Best practice per la continuità operativa e il ripristino di emergenza (BCDR) per il 2023

La Business Continuity (BC), così come il Disaster Recovery (DR), sono pratiche che si rafforzano a vicenda e aiutano la capacità di un'organizzazione a continuare le attività dopo un'interruzione, un'interruzione o una crisi.

La continuità aziendale e il ripristino di emergenza (BCDR) sono più importanti che mai nel 2023. Ogni azienda, dalle piccole imprese alle multinazionali, fa affidamento sulle tecnologie digitali, rendendo BCDR un must aziendale. Inoltre, la pandemia ha dimostrato con precisione quanti danni potrebbe causare alle economie un'interruzione imprevista dell'attività.

Tuttavia, il 14% delle aziende non ha testato i propri piani BCDR da sei mesi a tre anni e la ricerca suggerisce che poche sono le migliori pratiche di business continuity e disaster recovery. Ecco le 10 linee guida che devi seguire:

1. Valutare il rischio associato a diversi componenti e condurre un'analisi dell'impatto aziendale (BIA)

L'analisi dei rischi e la BIA sono strumenti essenziali per le organizzazioni incaricate di creare una strategia BCDR. L'atto di identificare i rischi e le minacce interne ed esterne è fondamentale per la continuità aziendale e il ripristino di emergenza. La ricerca sui rischi scopre potenziali minacce e la loro probabilità di verificarsi. Questa valutazione del rischio è complementare alla BIA, che valuta i possibili effetti dell'interruzione.

Un BIA include l'analisi finanziaria, ma tiene anche conto degli aspetti non fiscali di interruzioni impreviste. Inoltre, la BIA determina i servizi mission-critical che un'azienda deve continuare a fornire a seguito di un incidente, nonché le risorse necessarie per sostenere tali funzioni.

2. Determinare QUANDO attivare BCDR per ottenere risultati ottimali

Prima di definire una situazione spiacevole un disastro e attivare il piano BCDR, le aziende devono considerare più variabili. La durata prevista dell'interruzione, l'impatto dell'interruzione sull'organizzazione, l'onere monetario dell'attivazione del piano BCDR e il potenziale della strategia BCDR di causare ulteriori interruzioni sono tra le considerazioni più importanti.

Ironia della sorte, l'atto di spostarsi dalla sede principale di un'azienda a un centro secondario e quindi tornare alla base operativa principale, dopo un incidente, può interrompere in modo significativo i processi. Di conseguenza, la leadership aziendale deve valutare attentamente quando implementare il piano BCDR. Ad esempio, un'organizzazione può stabilire che un'interruzione di sei ore non è sufficiente per giustificare una proclamazione del disastro.

3. Sii pronto a sostenere modifiche e aggiornamenti in BCDR

Gli sviluppi nel panorama delle minacce o l'emergere di nuove iniziative imprenditoriali potrebbero costringere un'azienda ad aumentare la propria copertura BCDR. Questo è stato spesso il caso nel 2022-2023, quando le aziende tornano a lavorare in ufficio e vengono alla luce nuovi rischi.

Se le risorse necessarie per la strategia BCDR estesa e le tecnologie di ripristino non sono incluse nel budget attuale, potrebbe essere necessario perseguire finanziamenti aggiuntivi. Una proposta di investimento dovrebbe basarsi su quanto segue:

• Sviluppare una proposta commerciale che evidenzi i vantaggi delle competenze avanzate BCDR
• Decidere se la strategia BCDR aggiornata avrà un impatto su altri domini, come la sicurezza informatica.
• Ottenere finanziamenti, inclusa la valutazione di prodotti e servizi
• Creazione di una richiesta di appalto con adeguata documentazione

Ricorda che devi stabilire un equilibrio tra la spesa BCDR e le conseguenze economiche previste di uno specifico scenario di disastro. Non vuoi escogitare una soluzione che sia 10 volte più costosa della crisi in sé.

4. Testare i piani di business continuity e disaster recovery per individuare eventuali falle

Formazione da tavolo, walk-through pianificati e simulazioni sono formati di test comuni. In genere, i team di test sono costituiti dal supervisore del ripristino e dai rappresentanti di ogni gruppo funzionale. In genere, un esercizio da tavolo viene condotto in una sala conferenze, con il team che esamina il piano per i difetti e garantisce che ogni divisione aziendale sia rappresentata.

In un walk-through pianificato, ogni membro del team esamina ampiamente i componenti del piano designato per identificare i punti deboli. Spesso, il team svolge l'incarico pensando a una specifica catastrofe. Alcune organizzazioni incorporano giochi di ruolo in caso di disastro e attività associate nella procedura dettagliata pianificata. Eventuali carenze dovrebbero essere affrontate e un piano rivisto dovrebbe essere inviato a tutto il personale interessato.

5. Raddoppia la tua attenzione sulla documentazione

Il piano di continuità operativa deve essere redatto in conformità con i rischi aziendali e i protocolli di ripristino di emergenza. Ad esempio, il piano dovrebbe specificare cosa devono fare i membri del personale in caso di crisi, nonché i tempi di consegna più rigorosi per il supporto IT mission-critical.

