Con l’aumento del + 125% in un anno degli attacchi informatici attivi e passivi rilevato da Accenture, e un numero di eventi estremi aumentato di 5 volte nell’ultimo mezzo secolo, denunciato dall’ONU, le aziende si trovano di fronte ad uno scenario che le obbliga a cambiare profondamente il proprio modus operandi. La priorità resta quella di garantire la business continuity, ovvero di essere in grado di mantenere operative le funzioni critiche anche dopo un’emergenza o un’interruzione delle attività, ma l’approccio deve cambiare in modo radicale. È necessario abbracciare nuovi metodi di lavoro e tecnologie digitali come il cloud, ma anche adottare un’infrastruttura di rete IT più performante.
L’inspiegabile inerzia delle aziende nel realizzare un Business Continuity Plan
Nonostante la necessità, negli ultimi due anni più che mai evidente, di focalizzarsi sulla business continuity, molte sono ancora le aziende non ancora munite di un piano ben definito: l’International Labour Organization (ILO), nel rapporto “A global survey of enterprises: Managing the business disruptions of Covid-19” relativo al secondo quadrimestre del 2020, rileva infatti che solo il 47% ne ha uno, percentuale che sale a 75 per le più grandi ma scende a 33 per le più piccole. Le restanti, prive di strategia, oggi rischiano danni finanziari irreparabili e anche la chiusura ma possono ancora correre ai ripari e disegnare da zero un piano. Se lo fanno, devono tenere conto di nuove priorità come quella di un recovery rapido e di una forte integrazione della sicurezza all’interno dei processi aziendali
In un Business Continuity Plan si trova descritta nei dettagli la strategia e i sistemi per prevenire o recuperare rapidamente l’attività dopo un’interruzione significativa: è una sorta di manuale per valutare l’importanza delle diverse funzioni aziendali e creare poi un piano effettivo di continuità. Tre sono le fasi in cui può essere diviso anche se solo idealmente perché, come tutti coloro che si occupano di questo tipo di problematiche sanno, nella realtà si tratta di attività che si sovrappongono e impattano l’una sull’altra. Se ben organizzate, lo fanno rafforzando l’efficacia globale del piano.
- Analisi di come le varie funzioni saranno colpite da un disastro per poi assegnare le varie priorità e realizzazione di una Business Impact Analysis (BIA) che stimi le conseguenze di diversi scenari di disastro in termini di business.
- Pianificazione per sviluppare protocolli per potenziali necessità e strategie in vista di cambiamenti temporanei del personale e per implementare strumenti di disaster recovery IT
- Test per garantire il funzionamento del piano in caso di necessità e formazione dei dipendenti, ciascuno secondo il proprio ruolo.
L’unione fa la forza nell’approccio SecDevOps per affrontare le nuove minacce
Per garantire la business continuity nell’era del new normal non basta stendere un piano in tre atti, le fasi “da definizione” sono solo una buona base su cui le aziende sono chiamate a creare la propria personale strategia. Per quelle che brancolano nel buio di fronte a questa sfida, esistono degli elementi chiave a cui aggrapparsi, presenti trasversalmente quasi in ogni buon piano di business continuity di successo: persone, tecnologia, servizi e salute e sicurezza.
In un contesto di cybersecurity in cui l’elemento debole si conferma essere sempre quello umano, è piuttosto scontato che le persone giochino un ruolo fondamentale nella business continuity e devono quindi essere poste al centro di ogni strategia, anche se divise tra “personale essenziale” e non. Un gradino più in basso ma sempre fondamentale c’è la tecnologia IT, un universo che include strumenti di backup e recupero dati, infrastrutture e servizi di cloud computing, piattaforme di remote working e tutto ciò che può assicurare che dati, applicazioni e servizi critici restino disponibili. La regola vuole che ci si debba anche assicurare che i servizi essenziali continuino ad essere erogati ai clienti e che la salute dei dipendenti non sia in pericolo, anche i titoli di cronaca oltre che i report ricordano che la priorità è la sicurezza.
