, piani di ripristino di emergenza consistono in piani di emergenza su come le aziende proteggeranno in modo specifico i propri sistemi IT e i dati critici durante un'interruzione. Oltre ai BCP, i piani DR aiutano le aziende a proteggere i dati e i sistemi IT da molti scenari catastrofici diversi, come interruzioni massicce, disastri naturali, ransomware ed il malware attacchi e molti altri.
• Continuità aziendale e ripristino di emergenza (BCDR): Continuità aziendale e ripristino di emergenza (BCDR) possono essere affrontati insieme o separatamente a seconda delle esigenze aziendali. Recentemente, sempre più aziende si stanno orientando verso la pratica congiunta delle due discipline, chiedendo ai dirigenti di collaborare sulle pratiche BC e DR anziché lavorare in isolamento. Ciò ha portato a combinare i due termini in uno solo, BCDR, ma il significato essenziale delle due pratiche resta immutato.

Indipendentemente dal modo in cui scegli di affrontare lo sviluppo del BCDR nella tua organizzazione, vale la pena notare la rapidità con cui il settore sta crescendo in tutto il mondo. Poiché i risultati di un BCDR inadeguato, come la perdita di dati e i tempi di inattività, diventano sempre più costosi, molte aziende stanno incrementando gli investimenti esistenti. L’anno scorso, le aziende di tutto il mondo erano pronte a spendere 219 miliardi di dollari in sicurezza e soluzioni informatiche, un aumento del 12% rispetto all’anno precedente secondo un recente rapporto della International Data Corporation (IDC) (il collegamento si trova all'esterno di ibm.com).

Perché i piani di continuità aziendale e di ripristino di emergenza sono importanti?

I piani di continuità aziendale (BCP) e i piani di ripristino di emergenza (DRP) aiutano le organizzazioni a prepararsi per un'ampia gamma di incidenti non pianificati. Se implementato in modo efficace, un buon piano DR può aiutare le parti interessate a comprendere meglio i rischi per le normali funzioni aziendali che una particolare minaccia può comportare. Le aziende che non investono nel ripristino di emergenza della continuità aziendale (BCDR) hanno maggiori probabilità di subire perdite di dati, tempi di inattività, sanzioni finanziarie e danni alla reputazione a causa di incidenti non pianificati.

Ecco alcuni dei vantaggi che le aziende che investono in piani di continuità aziendale e ripristino di emergenza possono aspettarsi:

• Tempi di inattività ridotti: Quando un disastro interrompe le normali operazioni aziendali, il ripristino dell’operatività può costare alle aziende centinaia di milioni di dollari. Alto profilo attacchi informatici sono particolarmente dannosi, poiché spesso attirano attenzioni indesiderate e spingono investitori e clienti a fuggire verso concorrenti che pubblicizzano tempi di inattività più brevi. L'implementazione di un piano BCDR efficace può ridurre i tempi di ripristino indipendentemente dal tipo di disastro che devi affrontare.
• Rischio finanziario inferiore: Secondo Il recente rapporto sul costo della violazione dei dati di IBM, il costo medio di una violazione dei dati è stato di 4.45 milioni di dollari nel 2023, con un aumento del 15% rispetto al 2020. Le aziende con solidi piani di continuità operativa hanno dimostrato di poter ridurre significativamente tali costi accorciando i tempi di inattività e aumentando la fiducia di clienti e investitori.
• Sanzioni ridotte: Le violazioni dei dati possono comportare ingenti sanzioni in caso di fuga di informazioni private sui clienti. Le aziende che operano nel settore sanitario e della finanza personale corrono un rischio maggiore a causa della sensibilità dei dati che gestiscono. Avere una forte strategia di continuità aziendale è fondamentale per le aziende che operano in questi settori, poiché aiuta a mantenere relativamente basso il rischio di pesanti sanzioni finanziarie.

Come costruire un piano di ripristino di emergenza per la continuità aziendale

La pianificazione del ripristino di emergenza della continuità aziendale (BCDR) è più efficace quando le aziende adottano un approccio separato ma coordinato. Sebbene i piani di continuità operativa (BCP) e i piani di ripristino di emergenza (DRP) siano simili, esistono importanti differenze che rendono vantaggioso svilupparli separatamente:

• I BCP forti si concentrano sulle tattiche per mantenere operative le normali operazioni prima, durante e immediatamente dopo un disastro. 
• I DRP tendono ad essere più reattivi, delineando i modi per rispondere a un incidente e ripristinare il funzionamento senza intoppi.

