Eventi negativi o disastrosi possono colpire qualsiasi business, causando serie perdite finanziarie o perfino la chiusura definitiva dell’impresa. Sopravvivere ad uno di questi eventi richiede pianificazione.
Non si tratta soltanto di catastrofi fisiche, quali incendi, inondazioni e furti di attrezzature. Un’importante perdita di dati può essere altrettanto dannosa. Può derivare sia da un problema hardware o da un malware che porta alla perdita delle informazioni su un disco.
Il ransomware è diventato un rischio temibile negli ultimi anni. Cripta i dati sui computer e sulle copie di backup e poi chiede un pagamento per ottenere il codice necessario a ripristinare i file. Il pagamento però non sempre garantisce il recupero dei file alterati.
La maggior parte delle piccole imprese non ha un piano di ripristino in caso di disastro. Secondo uno studio condotta da una compagnia di assicurazione statunitense, soltanto il 18 per cento delle imprese statunitensi con meno di 50 dipendenti ha un piano di ripristino. Il report stima che il 25% delle imprese non riapre dopo un disastro.
Le piccole imprese sopportano un rischio maggiore dal momento che la perdita di un server non farà sparire una grossa società, ma potrebbe rovinare una piccola attività. Avere un piano di ripristino migliora significativamente le possibilità di sopravvivenza.
L’assicurazione può coprire i costi di sostituzione dei beni fisici andati persi, ma i soldi non sono in grado di ripristinare i dati persi. Sostituire un computer implica la configurazione del software e dei dati della vecchia macchina, operazione che può risultare ardua se si viene colti impreparati.
La buona notizia è che ci sono modi convenienti per le piccole imprese per proteggere i dati da una perdita catastrofica e riprendere a lavorare velocemente.
Quanto bisogna essere preparati?
Un piano di recupero dati deve essere coerente con i bisogni dell’impresa. Un’attività con pochi dipendenti non può fare tutto, ma è meglio avere un piano per le emergenze (Contingency Plan) che non averne affatto.
Le due questioni fondamentali sono: quanto velocemente si può tornare alla normale operatività e quanti dati ci si può permettere di perdere.
Una piccola impresa solitamente ha più margine di manovra nel riprendere l’attività che una grande azienda. Se un importante sito internet come quello di Amazon o Facebook smettesse di funzionare per un’ora, la notizia sarebbe su tutti i giornali, costerebbe milioni alla società e causerebbe malcontento tra un gran numero di utilizzatore delle piattaforme. Quando invece smette di funzionare il sito di una piccola realtà, le conseguenze non sono solitamente troppo serie. La situazione potrebbe protrarsi per un paio giorni a patto che le persone interessate sappiano che si sta lavorando per risolvere il problema e che tutto verrà ripristinato nel più breve tempo possibile.
La quantità di dati persi è un aspetto più critico. Se si perdono tutte le transazioni registrate nell’ora precedente il disastro è probabile che vengano persi ordini, pagamenti e altre transazioni. Ricostruire le registrazioni è complicato e i reclami per ordini non evasi sono negativi per il business.
I parametri tecnici per quantificare questi due fattori sono il Recovery Point Objective (RPO) e il Recovery Time Objective (RTO). Una buona spiegazione dei due concetti, in breve, potrebbe essere:
– il RPO è il periodo di tempo massimo in cui ci si può permettere di perdere dati. Se si ha un RPO di un’ora, allora dovrà essere fatto un backup dei dati almeno ogni ora.
– il RTO è il tempo Massimo accettabile per riprendere l’attività.
I disastri causano caos, quindi non si può essere sicuri delle tempistiche, ma è necessario fissare degli obiettivi. Se si decide che 4 ore è il tempo massimo di downtime che l’impresa si può permettere, quello sarà il suo RTO e il piano di ripristino dovrà avere alte probabilità di riportare in funzione il sistema entro questo lasso di tempo.
Elaborare un piano di ripristino
Una piccola impresa ha bisogno di un piano di ripristino con un costo ragionevole. Fortunatamente ci sono una serie di opzioni a basso costo. Un piano deve soddisfare due requisiti principali:
– deve essere fatta una copia di backup di tutti i dati importanti in una postazione remota, che deve essere aggiornata frequentemente. Almeno una copia di backup deve essere offsite dal momento che un disastro potrebbe colpire le copie in loco.
