Checklist del piano di continuità aziendale

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Avere un piano di continuità aziendale (BCP) solido come parte della tua strategia di gestione dei rischi ti consente di mantenere o ripristinare rapidamente le funzioni critiche in caso di interruzione. Un BCP protegge anche l’infrastruttura dell’azienda e serve come linea guida da seguire per rispondere adeguatamente a un incidente.

In questo post vengono elencati gli elementi essenziali della checklist del piano di continuità aziendale. Continua a leggere per scoprire il miglior corso d’azione da seguire per riprendere con successo le operazioni con conseguenze minime.

Perché hai bisogno di un piano di continuità aziendale

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

Lo scopo principale del piano di continuità aziendale è garantire la preparazione alle emergenze consentendo al tuo team di risposta di completare metodicamente i passaggi necessari prima, durante e dopo uno scenario di interruzione. Le aziende senza questa checklist possono avere difficoltà a mantenere i processi aziendali normali e rischiano di perdere dati, sistemi o clienti, spesso irreparabilmente.

Il piano di continuità aziendale a 7 fasi

La checklist a 7 fasi ti aiuta a formulare un quadro generale delle priorità su cui puoi costruire un piano di continuità aziendale personalizzato per la tua organizzazione. Puoi includere tutte le procedure necessarie per mantenere le operazioni aziendali durante una crisi. Tieni presente che i dettagli esatti variano da un’azienda all’altra in base a diversi aspetti come la dimensione dell’azienda, l’industria e il tipo di minacce.

Il piano di continuità aziendale standard include tipicamente i seguenti passaggi:

1. Crea un team di risposta alle emergenze
2. Identifica i servizi aziendali essenziali
3. Condurre valutazioni dei rischi e analisi degli impatti commerciali
4. Elaborare un piano di ripristino
5. Stabilire obiettivi di ripristino e designare un sito di ripristino del DR
6. Assicurarsi che tutti i carichi di lavoro critici per l’attività siano protetti
7. Testare e aggiornare il proprio piano di continuità aziendale

Diamo un’occhiata più da vicino a ciascuno di questi passaggi per capire perché sono elementi importanti di qualsiasi checklist di BCP.

1. Creare un team di risposta alle catastrofi

Il primo passo nella formulazione di un piano di continuità aziendale è quello di assemblare il team responsabile di mantenere l’azienda in funzione in caso di emergenza. Il team BCP dovrebbe includere membri di ciascun dipartimento coinvolto nelle operazioni quotidiane e dovrebbe avere un manager designato a guidare gli sforzi di pianificazione della continuità aziendale.

Quando si identificano il personale chiave del BCP, è necessario creare un elenco esteso di catastrofi che rappresentano la minaccia maggiore per la propria organizzazione in modo da poter reclutare le persone giuste. Diversi tipi di emergenze come guasti del sistema IT, black-out o danni alle strutture richiedono membri dello staff con conoscenze specifiche e competenze per gestirli correttamente e rapidamente.

Crea una tabella per registrare le informazioni necessarie sui membri del team di risposta in modo da poterli contattare facilmente quando necessario. La tua tabella può includere il nome, la posizione, il ruolo nel team di risposta e le informazioni di contatto. Tieni presente che dovresti assegnare almeno un sostituto per ogni ruolo nel team. Ciò ti permette di evitare ostacoli nel caso in cui i delegati principali non riescano a svolgere le proprie responsabilità.

2. Identifica i servizi aziendali essenziali

Uno dei principali scopi del piano di continuità aziendale è aiutarti a identificare i processi, le attrezzature e le risorse che sono fondamentali per il funzionamento della tua organizzazione. Queste sono le funzioni e i servizi di infrastruttura importanti su cui dovresti basare il tuo piano di continuità aziendale.

Questi servizi chiave e elementi di infrastruttura probabilmente includono:

• Sistemi di alimentazione e generatori
• Dispositivi di telecomunicazione – WAN, LAN, telefoni, computer
• Sistemi IT e server
• Infrastrutture e strutture degli edifici
• Attrezzature specializzate o forniture cruciali per l’attività

È fondamentale ripristinare questi elementi il più presto possibile in caso di interruzione per riprendere le operazioni e proteggere i tuoi asset.

