Come Creare un Efficace Disaster Recovery Plan
Tuttavia, nella sicurezza informatica, non tutti i disastri sono naturali. Molte aziende sono colpite da disastri causati dall’uomo sotto forma di attacchi informatici che corrompono i dati o rendono non funzionali risorse vitali.
Indipendentemente dal fatto che la tua azienda stia affrontando un disastro naturale o una minaccia alla sicurezza informatica, avere un piano di recupero del disastro (noto anche come “piano DR” o DRP) è una misura fondamentale per diminuire il rischio e proteggere la tua organizzazione dagli incidenti e quindi rispettare i prerequisiti del GDPR .
Cos’è un piano di recupero del disastro? Come si crea un piano di recupero del disastro efficace per la propria azienda?
- 1. Che Cos'è un Piano di Recupero del Disastro (Disaster Recovery Plan, DRP)?
- 2. Cosa Contiene un Piano di Recupero del Disastro?
- 3. Piano di Recupero del Disastro (DRP) vs Piano di Continuità Aziendale (BCP)
- 4. Fasi del Piano di Recupero del Disastro: la tua Azienda è Pronta?
- Fase 1: Controlla Tutte le Tue Risorse Informatiche
- Fase 2: Determina Cosa è "Essenziale per la Missione"
- Fase 3: Stabilire i Ruoli e le Responsabilità di Tutti nel Piano DRP
- Fase 4: Imposta i Tuoi Obiettivi di Recupero
- Fase 5: Trova una Soluzione di Archiviazione dei Dati da Remoto o Off Site
- Fase 6: Creare un Test per il Piano di Recupero del Disastro
- 5. Cosa Impariamo dall'Incidente di OVH?
- 6. Cosa Dice il GDPR
- 7. Cosa è Previsto in BL Digital
1. Che Cos’è un Piano di Recupero del Disastro (Disaster Recovery Plan, DRP)?
Un piano di recupero del disastro (DRP) è un insieme di strumenti e procedure che un’organizzazione utilizza per recuperare i dati in seguito ad una grave interruzione delle sue risorse IT.
La pianificazione del recupero del disastro può utilizzare una varietà di strumenti a seconda delle risorse esistenti e degli obiettivi di ripristino aziendale.
Quando si pianifica un recupero del disastro, il “disastro” può essere qualsiasi evento che interrompe l’accesso a dati, applicazioni o sistemi.
Ciò può includere:
- interruzioni di corrente;
- danneggiamento della memorizzazione dei dati;
- Attacchi DDoS;
- disastri naturali che interrompono le connessioni al server;
Tutto ciò che interrompe i flussi di lavoro informatici. L’obiettivo è superare il disastro della perdita dei dati e ripristinare le normali operazioni.
I piani di recupero del disastro possono persino essere efficaci nel diminuire alcune minacce alla sicurezza informatica. Ad esempio, la configurazione di un DRP può essere molto efficace nel contrastare un attacco ransomware. Con il backup remoto, puoi semplicemente ripristinare i dati danneggiati invece di dover pagare un criminale informatico per la chiave di crittografia, non siamo Bill Gates!
2. Cosa Contiene un Piano di Recupero del Disastro?
I DRP spesso (ma non solo) integrano quanto segue:
- Obiettivi del punto di ripristino (RPO). Questa è una misura della quantità accettabile di dati che possono essere persi durante i tentativi di ripristino. Questo è controllato regolando la frequenza dei backup dei dati.
- Obiettivi del tempo di recupero (RTO). Questa è una stima del tempo necessario per riprendere le normali operazioni dopo un evento disastroso. Gli RTO più veloci generalmente richiedono più risorse di quelli più lenti.
- Backup dei dati remoti. La creazione di un backup secondario off site dei dati più importanti è al centro di qualsiasi soluzione di recupero del disastro.
- Tabella o grafica delle responsabilità. Chi è responsabile dell’implementazione di un piano di recupero del disastro? L’assegnazione di ruoli e responsabilità in un Accountability Board semplifica il monitoraggio e l’applicazione di un piano in modo rapido e coerente.
- Test del piano DR. I piani di recupero del disastro richiedono spesso test frequenti per garantire che gli RTO e gli RPO possano essere soddisfatti in una reale emergenza.
3. Piano di Recupero del Disastro (DRP) vs Piano di Continuità Aziendale (BCP)
Quando si ricercano soluzioni di recupero del disastro, non è raro imbattersi nel termine “piano di continuità aziendale” (Business Continuity Plan ,BCP). In effetti, i due termini sono spesso confusi. Tuttavia, sebbene il recupero del disastro sia una parte importante della pianificazione della continuità aziendale, i due termini non sono gli stessi.