– ci dovrebbe essere un modo efficiente per mettere in funzione un sistema che sia equivalente a quello fuori uso. Dovrebbe avere gli stessi software e i dati più recenti.
È probabile che un’impresa utilizzi un servizio ospitato su un server remoto. Mantenere i server nei propri uffici è troppo rischioso. È un onere in termini di manutenzione anche nel caso non succeda nulla di catastrofico e rende più difficile rimettere insieme i pezzi nel caso un disastro colpisca l’ufficio.
Le imprese più tecnologiche spesso hanno un server dedicato in un datacenter. Altre imprese utilizzano più probabilmente un piano di hosting, che riduce significativamente l’onere di pianificare misure per affrontare possibili disastri.
Il piano di hosting può prevedere l’attribuzione di parte di una specifica macchina, condividendone la capacità con altri clienti e mantenendo nel contempo privati la propria contabilità e i propri dati. Si parla in questo caso di hosting condiviso. Alternativamente, si può optare per il cloud hosting, dove si ha una macchina virtuale non legata ad uno specifico hardware. Il cloud hosting è il sistema più sicuro contro i disastri dal momento che non dipende da nessuna macchina. Se si ha un buon cloud host con vari datacenter, il ripristino del server in caso di disastro è incorporato.
Utilizzare un buon datacenter per il server è molto più sicuro in caso di disastro fisico rispetto alla media degli uffici. Bisogna assicurarsi che vengano fatti backup frequenti in una posizione diversa da quella del server.
Anche nel caso in cui il server è remoto, l’impresa avrà probabilmente computer essenziali per le proprie operazioni in loco. Ci possono essere dei desktop e il magari la telefonia è basata sul Voip. Anche questi devono quindi essere parte del piano di ripristino.
Se un desktop contiene informazioni importanti che non sono salvate altrove, deve essere fatta una copia di backup. Ripristinare i file velocemente è meno urgente rispetto al ripristino del server. Un backup automatico su cloud sarà sufficiente a proteggere i file efficacemente. È importante però non lasciare che informazioni essenziali per il ripristino siano salvate soltanto su una macchina.
Backup offsite
Sono disponibili molti servizi affidabili per il backup dei file offsite. È un buon punto di partenza, ma il ripristino in caso di disastro richiede di più. È necessario ripristinare il server ad uno stato in cui ci sia lo stesso sistema operativo, server e database. Ripristinare un sistema da zero richiede troppo tempo e le probabilità di perdere qualcosa o avere problemi di compatibilità è alta.
Il miglior modo per assicurare il ripristino dell’intero sistema è quello di salvare un’immagine della macchina virtuale del server. Si tratta di una copia dell’intero sistema operativo, il software, gli account degli utenti, i file dati e quant’altro sia rilevante. Può essere ripristinata su qualsiasi hardware compatibile. Un’immagine di sistema può avere una dimensione di molti gigabytes, per cui c’è bisogno di abbastanza spazio di archiviazione offsite per salvarla. Per ripristinarla potrebbe inoltre occorrere molto tempo.
Dal momento che un’immagine di sistema è enorme, non si può mantenerla aggiornata al minuto. Dovrà essere abbastanza recente da riflettere il software e la configurazione attuali. In aggiunta include un file di backup incrementale che copia regolarmente i file che sono stati modificati nell’archivio offsite. La maggior parte del software di backup è abbastanza smart da copiare soltanto le parti di file che sono state modificate, in modo da mantenere aggiornati grandi database senza ritardi. Il tempo tra gli aggiornamenti non deve essere maggiore del RPO.
Una volta elaborato il piano di backup, funzionerà in autonomia. Tuttavia è necessario fare dei controlli periodici spot per assicurarsi che sia in funzione. Bisogno prestare attenzione alle notifiche del proprio provider del servizio. Qualora venga terminato il servizio, notifichi che è stato raggiunto il limite di spazio o che non è in grado di fare il backup, è essenziale risolvere il problema immediatamente.
Con macchine desktop, il backup dei file può essere sufficiente. Poter recuperare i documenti importanti è fondamentale, ma probabilmente non importa se la configurazione di sistema è la stessa o meno.
