Come il COVID-19 ha stravolto la pianificazione del disaster recovery
La pandemia ha messo in luce diverse lacune nel disaster recovery (DR) e nella pianificazione della continuità aziendale (BC) in aree quali accesso remoto, rete, applicazioni SaaS e ransomware. Nell’ultimo anno, i dirigenti IT si sono adoperati per colmare queste lacune e aggiornare al volo i piani di DR.
Più significativamente, la pandemia ha innescato cambiamenti IT fondamentali in molte organizzazioni, tra cui una rapida migrazione delle applicazioni al cloud, un’accelerazione degli sforzi di trasformazione digitale, il provisioning di emergenza di nuovi sistemi e servizi al di fuori delle procedure di appalto tradizionali e, in molti settori, l’emergere di una nuova categoria di dipendenti che lavorano da casa a tempo pieno e che gestiscono dati mission-critical sui propri dispositivi personali.
Secondo una nuova ricerca di Accenture, “più di tre quarti dei dirigenti aziendali intendono ridisegnare il modo in cui il personale lavora, accelerare i piani di trasformazione digitale e cambiare radicalmente il modo in cui interagiscono con i clienti” afferma Manish Sharma, amministratore delegato del gruppo.
Tutti questi fattori dovranno essere presi in considerazione mentre le organizzazioni riscrivono i loro piani di disaster recovery e continuità aziendale per il 2021 e oltre. La pandemia ha dimostrato che gli scenari peggiori (o scenari anche peggiori di quanto potremmo mai immaginare) accadono. E il ripristino di emergenza e la pianificazione della continuità aziendale non saranno più gli stessi.
I piani DR e BC messi alla prova
La maggior parte delle aziende disponeva di piani di ripristino di emergenza prima della pandemia e molte erano coscienziose nell’eseguire esercitazioni pratiche in cui i principali player si riuniscono per rispondere a uno scenario di disastro. La risposta alla pandemia fa tipicamente parte di un piano DR.
In effetti, Dan Johnson, direttore della continuità aziendale globale e ripristino di emergenza presso la società di gestione dei servizi IT Ensono, ricorda che alla fine del 2019 ha scelto proprio una pandemia come scenario di test.
Ma nessuno poteva prevedere qualcosa che somigliasse all’entità, alla portata globale e alla durata dell’attuale pandemia. Vista con gli occhi dell’IT, la pandemia non ha presentato problemi che l’IT non era preparato a gestire. Dopotutto, il virus non ha interrotto l’alimentazione, arrestato i server o infettato le reti con malware.
In quanto sfida di business continuity, ovvero la disciplina più ampia del mantenimento dei processi aziendali, del coordinamento dell’aspetto personale della risposta e della comunicazione interna ed esterna, la pandemia ha messo in luce alcune carenze. “L’impatto maggiore è stato con i piani di continuità aziendale, ovvero il ripristino di processi e persone, assicurandosi che tutti i sistemi aziendali funzionassero”, afferma Johnson.
“La perdita di dati non era il problema”, aggiunge Christophe Bertrand, analista senior di ESG Research. Si trattava più di avere le persone giuste sul posto e di comprendere tutti i passaggi che dovevano essere presi per aspetti come VPN e networking. La sfida più ovvia è stata l’improvvisa esigenza che i dipendenti lavorassero da casa a tempo pieno. “Alcune organizzazioni erano più pronte di altre”, dice Bertrand. “Alcune invece sono state colte alla sprovvista in termini di strumenti di collaborazione e capacità di supportare una forza lavoro remota”.
Le organizzazioni non solo dovevano assicurarsi che i dipendenti avessero l’hardware giusto e una connessione Internet sufficientemente capace, ma dovevano anche fornire strumenti di collaborazione solidi e sicuri e dovevano proteggere questa nuova e ampia superficie di attacco rappresentata dalle reti Wi-Fi domestiche dall’impennata ransomware mirato ai lavoratori remoti.
“Ci sono state molte difficoltà. Abbiamo ricevuto molte telefonate di gente in preda al panico”, in particolare in relazione al ransomware, afferma Doug Matthews, vicepresidente della gestione dei prodotti di Veritas Technologies, società che fornisce servizi di backup e ripristino aziendali. Le organizzazioni dovevano assicurarsi rapidamente che gli endpoint fossero protetti e che i firewall aziendali fossero configurati per respingere gli attacchi che potevano provenire da un endpoint non protetto.