Prima di approfondire come creare BCP e DRP efficaci, diamo un'occhiata ad un paio di termini rilevanti per entrambi:

• Obiettivo del tempo di recupero (RTO): L'RTO si riferisce alla quantità di tempo necessaria per ripristinare i processi aziendali dopo un incidente non pianificato. Stabilire un RTO ragionevole è una delle prime cose che le aziende devono fare quando creano un BCP o un DRP. 
• Obiettivo del punto di ripristino (RPO): L'obiettivo del punto di ripristino (RPO) della tua azienda è la quantità di dati che può permettersi di perdere in un disastro e di poter comunque recuperare. Poiché la protezione dei dati è una funzionalità fondamentale di molte aziende moderne, alcune copiano costantemente i dati su un dispositivo remoto Banca dati per garantire la continuità in caso di violazione massiccia. Altri fissano un RPO tollerabile di pochi minuti (o addirittura ore) per il ripristino dei dati aziendali da un sistema di backup e sanno che saranno in grado di ripristinare qualsiasi cosa sia andata persa durante quel periodo.

Come costruire un piano di continuità aziendale (BCP) 

Sebbene ogni azienda abbia requisiti leggermente diversi in termini di pianificazione della continuità aziendale, esistono quattro passaggi ampiamente utilizzati che producono ottimi risultati indipendentemente dalle dimensioni o dal settore.

1. Eseguire un'analisi dell'impatto aziendale 

L'analisi dell'impatto aziendale (BIA) aiuta le organizzazioni a comprendere meglio le varie minacce che devono affrontare. Una BIA forte include la creazione di descrizioni affidabili di tutte le potenziali minacce e di eventuali vulnerabilità che potrebbero esporre. Inoltre, la BIA stima la probabilità di ciascun evento in modo che l'organizzazione possa assegnargli la priorità di conseguenza.

2. Creare potenziali risposte

Per ogni minaccia identificata nella tua BIA, dovrai sviluppare una risposta per la tua azienda. Minacce diverse richiedono strategie diverse, quindi per ogni disastro che potresti dover affrontare è bene creare un piano dettagliato su come potresti potenzialmente recuperare.

3. Assegnare ruoli e responsabilità

Il passaggio successivo consiste nel capire cosa è richiesto a tutti i membri del team di ripristino di emergenza in caso di disastro. Questo passaggio deve documentare le aspettative e considerare il modo in cui le persone comunicheranno durante un incidente non pianificato. Ricorda, molte minacce bloccano funzionalità di comunicazione chiave come le reti cellulari e Wi-Fi, quindi è saggio disporre di procedure di fallback di comunicazione su cui puoi fare affidamento.

4. Prova e rivedi il tuo piano

Per ogni minaccia per cui ti sei preparato, dovrai esercitarti e perfezionare costantemente i piani BCDR finché non funzioneranno senza intoppi. Prova uno scenario quanto più realistico possibile senza mettere nessuno a rischio reale, in modo che i membri del team possano acquisire fiducia e scoprire come si comporteranno probabilmente in caso di interruzione della continuità aziendale.

Come costruire un piano di disaster recovery (DRP)

Come i BCP, i DRP identificano ruoli e responsabilità chiave e devono essere costantemente testati e perfezionati per essere efficaci. Ecco un processo in quattro fasi ampiamente utilizzato per la creazione di DRP.

1. Eseguire un'analisi dell'impatto aziendale

Come il tuo BCP, il tuo DRP inizia con un’attenta valutazione di ogni minaccia che la tua azienda potrebbe affrontare e quali potrebbero essere le sue implicazioni. Considera il danno che ogni potenziale minaccia potrebbe causare e la probabilità che interrompa le tue operazioni aziendali quotidiane. Ulteriori considerazioni potrebbero includere la perdita di entrate, tempi di inattività, costi di ripristino della reputazione (pubbliche relazioni) e perdita di clienti e investitori a causa della cattiva stampa.

2. Inventaria le tue risorse

DRP efficaci richiedono che tu sappia esattamente cosa possiede la tua azienda. Esegui regolarmente questi inventari in modo da poter identificare facilmente hardware, software, infrastruttura IT e qualsiasi altra cosa su cui la tua organizzazione fa affidamento per le funzioni aziendali critiche. Puoi utilizzare le seguenti etichette per classificare ciascuna risorsa e dare priorità alla sua protezione: critica, importante e non importante.

• critico: Etichetta le risorse come critiche se dipendi da esse per le tue normali operazioni aziendali.
• Importante: Dai questa etichetta a tutto ciò che usi almeno una volta al giorno e, se interrotto, avrebbe un impatto sulle tue operazioni critiche (ma non le interromperebbe del tutto).
• Irrilevante: Queste sono le risorse che la tua azienda possiede ma utilizza abbastanza raramente da renderle non essenziali per le normali operazioni.