Anche l'identificazione dei sistemi critici e la compilazione di un inventario delle applicazioni chiave è fondamentale. Inoltre, le organizzazioni devono tenere un inventario dei contatti esterni, come finanziatori, specialisti IT e lavoratori delle utenze. Come ci ha insegnato l'epidemia di coronavirus, solo le aziende con un piano di continuità aziendale ben documentato avevano la capacità di riprendersi rapidamente.

6. Determina il tuo livello unico di resilienza al rischio e il supporto IT che richiede obbligatoriamente

Dato che ogni organizzazione è unica e distinta, è necessario valutare i rischi e sviluppare un piano di continuità aziendale personalizzato. Ad esempio, nel caso di una banca, solo pochi secondi di ritardo possono causare danni per milioni di dollari. Le istituzioni sanitarie possono rischiare l'assistenza critica del paziente in caso di tempi di inattività.

Inoltre, le opzioni di recupero di un'azienda devono essere determinate in base al settore in cui opera. RTO e RPO sono tra i concetti più vitali in questo senso. RPO o Recovery Point Objective si riferisce alla massima perdita consentita di dati in un periodo di tempo. RTO o Recovery Time Objective è il tempo che intercorre tra un'interruzione e una ripresa dei processi.

È possibile scegliere le alternative DR appropriate insieme alle tecnologie di ripristino selezionando l'RPO appropriato e l'RTO in base alle regole e alle linee guida aziendali della propria azienda.

7. Investire nella ridondanza per l'infrastruttura virtualizzata

Dopo la pandemia, la virtualizzazione è diventata critica e pervasiva all'interno delle aziende. Tuttavia, un piano di continuità operativa deve tenere conto della necessità di un'infrastruttura fisica e virtuale ibrida.

Possedere server virtuali, spazi di archiviazione. così come le workstation riduce il rischio di interruzioni del servizio, ma le macchine virtuali possono ancora non funzionare correttamente. Avere una strategia di backup per le macchine virtuali dovrebbe essere tra le tue massime priorità, in particolare se hai aumentato il tuo progetto di virtualizzazione per i processi mission-critical tra il 2020 e il 2023.

8. Prendi in considerazione la possibilità di collaborare con un provider BCDR gestito

Quasi tutti i fornitori di servizi IT diranno che possono aiutare con la riparazione e il ripristino delle interruzioni del servizio. Tuttavia, esiste una differenza significativa tra un partner che offre funzionalità di backup fuori sede rispetto a un partner che dispone dell'infrastruttura BCDR necessaria. Un fornitore di servizi gestiti offrirà una serie di servizi:

• Infrastrutture di livello militare
• Strumenti per il ripristino di emergenza e il backup
• Strutture per l'archiviazione e il ripristino
• Amministrazione multipiattaforma dello storage
• Competenza ben nota e comprovata nell'evacuazione di emergenza e nel trasferimento in uno dei numerosi luoghi di recupero

9. Collaborare con gli appalti per valutare i fornitori per la preparazione BCDR

Le imprese moderne non sono entità autosufficienti che operano come isole nel mare. Al contrario, sono istituzioni profondamente interconnesse con profonde interdipendenze con fornitori di terze parti che forniscono qualsiasi cosa, dall'infrastruttura IT mission-critical ai prodotti finiti e ai materiali di base. Identifica ogni partnership azienda-fornitore e il potenziale rischio che presenta per la continuità aziendale se la fornitura del fornitore viene interrotta. Quali pressioni stanno affrontando i fornitori e quanto sono robusti/resilienti i tuoi collaboratori quando sono sotto stress?

All'inizio del rapporto, i fornitori terzi devono essere sottoposti a una rigorosa due diligence e costantemente monitorati per eventuali segnali di nuove minacce. Quali sono esattamente i loro piani individuali per la continuità aziendale e sono sufficienti per salvaguardare la tua azienda?

10. Esamina le opzioni di colocation

Infine, la colocation offre alle aziende con un'infrastruttura IT su larga scala un modo per distribuire la propria esposizione al rischio in regioni geograficamente diverse.

Le ridondanze integrate nei data center di terze parti hanno lo scopo di incoraggiare l'uptime e la resilienza. Inoltre, la colocation fornisce più fonti di alimentazione e opzioni per la connettività. Funziona come un percorso di backup nel caso in cui il percorso principale fallisca.

Diversi fornitori di servizi di colocation possono inoltre fornire una selezione di data center dislocati geograficamente, consentendo alle aziende di selezionare i locali che soddisfano maggiormente i loro requisiti specifici. Un'organizzazione può scegliere una posizione primaria più vicina alla sede centrale per comodità e una posizione secondaria più remota per il ripristino a seguito di un'emergenza. La business continuity è inoltre supportata dai programmi di manutenzione programmata dei data center in colocation e dagli aggiornamenti dei macchinari, che ottimizzano la disponibilità e le prestazioni del sistema.

Conclusione

Man mano che i disastri e le interruzioni dell'attività diventano più complessi da gestire, queste best practice BCDR aiuteranno il tuo team IT a prepararsi. Puoi anche esplorare il potenziale del cloud computing per aiutare nella pianificazione del ripristino di emergenza (DRP) e utilizzare gli strumenti di ripristino dei dati per recuperare le informazioni perse dopo incidenti minori.