Il punto di vista di Cyber Academy
Il disaster recovery è il sottoinsieme dell'BCM focalizzato sull'IT: ripristino di infrastrutture, applicazioni e dati dopo un'interruzione. RPO, RTO e runbook appartengono a questo ambito. Un piano di DR mai testato end-to-end è una finzione. ISO 24762 lo disciplinava in precedenza; la pratica attuale rimanda a ISO 22301 e ai runbook operativi.
Dove si colloca il disaster recovery all'interno della continuità
Il disaster recovery è la sala macchine tecnica della continuità operativa. La gestione della continuità operativa si chiede come l'organizzazione continui a erogare le proprie attività critiche durante un'interruzione, coprendo persone, sedi, fornitori e processi. Il disaster recovery risponde a una domanda più ristretta: come riportiamo in funzione l'IT. Server, reti, applicazioni, database e i dati stessi. Quando un data center si allaga, un ceppo di ransomware cifra la produzione o una regione cloud si spegne, il piano di disaster recovery è il documento e la memoria muscolare che rimettono in funzione i sistemi in un ordine noto, fino a un punto nel tempo noto.
Questa distinzione è importante perché i due vengono spesso confusi. Un piano di continuità può descrivere soluzioni manuali che mantengono in vita un servizio mentre l'IT è fuori uso. Un piano di disaster recovery non ha questo lusso. Viene giudicato unicamente in base al fatto che i sistemi tornino, con quale rapidità e quanti dati siano andati persi. Trattare il disaster recovery come un sottoinsieme della continuità anziché come un sinonimo mantiene onesto il perimetro e impedisce ai team di presumere che un server ripristinato significhi un servizio di business ripristinato.
RTO, RPO e il runbook
Due numeri governano ogni decisione di disaster recovery. L'obiettivo del tempo di ripristino (RTO) è il tempo massimo tollerabile in cui un sistema può rimanere inattivo prima che l'impatto diventi inaccettabile. L'obiettivo del punto di ripristino (RPO) è la quantità massima tollerabile di perdita di dati, espressa come finestra temporale, che in pratica determina la frequenza con cui si replica o si esegue il backup. Un RTO di quattro ore con un RPO di quindici minuti è un'architettura molto diversa, e un budget molto diverso, da un RTO al giorno lavorativo successivo con un backup giornaliero. Questi obiettivi dovrebbero derivare da un'analisi di impatto sul business, non dal livello di comodità del team infrastrutturale.
- L'RTO guida l'architettura di ripristino: standby a caldo e replica per obiettivi stringenti, ripristino da backup per quelli più rilassati.
- L'RPO guida la strategia di protezione dei dati: replica sincrona, snapshot o backup periodici.
- Il runbook trasforma quegli obiettivi in una procedura di ripristino testata, passo dopo passo, che qualcuno sotto pressione può effettivamente seguire.
Norme, minacce e prassi attuale
Il panorama normativo è cambiato. ISO/IEC 24762 forniva un tempo indicazioni dedicate sui servizi di disaster recovery ICT, ma è stata ritirata, e la prassi attuale rimanda a ISO 22301 per il sistema di gestione della continuità operativa, con ISO/IEC 27031 che copre la preparazione ICT alla continuità operativa. In quel modello il disaster recovery non è una disciplina a sé stante; è il livello operativo che realizza la strategia di continuità, governato dallo stesso sistema di gestione e dalla stessa propensione al rischio. I settori regolamentati aggiungono la loro pressione: il regime di resilienza del settore finanziario dell'UE, per esempio, si aspetta che le imprese dimostrino che il ripristino e la continuità delle funzioni critiche siano testati, non solo documentati.
Il disaster recovery moderno è inoltre plasmato dalle minacce che deve assorbire. Il ransomware in particolare ha riscritto il copione, perché se i vostri backup sono raggiungibili e scrivibili dall'ambiente di produzione, un attaccante cifra anche quelli. Gli operatori ora preferiscono backup immutabili e isolati, ambienti di ripristino segmentati e ricostruzioni in camera bianca affinché il ripristino non reinfetti semplicemente.
Il cloud e l'infrastructure-as-code hanno reso alcuni ripristini più rapidi da automatizzare, ma introducono i propri singoli punti di guasto a livello di regione, account e identità. La disciplina è la stessa di sempre: conoscete i vostri obiettivi, proteggete i vostri dati affinché sopravvivano al disastro, scrivete un runbook che qualcuno possa seguire e dimostrate che funziona prima di averne bisogno.
Frequently asked questions
01Qual è la differenza tra disaster recovery e continuità operativa?
La continuità operativa è la disciplina ampia che mantiene in funzione le attività di business critiche durante un'interruzione, coprendo persone, processi, sedi e fornitori. Il disaster recovery è il sottoinsieme incentrato sull'IT: ripristinare infrastruttura, applicazioni e dati. Il disaster recovery realizza la parte tecnica della strategia di continuità.
02Qual è la differenza tra RTO e RPO?
L'RTO è per quanto tempo un sistema può rimanere inattivo prima che l'impatto sia inaccettabile, quindi guida la velocità di ripristino. L'RPO è quanti dati ci si può permettere di perdere, misurati come finestra temporale, quindi guida la frequenza con cui si replica o si esegue il backup.
03ISO 24762 è ancora il riferimento per il disaster recovery?
No. ISO/IEC 24762 è stata ritirata. La prassi attuale àncora il disaster recovery a ISO 22301 per il sistema di gestione della continuità e a ISO/IEC 27031 per la preparazione ICT, con il disaster recovery che si colloca come livello operativo sottostante.
04Con quale frequenza dovrebbe essere testato un piano di disaster recovery?
Testate con una cadenza regolare e dopo qualsiasi cambiamento significativo ai sistemi o all'architettura. Combinate esercizi di ripristino completi con simulazioni a tavolino del flusso decisionale, e documentate le lacune che ogni test rivela affinché il piano continui a migliorare.
05Perché gli attacchi ransomware cambiano il disaster recovery?
Perché i backup raggiungibili dalla produzione possono essere cifrati insieme a essa, vanificando il ripristino. Il disaster recovery contro il ransomware si basa su backup immutabili e isolati e su ambienti di ripristino puliti affinché il ripristino non reintroduca il malware.