84 mila dollari di perdita per ogni ora di inattività. È quanto rischia, secondo IDC, chi non fa un piano di disaster recovery (DR) adeguato. Non importa se la causa sia un attacco malware, un’interruzione elettrica, una calamità naturale o un errore umano, e neppure se la cifra calcolata da IDC sia esatta (Gartner, ad esempio, parla di una media di 300 mila dollari di perdita per ogni ora di inattività). Quello che è certo è che, quando si verificano downtime improvvisi non seguiti da un ripristino immediato dell’attività, i costi derivanti dalla perdita di dati tendono a crescere man mano che il tempo di fermo si dilata. Per questo motivo, il disaster recovery implementato in un’azienda deve essere sempre associato a una strategia di business continuity (BC).
Disaster recovery e business continuity: a che punto sono le aziende italiane?
Il disaster recovery interviene nel caso di eventi che possano compromettere il normale funzionamento dell’infrastruttura tecnologica, mentre la business continuity garantisce il mantenimento dei livelli produttivi ritenuti essenziali da un’organizzazione. In quanto tale, la BCDR va adottata non soltanto in caso di incidenti, ma ogni qual volta sia necessario evitare un arresto dell’operatività quotidiana (si pensi a un semplice trasloco degli uffici). Le policy di disaster recovery, poi, rientrano nel più vasto campo delle soluzioni di information security & privacy. Secondo gli ultimi dati dell’omonimo Osservatorio della School of Management del Politecnico di Milano, soprattutto le grandi imprese stanno investendo in cyber security, in particolare per conformarsi al GDPR, il nuovo regolamento europeo in materia di trattamento dei dati personali. Investimenti abbinati a strumenti di business continuity & disaster recovery, network security, endpoint security, application security e penetration test. Anche le PMI, che manifestano una diffusa difficoltà a dotarsi di soluzioni complete di information security, hanno avviato progetti di compliance al GDPR, quale motivazione principale per rispondere alle loro esigenze di BCDR.
Dal GDPR una spinta alla disaster recovery
e aziende di tutte le dimensioni hanno dovuto destinare parte del proprio budget per adeguarsi al GDPR, entrato in vigore dal 2018. Vista la centralità che il regolamento ha assunto, è bene ricordare i rischi a cui si espone chi si sottrare agli obblighi previsti. A proposito di disaster recovery, l’art. 32, fra l’altro, raccomanda esplicitamente che le organizzazioni dimostrino:
- capacità di assicurare permanentemente riservatezza, integrità, disponibilità e resilienza dei sistemi;
- capacità di ripristinare tempestivamente disponibilità e accesso dei dati personali;
- di avere una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate.
Quelle che non si attengono a quanto prescritto rischiano d’incorrere in sanzioni molto salate, che possono arrivare fino ai 20 milioni di euro e al 4% del fatturato annuo globale. Il Garante per la protezione dei dati personali dovrebbe promuovere modalità semplificate di adempimento degli obblighi per le micro, piccole e medie imprese, ma questo non esclude che alle PMI “recidive” possano essere comminate sanzioni assai onerose, in assenza di misure di BCDR che attenuino il rischio di data breach.
Affrontare i rischi del downtime e delle sanzioni con il Disaster recovery as a Service
I due rischi richiamati in precedenza, per chi non adotta un piano di disaster recovery, riguardano sia i costi che deve sostenere un’azienda impossibilitata ad attingere, anche per poco, a dati e sistemi critici, sia le pene pecuniarie per non aver messo in atto “misure tecniche e organizzative” idonee a contrastare efficacemente il pericolo di manomissione, alterazione o smarrimento dei dati, causato da intrusioni di cyber attack, incidenti o errore umano.
Per fortuna è lo stesso Osservatorio Information Security & Privacy a indicare la strada su cui si sta orientando il 71% del campione italiano coinvolto: la Cloud Security. Una risposta che, grazie al Disaster recovery as a Service (DRaaS), si presta a livelli di granularità e personalizzazione molto elevati, venendo incontro alle esigenze di imprese di tutte le dimensioni e, quindi, con capacità di spesa differenti. Il DRaaS è, in sostanza, un servizio in Cloud che assicura un piano operativo completo di BCDR in outsourcing prevedendo processi di disaster recovery a prova di interruzioni e GDPR.
Scritto da Luigi Capuano – Cloud Architect & Development Manager
{{cta(‘1c4ffef1-b213-48f3-bb0c-a42cb0ca5cbb’,’justifycenter’)}}
