No, quello che pensi non è un disaster recovery

Per il ciclo "Friday rant" (iniziato sul mio profilo Linkedin ormai diversi mesi fa), ecco l'argomento della settimana:

"No, quello che pensate di avere, non è un Disaster Recovery"

No, non è un Disaster Recovery, se i dati sono salvati su un disco in RAID.

No, non è un Disaster Recovery, se i dati sono copiati una volta al giorno su un disco esterno.

No, non è un Disaster Recovery, se fate solo un backup.

Non lo è, se il backup sta sullo stesso sistema operativo.

Non lo è, se avete tutto in cloud.

Non lo è, se avete una copia dei dati su One Drive, Google Drive, Dropbox

Non lo è, se portate via i dati a casa ogni giorno/settimana/mese.

Non lo è nemmeno se avete i sistemi in alta affidabilità, cluster, iperconvergenza, ecc.

Partiamo dalle basi: il "disastro".

Avere una copia dei backup dei dati è un fattore essenziale, oserei dire vitale per un'azienda. Ma quello che sfugge quando si affronta l'argomento è proprio il tema "disastro", ma è relativamente semplice farsi un'idea della cosa:

Nella malaugurata ipotesi di un incendio del vostro ufficio, stabilimento o edificio, siete in grado di ritornare a lavorare in un tempo ragionevole? Diciamo il giorno successivo?

Quando parliamo di disastro, non stiamo parlando della corrente che viene meno o dell'accesso ad Internet che non va, bensì di situazioni catastrofiche in cui l'attività viene compromessa totalmente.

Situazioni in cui potrebbe non essere possibile rientrare nell'edificio per diversi giorni o settimane.

Quando parliamo di situazioni catastrofiche, intendiamo:

• furti (per le soluzioni on-premises)
• allagamenti
• incendi
• terremoti
• alluvioni

In un momento in cui la crisi climatica si fa sentire, ipotesi come incendi e alluvioni, purtroppo, non sono più così remote come sembra.

Tornare operativi: "Recovery"

C'è una regola che descrivo ogni volta che mi capita di parlare di Disaster Recovery:

Più volete essere vicini allo "zero down-time", più devono essere gli zeri nella cifra investita per l'infrastruttura

Esistono sempre dei tempi tecnici di recupero o passaggio in DR dei sistemi tecnologici, e questi possono essere più o meno lunghi in base alle soluzioni scelte.

Resta tuttavia un elemento sostanziale: in caso di "situazione catastrofica" poniamo le domande giuste:

• da dove lavorano le persone?
• da dove riprende l'attività?
• in quale ordine?
• si potrà tornare alla sede? Se sì, quando?

Queste sono solo alcune delle domande da porre, ma costituiscono la maggior parte dell'intero processo.

Quello che molti dimenticano: "Plan"

Un piano di Disaster Recovery (o Disaster Recovery Plan, DRP) è principalmente fatto di procedure e, perché siano efficaci, queste devono essere costruite su una fondata conoscenza dei propri processi.

Un piano di Disaster Recovery basato solo su "repliche dei dati" è fallimentare, e non serve a niente.

Quando si attua un piano di "Disaster Recovery" è bene tenere a mente che sia necessario anche prevedere:

• la comunicazione alle parti coinvolte (clienti, fornitori, dipendenti, collaboratori)
• in base ai dati trattati, tutte le parti coinvolte (la "perdita" dei dati è un "trattamento")
• la comunicazione delle parti interessate (shareholder, stakeholder, ecc.)
• sapere chi contattare per le attività tecniche e le procedure da seguire
• come attivare l'operatività delle persone, in base alle esigenze di business
• chi contattare per iniziare il ripristino dei dati

E questa è solo una piccola parte di domande da porsi, domande che variano in base al tipo di struttura.

Anche se si pensa di essere "totalmente in cloud".

Considerazioni

La ragione che mi porta ad infuriarmi su questioni come Disaster Recovery o Business Continuity deriva dal fatto che molte aziende lo vendano come un "prodotto" oppure che si tratti di una cosa "ovvia" su cui non è necessario soffermarsi perché, d'altronde, che cosa vuoi che succeda.

La realtà, invece, è che si tratta di un elemento essenziale che determina la sopravvivenza di un'azienda a seguito di una situazione imprevista, imprevedibile, e catastrofica.

Un po' come una polizza vita: la si fa, nella speranza di non doverla mai usare.

E la tua attività, ha un piano di Disaster Recovery?

Si tratta veramente di un DRP o è solo un'illusione?

A volte è meglio sapere, anche se ignorare un problema può sembrare più facile.