3. Assegnare ruoli e responsabilità

Come nel tuo BCP, dovrai descrivere le responsabilità e assicurarti che i membri del tuo team abbiano ciò di cui hanno bisogno per svolgerle. Ecco alcuni ruoli e responsabilità ampiamente utilizzati da considerare:

• Reporter dell'incidente: Qualcuno che conserva le informazioni di contatto delle parti interessate e comunica con i leader aziendali e le parti interessate quando si verificano eventi dirompenti.
• DRP supervisore: Qualcuno che garantisce che i membri del team eseguano i compiti loro assegnati durante un incidente. 
• Gestore patrimoniale: Qualcuno il cui compito è proteggere e proteggere le risorse critiche quando si verifica un disastro. 

4. Prova il tuo piano

Proprio come con il tuo BCP, dovrai esercitarti e aggiornare costantemente il tuo DRP affinché sia ​​efficace. Esercitati regolarmente e aggiorna i tuoi documenti in base a eventuali modifiche significative che devono essere apportate. Ad esempio, se la tua azienda acquisisce una nuova risorsa dopo la formazione del tuo DRP, dovrai incorporarla nel tuo piano in futuro o non sarà protetta in caso di catastrofe.

Esempi di validi piani di continuità aziendale e di ripristino di emergenza

Se hai bisogno di un piano di continuità aziendale (BCP), di un piano di ripristino di emergenza (DRP) o di lavorare entrambi insieme o separatamente, può essere utile osservare come altre aziende hanno messo in atto piani per migliorare la loro preparazione. Ecco alcuni esempi di piani che hanno aiutato le aziende nella preparazione sia alla BC che alla DR.

• Piano di gestione della crisi: Un buon piano di gestione della crisi potrebbe far parte della pianificazione della continuità aziendale o del ripristino di emergenza. I piani di gestione delle crisi sono documenti dettagliati che descrivono come gestire una minaccia specifica. Forniscono istruzioni dettagliate su come un'organizzazione risponderà a un tipo specifico di crisi, come un'interruzione di corrente, un crimine informatico o un disastro naturale; in particolare, come gestiranno le pressioni ora per ora e minuto per minuto mentre l'evento si svolge. Molti dei passaggi, dei ruoli e delle responsabilità richiesti nella pianificazione della continuità aziendale e del ripristino di emergenza sono rilevanti per un buon piano di gestione della crisi.
• Piano di comunicazione: I piani di comunicazione (o piani di comunicazione) si applicano ugualmente alla continuità aziendale e agli sforzi di ripristino di emergenza. Descrivono come la tua organizzazione affronterà specificamente le preoccupazioni relative alle PR durante un incidente non pianificato. Per costruire un buon piano di comunicazione, i leader aziendali in genere si coordinano con gli specialisti della comunicazione per formulare i loro piani di comunicazione. Alcuni hanno piani specifici in atto per i disastri ritenuti probabili e gravi, quindi sanno esattamente come risponderanno.
• Piano di ripristino della rete: I piani di ripristino della rete aiutano le organizzazioni a recuperare le interruzioni dei servizi di rete, inclusi l'accesso a Internet, i dati cellulari, le reti locali (LAN) e le reti geografiche (WAN). I piani di ripristino della rete hanno generalmente una portata ampia poiché si concentrano su un'esigenza fondamentale ed essenziale, ovvero la comunicazione, e dovrebbero essere considerati più dal punto di vista della continuità aziendale che dal ripristino di emergenza. Data l'importanza di molti servizi di rete per le operazioni aziendali, i piani di ripristino della rete si concentrano sui passaggi necessari per ripristinare i servizi in modo rapido ed efficace dopo un'interruzione.
• Banca dati piano di recupero: È più probabile che un piano di ripristino del data center venga incluso in un BCP che in un DRP a causa della sua attenzione alla sicurezza dei dati e alle minacce all'infrastruttura IT. Alcune minacce comuni al backup dei dati includono personale sovraccarico, attacchi informatici, interruzioni di corrente e difficoltà a rispettare i requisiti di conformità. 
• Piano di ripristino virtualizzato: Come un piano per un data center, è più probabile che un piano di ripristino virtualizzato faccia parte di un BCP piuttosto che di un DRP a causa dell'attenzione del BCP sull'IT e sulle risorse dati. I piani di ripristino virtualizzati si basano su macchina virtuale (VM) istanze che possono entrare in funzione entro un paio di minuti da un'interruzione. Le macchine virtuali sono rappresentazioni/emulazioni di computer fisici che forniscono il ripristino di applicazioni critiche attraverso l'alta disponibilità (HA), ovvero la capacità di un sistema di funzionare continuamente senza guasti.

Soluzioni di Business Continuity e Disaster Recovery 

Anche una piccola interruzione può mettere a rischio la tua attività. IBM dispone di un'ampia gamma di piani di emergenza e soluzioni di ripristino di emergenza per aiutare a preparare la tua azienda ad affrontare una varietà di minacce, tra cui funzionalità di backup sul cloud e ripristino di emergenza e servizi di sicurezza e resilienza.

Proteggi i dati e accelera il ripristino con le soluzioni di pianificazione della continuità aziendale IBM