La pianificazione della continuità aziendale si concentra principalmente sul mantenimento delle operazioni nonostante le interruzioni. Il Recupero del disastro riguarda il recupero dei dati da tali interruzioni. Quindi, in generale, i piani di continuità aziendale tendono ad essere più dispendiosi in termini di risorse rispetto ai piani di ripristino del disastro.
Ad esempio, quando un piano DRP si può collegare ad un server di backup dei dati remoto per archiviare copie di dati critici, un piano BCP potrà avere un ambiente di produzione di backup completo che riflette l’intero server di produzione attivo. Questo ambiente di backup può essere riattivato non appena si verifica un disastro per subentrare in modo quasi trasparente in modo che gli altri non si accorgano del tempo di inattività.
Inoltre, i piani di continuità aziendale possono richiedere misure specifiche di gestione delle minacce per prevenire in primo luogo potenziali disastri. Per le organizzazioni che dispongono delle risorse, la configurazione di un piano BPC/ DPR completo può essere più costosa rispetto a una soluzione di ripristino di emergenza più semplice.
4. Fasi del Piano di Recupero del Disastro: la tua Azienda è Pronta?
Di seguito sono riportati alcuni semplici passaggi che puoi eseguire per creare un piano di recupero del disastro efficace per la tua azienda:
Fase 1: Controlla Tutte le Tue Risorse Informatiche
Prima di poter pianificare un ritorno alla “normalità”, è necessario sapere come si presenta la routine per la proprie aziende. Parte di questo è sapere quali sono tutte le diverse risorse presenti nell’infrastruttura di rete della tua azienda.
Creando un inventario di tutte le risorse informatiche della vostra rete e dei dati contenuti in ciascuna risorsa, è possibile iniziare a consolidare e semplificare gli elementi per facilitare il backup e il recupero delle informazioni in futuro.
Fase 2: Determina Cosa è “Essenziale per la Missione”
È probabile che la tua azienda stia elaborando e archiviando molti più dati di quanto potresti pensare e molti di questi dati sono ridondanti o non molto importanti per il funzionamento. Durante l’audit delle tue risorse informatiche, probabilmente ti imbatterai in molti set di dati che non sono così importanti.
Se si tenta di copiare ogni bit di dati da ogni risorsa informatica sulla rete a un server di backup, la gestione richiederà molta potenza di elaborazione. Ordinando i dati non necessari o ridondanti, è possibile ridurre le dimensioni del file di backup che è necessario creare, risparmiando spazio di archiviazione e spese in un secondo momento.
È anche un’opportunità per esercitare una buona pulizia dei dati rimuovendo i file non necessari dagli endpoint in cui non è necessario archiviarli.
Fase 3: Stabilire i Ruoli e le Responsabilità di Tutti nel Piano DRP
Ogni dipendente dell’organizzazione dovrebbe avere un ruolo da svolgere nel piano di recupero del disastro. Anche qualcosa di semplice come segnalare minacce alla sicurezza informatica lungo la catena di comando a qualcuno con più esperienza o know-how per implementare il piano DRP può rivelarsi importante.
Quando tutti sanno cosa fare in caso di emergenza, il tuo piano DRP sarà più efficace di quanto sarebbe se nessuno sapesse cosa fare in caso di disastro.
Fase 4: Imposta i Tuoi Obiettivi di Recupero
Quanto velocemente la tua azienda dovrebbe essere in grado di riprendersi da un disastro? Quanti (e quali) dati puoi permetterti di perdere in un disastro? La definizione del punto di disastro e degli obiettivi di tempo di ripristino può essere cruciale in un piano di recupero del disastro efficace.
Potresti anche assicurarti di dare la priorità ad alcuni dati rispetto ad altri quando si tratta dei tuoi RPO e RTO. Ad esempio, ai dati meno importanti a cui non è necessario accedere immediatamente, può essere assegnata una priorità inferiore, con un tempo di recupero più lungo e senza dare la priorità a backup frequenti per tali informazioni.
D’altro canto, i dati essenziali per la missione, come i dati finanziari necessari per la contabilità fornitori e crediti, oi dati richiesti per la conformità normativa, dovrebbero ricevere RPO e RTO molto più rigorosi per ridurre al minimo i rischi. Ciò potrebbe significare eseguire backup frequenti di queste informazioni o addirittura impostare un piano DRP con un server di produzione di backup da sostituire al server primario in caso di disastro.