Matthews ha aggiunto che la pandemia ha anche innescato “un rapido movimento verso l’adozione del cloud”, anche in organizzazioni che in precedenza erano state resistenti alle tecnologie cloud. Ciò ha creato quello che chiama un “divario di resilienza”, poiché le aziende stanno tornando indietro, leggendo i loro accordi con i fornitori SaaS e rendendosi conto che i loro dati non sono necessariamente protetti.
“Un’area problematica è SaaS”, afferma Bertrand. “Le persone non capiscono molto bene gli SLA. Solo perché avete dati in Office 365 o Salesforce, ciò non significa automaticamente che queste piattaforme facciano il backup per voi”. I provider SaaS offrono SLA per la disponibilità, ma non è la stessa cosa della recuperabilità.
“Siete sempre responsabili dei vostri dati”, aggiunge Bertrand, secondo cui le organizzazioni devono prendere decisioni su quali dati sono mission-critical e quindi quali devono essere sottoposti a backup. “Salesforce è mission-critical e Office 365. Ma che dire di GitHub o Zendesk? C’è molto di più di quanto sembri.”
La pandemia ha anche messo in luce una mancanza di lungimiranza quando si trattava dell’aspetto di rete della pianificazione DR/BC, poiché l’improvviso spostamento dei dipendenti verso siti remoti ha alterato i modelli di traffico di rete tradizionali e creato potenziali problemi di larghezza di banda.
Ravi Ravishanker, CIO e rettore associato del Wellesley College, afferma di essere stato fortunato che il college abbia recentemente spostato tutte le sue applicazioni ERP, i server Web e il sistema di gestione dell’apprendimento nel cloud, perché il college non avrebbe avuto la larghezza di banda per ospitare studenti e membri dello staff connettendosi da postazioni remote se tutte queste applicazioni fossero state on-premise.
Il futuro nel segno dell’automazione
Come risultato della pandemia, il ripristino di emergenza è passato dal dimenticatoio alla prima linea della pianificazione IT aziendale. ESG ha chiesto a 600 professionisti IT in Nord America e in Europa occidentale quali fossero le loro intenzioni di spesa per il 2021 e il DR è risultato prioritario. Ad esempio, il disaster recovery-as-a-service (DRaaS) è esploso a causa del COVID, secondo la società di ricerca Markets and Markets, che prevede che il mercato globale DRaaS aumenterà del 23,3% all’anno da qui al 2025. “Il mercato DRaaS continuerà a crescere dopo la pandemia poiché sempre più aziende migreranno la loro infrastruttura IT nel cloud, aumenteranno la continuità aziendale e miglioreranno le operazioni IT”, secondo quanto si legge nel report.
Bertrand osserva che i requisiti aziendali per i tempi di ripristino dei dati si sono ridotti da ore a minuti. E il 15% degli intervistati nel sondaggio ESG afferma che le proprie unità aziendali non tollereranno affatto tempi di inattività. Inoltre, le organizzazioni possono ora avere dati in più cloud pubblici (in applicazioni SaaS su cui le stesse organizzazioni non hanno il controllo diretto), oltre che in locale. In questo mondo di cloud ibrido, “è necessario disporre di soluzioni che proteggano le applicazioni mission-critical in modo congruente con gli obiettivi di business”, afferma Bertrand.
La buona notizia è che esistono strumenti di automazione che possono aiutare. Fornitori come Collibra, Digital Guardian e Varonis possono aiutare le aziende ad automatizzare la classificazione dei dati. Zerto, Veeam, Unitrends e altri forniscono strumenti di test DR automatizzati come parte delle loro piattaforme DR/BC. E fornitori come Rubrik, Cohesity e Actifio offrono una protezione dei dati altamente automatizzata e piattaforme di gestione dei dati create per ambienti cloud ibridi.
I dirigenti IT che pensano strategicamente alla protezione dei dati dovrebbero infine considerare il concetto di duplice uso. Ad esempio, se sono presenti dati di backup nel cloud, potrebbe essere un’opportunità per applicare l’analisi a tali dati per supportare gli sforzi di trasformazione digitale dell’azienda. “C’è ancora un’enorme mole di lavoro da fare”, dice Bertrand. “E questo non è sicuramente il momento di mollare.”