Nell’era del cloud e dello smart working, che ha visto un aumento esponenziale degli attacchi, questo tema non può essere affrontato con schemi classici. Serve un deciso aggiornamento della strategia che, senza tentennamenti, sposi un approccio by design in cui la sicurezza diventa intrinsecamente parte di tutti i processi legati ad app, cloud e dispositivi. Questo è possibile solo con l’unificazione di strumenti e team dei reparti sicurezza, IT e operation ed è proprio questa oggi la chiave di svolta per ogni piano di business continuity che può così assicurare un utilizzo ottimizzato di ogni punto di controllo per ottenere informazioni approfondite sulle applicazioni, sul contesto IT e sulle minacce. Questo approccio integrato e unificato descrive una sicurezza intrinseca e una chiara scelta di far collaborare team diversi in una logica SecOps che porterà nel lungo (o breve) periodo al DevSecOps. Proprio come il DevOps integra il lavoro di developer e team IT operations, il SecOps inserisce gli esperti di sicurezza nel processo permettendo loro di considerare le minacce durante l’intero ciclo di sviluppo in modo proattivo ma è solo con il DevSecOps che tutti gli aspetti critici del controllo sulle vulnerabilità del codice e delle modalità d’erogazione dei servizi possono essere considerati tutti insieme, fin dalle fasi iniziali dello sviluppo. E’ questo il tipo di approccio che la digital transformation sta rendendo necessario per garantire la business continuity e le aziende, ciascuna con i propri tempi, è questo modus operandi che dovrebbero adottare: unificato, efficace, il più sicuro possibile.
L’importanza degli strumenti per un recovery rapido ed efficace
Non discostandosi dal tema sicurezza, un altro fattore chiave per una strategia di business continuity vincente è il recovery che rappresenta uno dei tre aspetti del BCP più significativo assieme alla preventiva resilienza e alla definitiva copertura di emergenza, quando il ripristino non va a buon fine. Si tratta di un elemento così importante che spesso il piano disaster recovery va a sovrapporsi come concetto con quello di business continuity pur trattandosi di un di cui, specificamente riferito a tutti quei processi e strumenti IT necessari per mantenere o ripristinare l’accesso a dati, applicazioni e servizi mission-critical in scenari critici. Il suo scopo primario è permettere all’azienda di rispondere in modo tempestivo ed efficiente ad un attacco hacker come ad un evento estremo e per farlo deve:
- identificare dati e sistemi fondamentali per l’operatività aziendale
- classificare dati e sistemi critici in base al livello di importanza
- stabilire un Recovery Point Objective (RPO) e un Recovery Time Objective (RTO)
Nessuno può permettersi di ignorare il Disaster Recovery, i potenziali danni sono inestimabili mentre i vantaggi nel disporre di un piano sono tangibili, sia a livello di costi, sia a livello più generale di business continuity. Il recovery rapido molto dipende dalla strategia ma anche dagli strumenti utilizzati e che permettono alle aziende di tornare operative dopo un evento disastroso velocemente, come se non fosse successo nulla. Tra i più utilizzati ci sono il classico backup, non particolarmente efficace in ottica di business continuity, poiché non viene effettuato per l’infrastruttura IT, e gli snapshot, utili se la copia è conservata off-site o su una macchina virtuale non colpita dal disastro. È la virtualizzazione, però, la sola in grado di permettere anche la replica dell’intero ambiente di elaborazione su macchine virtuali off-site e l’automatizzazione di alcuni processi di Disaster Recovery, sempre per tornare operativi più rapidamente.
Garantire oggi la business continuity è diventata un’avvincente sfida in cui se da un lato c’è un continuo bisogno di identificare e conoscere nuove minacce, dall’altro c’è anche l’opportunità di adottare nuovi approcci e tecnologie, come sicurezza intrinseca e virtualizzazione, che permettono alle aziende di non darsi per vinte e guardare avanti con razionale ottimismo. Sono due frecce che ogni realtà può avere al proprio arco affidandosi ad una realtà come VMware che le ha messe anche al centro della propria offerta e degli approfondimenti proposti su CloudProvider.biz a disposizione di chi desidera conoscere tutte le più innovative opportunità per essere sempre operativo, efficace e aggiornato.