Fase 5: Trova una Soluzione di Archiviazione dei Dati da Remoto o Off Site
Quando la tua azienda viene colpita da un disastro che distrugge la tua soluzione di archiviazione dati primaria, quei dati possono andare persi per sempre se non hai una sorta di backup remoto.
Ad esempio, supponiamo che un attacco ransomware colpisca la tua azienda e che tutti i dati nel database principale siano crittografati. Se si dispone di un backup remoto di tutti i dati di questo database, è possibile semplicemente riformattare le unità danneggiate e ripristinare i dati dal backup. Anche se ci vuole tempo, è meglio che perdere tutte le informazioni che hai. Inoltre, pagare un riscatto non significa necessariamente che i criminali ti forniranno effettivamente la chiave di crittografia per ripristinare i tuoi dati.
Inoltre, se le risorse che archiviano i dati sono danneggiate fisicamente, ad esempio da incendi, inondazioni o alterazioni fisiche, è possibile utilizzare i dati archiviati nel backup per coprire la perdita. Questo aiuta a ridurre al minimo le interruzioni dell’attività.
In questo momento, lo standard di riferimento per il backup remoto dei dati sarebbe una soluzione basata su cloud in grado di scaricare e copiare automaticamente i dati ogni pochi giorni (o anche ogni poche ore). A differenza dei vecchi metodi di backup manuale che richiedono agli utenti di copiare i dati su un disco o un’unità USB, i backup tramite una soluzione cloud possono essere eseguiti in qualsiasi momento e senza dover estrarre un pezzo di supporto fisico.
Tuttavia, i backup dei supporti fisici, sebbene più lenti e pesanti da distribuire, sono anche più facili da isolare dai sistemi infetti mantenendoli offline fino al momento del bisogno. Questo li rende meno probabili essere danneggiati da ransomware e altri malware rispetto all’archiviazione su cloud che si aggiorna automaticamente.
Naturalmente, esistono soluzioni più sicure rispetto alla semplice archiviazione dei dati. Alcune aziende che offrono soluzioni di recupero del disastro dispongono di ambienti di cloud computing completi in grado di gestire il traffico quando la rete principale non funziona per ridurre al minimo le interruzioni.
Fase 6: Creare un Test per il Piano di Recupero del Disastro
Creare un piano di recupero dal disastro per la tua azienda è una cosa; un’altra è sapere se funzionerà quando ne avrai bisogno. Per questo motivo, è essenziale disporre di un metodo per testare periodicamente il piano di recupero del disastro, come un’esercitazione antincendio.
Quando crei questo test, considera quanto segue:
- Punti di Fallimento Singolari. Esistono sistemi privi di ridondanza nel piano di recupero? Se questi singoli punti di errore sono problematici, puoi continuare con il tuo piano di recupero?
- I Tempi di Recupero. Quanto tempo occorre dall’inizio del test per ripristinare la funzionalità minima? Quanto tempo ancora prima che le cose tornino alla normalità? Prendi in considerazione questi tempi di recupero e scopri come renderli più veloci.
- Punto di Recupero. Quanti dati sono stati persi durante il passaggio al backup remoto? I dati persi erano in qualche modo fondamentali per le tue operazioni? Il controllo dei punti di recupero è importante per evitare la perdita di dati durante un vero disastro.
- Il Tipo di “Disastro” Simulato. Stai eseguendo un test che presume che i tuoi dati di rete siano danneggiati o che i dati siano inaccessibili a causa di danni alle risorse del tuo ufficio / data center? Considera in che modo diversi tipi di disastri possono influire sulle tue opzioni e esigenze di recupero. Ciò ti aiuterà a creare un piano di recupero del disastro più solido ed efficace.
Considerare quanto riportato sopra durante la creazione di un test può aiutarti a trovare modi per migliorare il tuo piano di recupero del disastro a lungo termine, rendendo così la tua azienda più resiliente di fronte a disastri di ogni tipo.
Alcune aziende offrono DRaaS (Disaster Recovery as a Service) per aiutare le aziende a creare e gestire i propri piani di recupero del disastro. La qualità e l’affidabilità dei servizi DRaaS possono variare da fornitore a fornitore, quindi è importante verificare questi servizi prima di registrarsi.
5. Cosa Impariamo dall’Incidente di OVH?
Il disastro del data center OVH dimostra perché i piani di recupero del disastro e i backup sono fondamentali.
È diventato presto evidente che non tutte le società disponevano di un piano di recupero del disastro sufficiente: le amministrazioni francesi e molte grandi aziende ancora offline al momento della scrittura, più di 24 ore dopo.
