Catastrofi naturali sempre più frequenti, attacchi di cybercrime più numerosi (secondo Clusit nell’80% dei casi anche gravi) e costanti distrazioni da parte degli utenti in smart working. Di fronte a questo scenario, anche le aziende più refrattarie cedono alla necessità di realizzare un disaster recovery plan. Oggi è una sorta di polizza digitale per garantire una business continuity, diventata totalmente dipendente dalle infrastrutture IT. Per implementarlo al meglio è necessario adeguarlo all’attuale contesto, tra nuovi rischi e sistemi aziendali sempre più complessi, aperti e in evoluzione. La priorità resta però la stessa: ridurre al minimo i rischi di perdita dei dati e i tempi di inattività.
Disaster recovery plan: non solo backup
Il disaster recovery è ciò che tutti sperano di non dover mai usare. È l‘insieme di tutte le misure tecnologiche da mettere in atto per ripristinare sistemi, dispositivi e infrastrutture a seguito di un evento “catastrofico” e “recuperare” informazioni e funzionalità operative. Meno dati fa perdere, più è considerato efficace.
Equipararlo al backup è però scorretto e riduttivo. Certamente lo include, ma prevede anche altro. Non esiste un modello ideale a cui rifarsi per realizzare il proprio piano di DR, deve essere plasmato a seconda delle infrastrutture e degli asset di ogni organizzazione. Per individuare la propria strategia è però possibile focalizzarsi su alcune procedure comuni e comprendere come possono supportare un ripristino veloce e funzionale:
- l’analisi del rischio,
- l’analisi dell’infrastruttura esistente,
- l’individuazione dei single-point-of-failure (SPOF)
Altri elementi importanti per il disaster recovery sono parametri come l’RTO (Recovery Time Objective) e l’RPO (Recovery Point Objective). Il primo rappresenta la velocità necessaria per il ripristino e indica il numero massimo di downtime consentiti dopo un evento disastroso, il secondo determina la frequenza con la quale effettuare i backup.
La mancanza di un piano di DR può spesso fare la differenza tra sopravvivere o soccombere a un evento disastroso. Restare “scoperti” comporta oggi parecchi rischi: non solo il fermo parziale, o perfino totale, delle attività e dei servizi ma anche ingenti perdite di dati. Un danno che oggi è direttamente connesso con la competitività e il business dell’azienda.
Come e perché puntare sul Cloud Disaster Recovery
Dal recente studio Global State of Cybersecurity emerge che il 93% delle aziende sprovviste di piano per il disaster recovery che subiscono un disastro, hanno un’aspettativa di vita di massimo un anno. Questo dato dovrebbe spingere tutti ad averne uno e, tra le varie soluzioni possibili, la più adeguata alle circostanze sia globali che aziendali è quella in cloud. Scegliendo questa strada si opta per archiviare i dati nel cloud: è da lì poi che, in caso di disastro, verranno poi ripristinati in modo rapido e semplice.
Alla base del Cloud DR vi sono delle immagini digitali di dati e configurazioni rilevanti, una sorta di sostituzioni temporanee custodite nella nuvola che fanno da punto di riferimento per il ripristino in situazioni di emergenza.
Rispetto al tradizionale disaster recovery, quello in cloud offre tre principali vantaggi: meno complessità ed effort, costi ridotti e maggiore sicurezza. Sono fattori che possono oggi più che mai fare la differenza, soprattutto considerando la crescente efferatezza dei cyber criminali e il costante bisogno di limitare i costi.
- Complessità ed effort: esternalizzando le tecnologie, tocca al fornitore impostare e garantire la manutenzione di hardware e software, oltre che supervisionare le interazioni dei singoli componenti
- Costi: non dovendo investire su hardware di ultima generazione, calano le spese per il disaster recovery. Allo stesso tempo diminuiscono le risorse da dover dedicare alla gestione del DR e spariscono i costi aggiuntivi legati all’obsolescenza o ai difetti hardware
- Sicurezza: i cloud services provider garantiscono standard di protezione elevati, sia nel contesto digitale che “fisico”. Con software e crittografia proteggono i dati, con l’archiviazione in data center esterni prevengono disastri naturali e incendi.
Esistono settori o tipologie di dati che devono sottostare a policy di compliance particolarmente esigenti, non compatibili con l’opzione cloud. In tutti i casi in cui invece l’outsourcing è concesso, diventa la scelta più conveniente e allo stesso tempo efficace. Esiste anche in modalità as a service: il DRaaS. Questo approccio prevede che sia un service provider, in caso di disastro o attacco hacker, a spostare l’elaborazione informatica sul proprio cloud assicurando la business continuity anche mentre i server dell’azienda sono fuori uso.
Scegliere “temperatura” e partner per un piano DR efficiente
Se si scarta l’opzione as a service, si può comunque modulare il processo di adozione del Cloud DR a seconda di budget, necessità e dimensioni di business. Esistono tre approcci che offrono differenti performance, definiti come Cold, Warm e Hot, a seconda della loro facilità di implementazione.
Il Cold Cloud DR si limita ad archiviare dati o immagini VM da scaricare e poi integrare in caso di recovery. È una soluzione semplice ed economica, ma presenta un downtime elevato. L’intermedio Warm Cloud DR affida al provider i mirror di tutti i dati e le applicazioni mission critical, ne assicura il continuo aggiornamento. ma non l’elaborazione. Grazie a questa infrastruttura speculare i tempi di inattività si riducono mentre complessità e costi aumentano moderatamente.
Per garantirsi un downtime pari a zero è necessario puntare sull’Hot Cloud DR. Questo approccio distribuisce carico di lavoro e dati aziendali simultaneamente anche sul cloud assicurandone l’elaborazione. Essendoci due infrastrutture complete operanti simultaneamente, i costi lievitano ma si ha la garanzia di una business continuity h24.
Oltre alla “temperatura” di approccio è fondamentale scegliere anche il partner cloud adatto e gestirlo al meglio. I primi due passi da compiere sono chiarire il concetto di disastro e definire il modello di responsabilità condivisa adottato, comunicandolo a tutto il team.
Nello scegliere il fornitore è importante non soffermarsi ciecamente solo sui costi e termini contrattuali. Serve una valutazione più ampia che includa anche la disponibilità di servizi cloud aggiuntivi e la presenza dei requisiti di protezione e sicurezza dei dati (GDPR, ma non solo).
Un altro aspetto sempre più importante è la presenza di una doppia cloud region locale. Per le aziende il poter contare su un sito secondario per il disaster recovery rappresenta una duplice assicurazione per il proprio business. Questo è uno dei vantaggi di cui l’ecosistema italiano potrà godere dalla seconda metà del 2022, dopo che Google Cloud lancerà a Milano e a Torino due nuove Cloud Region. Iscrivendosi a questo link sarà possibile seguire in diretta l’evento
Contributo editoriale sviluppato in collaborazione con Google