Ripristino
Fare un backup completo del server è utile soltanto se lo si può far funzionare su hardware entro il RTO stabilito o prima. Se i computer hanno subito delle perdite di dati a causa di problemi software (es. ransomware), si potrebbe essere in grado di ripulire completamente il disco e ripristinarlo sullo stesso hardware. Bisogna assicurarsi di aver eliminato la causa e che la stessa non sia ancora in agguato da qualche parte nella rete, o si avrà una ricaduta immediata.
In caso di ransomware, pagare il riscatto non ci da la garanzia che il problema non ricapiti visto che ci verrà fornita solo la chiave per decriptare i dati ma non la pulizia del disco che contiene il malware.
Il primo passo è quello ripristinare l’immagine di sistema e assicurarsi che funzioni. Poi si possono ripristinare anche i file di backup. Se tutto procede nel modo giusto si avrà un sistema funzionante.
Se l’hardware del server è rotto o mancante a causa del disastro, il problema è più grave. Come ricordato sopra, se il server è di proprietà e si trova nei propri uffici, si dovranno recuperare pezzi di ricambio compatibili prima di procedere al ripristino. Stesso discorso se il server è presso un datacenter ed è di proprietà.
Se si prende in affitto hardware presso un datacenter, spostare il contratto su un’altra macchina non dovrebbe essere complicato a meno che non abbia problemi tutto il datacenter, nel qual caso sarà necessario trovare un’altra location per ripristinare le operazioni. Si tratta però di un caso raro.
Se si usa un hosting condiviso o su cloud, la situazione è più semplice. Il servizio di hosting dovrebbe essere in grado di configurare un altro host velocemente e ripristinare su di esso l’immagine di sistema.
Cloud failover
Se nessun tempo di downtime è accettabile, esiste un’opzione che permette un ripristino molto rapido. Si tratta del cloud failover. Con questo approccio, si ha un server cloud di riserva su cui caricare l’immagine di sistema e i file più recenti. Si può tornare operativi in pochi secondi, anche se forse con una potenza di calcolo inferiore rispetto al solito.
La parte difficile è farlo sembrare come lo stesso server su internet. Il server pubblico, ovunque sia, è identificato su internet dal suo indirizzo IP, una sequenza di quattro numeri come ad esempio 2.21.5.18. Un server non può semplicemente dichiarare il proprio indirizzo IP su internet, ma lo deve ottenere dal provider a monte.
Il provider è ciò che concretamente gestisce il failover. Sia il server regolare che quello di failover devono necessariamente connettersi alla rete attraverso di esso e bisogna fare in modo che l’indirizzo IP venga spostato sul server failover quando quello di default non risponde. Ciò rappresenta una complicazione e un costo extra, ma elimina quasi completamente il downtime. Potrebbe essere la scelta giusta per una piccola impresa che necessità di fornire un servizio continuativo.
Failover e HA on Premise
Se nessun tempo di downtime è accettabile e il server è negli uffici aziendali, è necessario prevedere una ridondanza degli apparati attivi che permette di poter replicare la configurazione hardware presente e che permette un ripristino molto rapido. Con questo approccio, si ha un server di riserva su cui caricare l’immagine di sistema e i file più recenti. Si può tornare operativi in pochi minuti.
La parte difficile è prevedere la ridondanza di tutti gli apparati che si vogliono proteggere. Quindi ad esempio sarà necessario avere un secondo Host su cui ospitare le macchine virtuali, un secondo Storage su cui è presente una immagine aggiornata di tutto il sistema e così via. Ovviamente questa configurazione comporta un costo extra rispetto all’architettura di base prevista, ma elimina quasi completamente il downtime. Potrebbe essere la scelta giusta per una media impresa che necessità di fornire un servizio continuativo.
Controllo del ripristino
Un piano che non è stato testato non ispira molta fiducia. È difficile fare un test completo end-to-end di un piano di ripristino, ma qualunque test può aiutare. Un test su base annuale potrebbe per esempio rivelare serie mancanze su cui intervenire.
Si può fare un controllo completo del ripristino su un sistema alternativo senza sovrascrivere il server principale o senza mandare online pubblicamente il server di test. Noleggiare un server o utilizzare un server virtuale su cloud sono entrambe soluzioni convenienti.
Testare un piano di ripristino non è una scienza esatta, ma è meglio effettuare qualche test piuttosto che nessuno.