Molte le incomprensioni e le confusioni da parte delle sue aziende che probabilmente si sono affidate al backup ospitato direttamente nella stessa infrastruttura senza creare un’ulteriore copia dei dati.
E questa è forse una delle più grandi lezioni che le aziende possono imparare dall’evento che ha avuto luogo a Strasburgo ieri. Nonostante tutti i vantaggi del cloud computing, le aziende continuano a fidarsi di un’unica infrastruttura, risparmiando sui propri processi, motivo per cui è così importante disporre di un solido piano di recupero del disastro, inclusi i backup dei dati.
Tuttavia, esistono bravi allievi che hanno messo in pratica le fasi sopra elencate e sono stati in grado di rispondere efficacemente a questo incidente: come mostra l’esempio di Axeptio, che dalle 8:50 ha rimesso a posto la sua infrastruttura, informando rapidamente i propri clienti.
@axeptio_eu is back to business. On a remonté l’infra sur @AWSFrance.
— Romain Bessuges-Meusy (@rbessuges) March 10, 2021
6. Cosa Dice il GDPR
Dal 25 maggio 2018, data di entrata in vigore del GDPR, è necessario, al fine di ottemperare alla normativa in materia di protezione dei dati personali:
“Eseguire backup regolari per limitare l’impatto di una perdita indesiderata di dati. Se il rischio zero non esiste nell’informatica, è necessario adottare le misure necessarie per garantire la migliore sicurezza possibile dei dati. Sei infatti vincolato dall’obbligo legale di garantire la sicurezza dei dati personali in tuo possesso.
In questo modo assicuri l’integrità del tuo patrimonio di dati riducendo al minimo il rischio di una loro perdita o di pirateria informatica.
Le azioni da intraprendere, informatiche o fisiche, dipendono dalla sensibilità dei dati che stai elaborando e dai rischi per le persone in caso di incidente. “
CNIL, Garante della Privacy Francese
Cosa dicono gli avvocati esperti come lo Studio Legale Lisi:
“Nell’ambito del generale principio di accountability introdotto dall’art. 22 del GDPR, si prevede espressamente che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al Regolamento.
[…]La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
GDPR: sicurezza del trattamento e resilienza – Studio Legale Lisi
[…] Sicurezza del trattamento è anche Business Continuity […],la capacità di mantenere funzionanti i propri processi di business, i servizi, i sistemi ed anche il capitale umano, malgrado il manifestarsi di situazioni naturali o intenzionali umane avverse, pur ammettendo performances differenti rispetto la normale operatività.
[…] il piano di recupero da situazioni di disastro – DRP (Disaster Recovery Plan), ovvero il processo documentato per recuperare una infrastruttura IT in caso di disastro (naturale o intenzionale umano)
E’ fuor di dubbio che in tale contesto, disporre di un BCP agevola l’adeguamento al Regolamento nel pieno ossequio del generale principio dell’accountability del Titolare del trattamento che ben potrà far leva sulle practices di Business Continuity…“
È una responsabilità dell’amministratore dell’azienda garantire la continuità dei servizi anche al fine di non contravvenire ad obblighi contrattuali stabiliti con terzi. Un DRP non è quindi una opzione.
In sintesi una organizzazione deve pertanto disporre di un team di recovery per creare un piano di emergenza a seguito di un sinistro che sia comprensivo dell’identificazione e valutazione dei rischi, della definizione dei processi critici e delle procedure di emergenza da mettere in atto.
Creare e mettere in atto un Disaster Recovery Plan non è banale. Il piano deve essere semplice da comprendere e da implementare e personalizzato per le specifiche esigenze dell’organizzazione.
Il DPR deve essere costantemente mantenuto e testato per preparare l’organizzazione a far fronte ad un potenziale sinistro.
7. Cosa è Previsto in BL Digital
In BL Digital abbiamo già redatto il nostro Business Continuity Plan e il nostro Disaster Recovery Plan.
In caso di sospensione del tuo sito web, garantiamo una rapida implementazione del tuo ultimo backup secondo le scadenze indicate nel piano di manutenzione a cui ti sei iscritto.
Tutti i tuoi dati sono ospitati in un cloud crittografato in triplice copia (ridondanza).
- Blog
- CyberSecurity
- Dati Personali
- SEO
- Tecnologia
- Blog
- CyberSecurity
- Dati Personali
- SEO
- Tecnologia
Code my Crown di DOVE: Pioniere della Diversità dei Tagli Afro nel Mondo dei Videogiochi
I Migliori WordPress Plugin Codice Sconto Halloween 2023
