Le imprese prendono molti rischi calcolati. Si valutano i pro e i contro e si fanno delle scelte. Entrare o meno in un dato mercato, stringere una partnership con un’altra organizzazione, chiedere un prestito per portare un determinato prodotto sul mercato sono tutte scelte proattive che un’azienda può decidere di portare avanti. Tuttavia, non tutto ciò che accade all’interno delle organizzazioni è controllabile senza un’adeguata pianificazione e preparazione. In un momento in cui i tempi morti sono inaccettabili, la continuità del business è fondamentale.

Alcuni rischi non sempre vengono affrontati; tra questi, quello che facilmente può esser messo da parte è la creazione e la gestione di una policy stringente di continuità aziendale. Un framework di questo tipo copre varie situazioni, indicando come comportarsi se le linee telefoniche vanno giù, se la catena di approvvigionamento si interrompe improvvisamente o se la rete IT è vittima di un cyberattacco esterno, come una minaccia ransomware, o di un problema interno, come il sabotaggio da parte di un dipendente.

Mettere insieme un piano per queste eventualità non comporta quasi nessun rischio, solo un investimento di tempo, ma porterà inevitabilmente a un guadagno significativo. E quando si tratta di pianificare la continuità aziendale sotto l’aspetto della sicurezza informatica, perché un’azienda non dovrebbe volerne approfittare, in particolare considerando un così preoccupante panorama delle minacce? Basta guardare la crescita continua degli attacchi ransomware, che, come ha sottolineato Sophos nel suo rapporto The State of Ransomware 2021, sono stati responsabili del 79% delle azioni di risposta rapida nel 2020/21, per dare un’idea della portata della minaccia.Alcune aziende non affrontano il problema, perché lo considerano troppo difficile. Semplicemente, non sanno da dove cominciare. Ma in realtà, sviluppare un framework o un piano di continuità aziendale significa lavorare attraverso una serie di processi, raccogliere informazioni e assicurarsi di aver coperto tutte le basi. Mettendo in piedi una simile struttura, il compito si riduce poi a regolare monitoraggio e revisione. Lo sviluppo di un framework e di un piano è responsabilità del Chief Information Officer, che lavorerà insieme ad altro personale chiave all’interno dell’organizzazione.

Impostare un piano di continuità aziendale

I primi passi nella definizione di un piano di continuità aziendale legato al cyber ruotano intorno alla comprensione di ciò che dovrebbe includere - e cioè ogni singolo aspetto della tecnologia che viene utilizzata all’interno dell’azienda. Una parte fondamentale del piano è un inventario di ogni elemento della configurazione tecnologica utilizzata dalla vostra organizzazione. Tutte le attrezzature IT, compresa la parte hardware - come computer portatili e telefoni - e tutti i software, sia quelli basati sul cloud sia quelli in-house.

Non limitatevi a elencare gli elementi, ma assicuratevi di conoscere i fornitori, gli accordi sul livello di servizio (SLA) e qualsiasi accordo per la fornitura alternativa in caso di interruzioni. Se non ci sono accordi per tale fornitura, chiedete il perché e, se pensate che dovrebbero esistere, metteteli in atto. Assicuratevi che tutte le informazioni di contatto necessarie per invocare qualsiasi misura speciale siano registrate e possano essere accessibili se il sistema informatico non funziona. Immaginate quanto sarebbe frustrante sapere che le informazioni di cui avete bisogno sono registrate, ma non raggiungibili.

Anche se si sono prese tutte le accortezze del caso nel predisporre un piano di continuità aziendale, il peggio potrebbe ancora accadere e per tornare al “business as usual” potrebbe volerci qualche giorno o anche di più. Per questa ragione, il piano dovrebbe includere alcune misure pratiche per andare avanti in questo tipo di situazione, stabilendo quali sono i vostri servizi assolutamente critici e come potete continuare a fornirli. Se alcuni processi possono ritornare ai sistemi cartacei, li avete impostati in modo tale che le persone possano iniziare a usarli immediatamente?

Il processo di disaster recovery

Sapere cosa avete a disposizione, chi ne è responsabile, come recuperare gli elementi recuperabili e quali sistemi potete continuare a far funzionare nell’immediato è fondamentale per un forte piano di continuità aziendale. Inevitabilmente per molte aziende, un pilastro centrale per la ripresa post-crisi sarà il ripristino dei servizi e dei sistemi IT. Al centro del piano di continuità aziendale dovrebbe perciò esserci un processo di disaster recovery altamente efficiente, perché potreste aver bisogno della capacità di ripristinare un ambiente diverso nel caso in cui la vostra sede principale sia inaccessibile.

Potreste aver bisogno di un sistema di ripristino incrementale che metta in funzione prima i sistemi e i dati critici e poi quelli secondari. Avrete certamente bisogno di garanzie dal vostro provider che il disaster recovery possa riportare i sistemi in linea il più velocemente possibile e che qualsiasi malware che possa facilitare ransomware e altri cyberattacchi non venga ripristinato con tutto il resto.La grande sfida da affrontare quando si tratta di pianificare la continuità aziendale in realtà non ha a che fare con la pianificazione e la messa in atto dei giusti processi. Sì, ciò richiede tempo e risorse, ma le procedure e i processi necessari sono ben documentati ed è possibile avvalersi di un aiuto professionale rivolgendosi a organizzazioni esterne specializzate. La sfida per i CIO e gli altri responsabili della pianificazione della continuità aziendale è che tali piani sono spesso testati solo quando sono necessari. A quel punto, se ci sono dei difetti, è troppo tardi per porvi rimedio.

Ci sono due modi per affrontare questo problema. Il primo è quello di stabilire la regola secondo cui, ogni volta che viene aggiunto un nuovo elemento tecnologico o che avvengono cambiamenti o aggiornamenti, il piano di continuità aziendale va rivisto in modo che sia le procedure interne sia gli impegni SLA possano essere controllati. Inoltre, dovrebbero essere inserite nel programma generale di revisione del board aggiornamenti regolari e completi.

Il secondo modo per assicurarsi che un piano di continuità aziendale sia adatto allo scopo è quello di fare delle simulazioni. Gli esercizi scritti sulla carta sono una cosa, ma provare un piano per davvero è un’altra. I vostri fornitori e rivenditori di tecnologia possono aiutarvi a gestire tali simulazioni, in particolare in termini di infrastrutture tecnologiche critiche e di disaster recovery. Alcuni saranno più preparati di altri e alcuni avranno piani di recupero già pronti e runbook che mostrano il modo migliore per migliorare la continuità del vostro business.

Una volta completato un test, l’organizzazione dovrebbe rivedere come è andato e aggiornare il piano di conseguenza. È probabile che alcune parti del piano vadano bene, ma che altre azioni richiedano più lavoro. Un programma regolare per i test è utile, specialmente se l’azienda cambia frequentemente le sue operazioni, i fornitori e il personale. La continuità aziendale completa va sottoposta a continui test, revisioni e aggiornamenti.

Inevitabilmente, la pianificazione della continuità aziendale crea un carico di lavoro aggiuntivo. Ma è un carico di lavoro importante. Un solido piano di continuità aziendale può aiutare la vostra azienda a continuare la sua attività anche di fronte alle difficoltà e sentirsi sicura che le sfide saranno affrontate nel più breve tempo possibile. La pianificazione della continuità aziendale di per sé non richiede l’assunzione di alcun rischio, ma può offrire un vantaggio significativo.

Manlio De Benedetto è Director System Engineering di Cohesity