È opportuno testare il sistema ripristinato per assicurarsi che gli utenti possano accedere tramite credenziali e che tutte le funzionalità sono presenti, tenere traccia di chi ha fatto cosa, quali problematiche sono sorte e quanto tempo è stato necessario per avere un server funzionante. Qualora il tentativo fallisca, pensare a quali aspetti non erano inclusi nel piano e apportare le dovute correzioni. Una volta terminato, chiudere il sistema di test in modo tale che non venga lasciata nessuna lacuna di sicurezza.
Elemento umano
Finora, l’analisi si è concentrata sui computer, sull’immagine di sistema e sul backup. Tuttavia, il ripristino dopo il disastro implica molto di più del semplice ripristino del contenuto di un disco. L’elemento umano è fondamentale.
La prima cosa da tenere a mente è che il disastro è avvenuto. Qualcuno dovrebbe essere responsabile del monitoraggio del sistema, l’inattività non deve passare inosservata per ore. Quando il sistema smette di funzionare, il passo successivo è comunicarlo a chi di competenza, tra cui il responsabile e le persone che si occupano della manutenzione del server e dell’infrastruttura hardware e software.
Se l’inattività dura più di alcuni minuti è opportuno far sapere ai soggetti colpiti cosa sta succedendo. Se tutto ciò che sanno è che il sistema non funziona, non hanno idea di cosa aspettarsi. Il piano di ripristino dovrebbe comprendere una strategia di notifica alle persone.
L’accesso al sistema è, sostanzialmente, nelle mani delle persone. I disastri naturali tengono le persone chiave lontane dall’accesso per molto tempo. Se l’unica persona che possiede informazioni essenziali è permanentemente irreperibile per un lungo periodo, il ripristino potrebbe essere difficile o impossibile.
Le password di sistema devono essere sicure, ma non devono essere in possesso di un’unica persona. Deve essere implementato un piano contro gli imprevisti, come per esempio tenere le password al sicuro sotto chiave.
La possibilità che l’unica persona in grado di comprendere il sistema lasci il posto di lavoro o sia per qualche ragione inabilitata ad accedervi costituisce di per sé un disastro. Le procedure per il funzionamento e il ripristino del sistema dovrebbero essere riportate per iscritto, in modo da permettere a qualcun altro di subentrare nel lavoro.
Salvare le informazioni solo su un server può implicare dei problemi se il server smette di funzionare. Piuttosto, è più sicuro tenere copie cartacee in una scatola chiusa a chiave e incombustibile. Un altro approccio consiste nel salvare le informazioni in un luogo sicuro e indipendente. Occorre assicurarsi che più di una persona abbia la chiave o la password.
Tutti i dipendenti dovrebbero avere le copie delle informazioni circa le responsabilità in caso di emergenza e la dirigenza dovrebbe avere informazioni circa i loro contatti.
Non è necessario fare affidamento solo sui dipendenti per il piano di ripristino. Ingaggiare una società di servizi gestiti può essere una soluzione efficiente dal punto di vista dei costi. Un’impresa che ha pochi dipendenti normalmente può avere un IT manager, ma un fornitore di servizi gestiti può aiutarla a far fronte non solo ai disastri ma alle complicazioni più ricorrenti nel funzionamento di un server.
Una società di servizi con un buon livello di esperienza può aiutare a implementare un piano di ripristino in caso di disastro e fornire supporto in caso di emergenza. Il Service Level Agreement (SLA) deve specificare i servizi attesi ed esplicitare in quanto tempo la società è in grado di rispondere. Uno SLA che copre solo i normali orari di ufficio è meno costosa: sta all’impresa stabilire se questo è sufficiente.
Conclusioni
Chiunque sia coinvolto in operazioni IT è vulnerabile ai disastri, e le piccole imprese in particolare hanno poche possibilità di sopravvivere se non sono preparate. Ogni impresa ha bisogno di sviluppare un piano di ripristino in caso di disastro che sia adatto al livello di rischio. Vi sono molti approcci che possono aumentare le probabilità di sopravvivenza senza richiedere una fortuna. Gli offsite backup e la capacità di ripristinare i server colpiti permetterà alle imprese di proseguire la propria attività, anche quando la situazione è davvero difficile. Anche avere un piano parziale è sicuramente meglio che non averlo affatto.