3. Effettua una valutazione del rischio e un’analisi dell’impatto aziendale

Dopo aver identificato i servizi chiave dell’azienda, è necessario effettuare una valutazione dell’impatto del rischio per scoprire le vulnerabilità associate ai sistemi, alle attività e alle risorse essenziali. La valutazione del rischio stima la probabilità di ciascuna minaccia e riflette la probabilità che si verifichi il disastro.

L’analisi dell’impatto aziendale (BIA), di solito condotta insieme alla valutazione del rischio, consente di valutare la criticità e la gravità dell’impatto sulle operazioni aziendali. L’obiettivo principale della BIA è analizzare i costi finanziari e operativi che si verificherebbero nel caso in cui il rischio si materializzasse. Ti aiuta a determinare il livello di tolleranza dei processi e delle dipendenze importanti, come clienti e partner, se le funzioni aziendali chiave vengono degradate, interrotte o completamente interrotte.

Ecco una tabella semplificata che puoi utilizzare come modello per iniziare a redigere la tua analisi:

Processo Aziendale	Categoria di Impatto	Gravità	Tempo di Inattività Massimo Tollerabile (MTD)	Costi Stimati	Dipendenze

Si noti che le organizzazioni con più sedi devono effettuare una valutazione del rischio separata e un’analisi dell’impatto aziendale per ciascuna posizione. Se queste sedi sono geograficamente distanti, le sfide e i rischi potrebbero essere diversi. Un piano di continuità aziendale robusto tiene conto anche delle relazioni e delle dipendenze tra le diverse sedi.

4. Sviluppare un piano di ripristino

Business continuity e disaster recovery vanno di pari passo, soprattutto perché il piano di disaster recovery (DR) è una parte essenziale del piano di continuità operativa. Per modelli di disaster recovery più dettagliati, scarica il nostro white paper gratuito Disaster Recovery Handbook and Templates.

Il piano di DR delinea i passaggi tecnici che è necessario eseguire per ripristinare i propri servizi core il prima possibile. Tieni presente che il piano di recupero non si limita ai dati, poiché dovrebbe includere anche macchine, carichi di lavoro e processi.

Il tuo piano di recupero può sfruttare, tra le altre, le seguenti strategie:

• Procedure aziendali alternative: ad esempio, soluzioni manuali per i processi meccanizzati o automatizzati fino a quando i sistemi non saranno di nuovo operativi
• A secondary or alternate site to resume business operations
• Failover di rete e server a livello di sito
• Recupero di backup off-site di dati critici per l’azienda
• Risorse “hot-spare” o in standby, che possono essere messe immediatamente in servizio quando i componenti primari si guastano

Il video seguente spiega come eseguire un disaster recovery completo utilizzando NAKIVO Backup & Replication.

5. Definire obiettivi di recupero e designare un sito di DR

Il tempo di ripristino obiettivo o RTO determina quanto tempo di inattività del sistema IT un’azienda può ragionevolmente tollerare prima che i processi o i servizi siano ripristinati. L’obiettivo di punto di ripristino o RPO definisce quanto perdita di dati un’azienda può tollerare. Sia l’RTO che l’RPO sono metriche importanti in qualsiasi piano di continuità aziendale.

Designare un sito di ripristino da disastro (DR) per il failover di rete/dati è cruciale poiché fornisce un sostituto immediato nel caso in cui il sito di produzione primario vada offline. Inoltre, ti aiuta a garantire che i tuoi obiettivi di ripristino siano raggiunti.

La struttura DR situata in una diversa posizione geografica funge da copia “standby calda” delle risorse come le macchine virtuali (VM). In caso di un guasto a livello di sito che fa cadere la tua rete di produzione, il traffico può essere deviato verso la posizione DR. Le VM “standby calde” diventano essenzialmente carichi di lavoro di produzione, ripristinando le operazioni aziendali e garantendo una continuità aziendale efficiente.

Puoi utilizzare soluzioni avanzate di protezione dati di terze parti per replicare le VM di produzione in una posizione DR esterna e impostare l’intervallo di replica in linea con il tuo RPO. La VM replica è una copia esatta della macchina originale e può essere utilizzata in un processo di failover automatizzato durante l’implementazione del tuo piano di ripristino da disastro.

6. Assicurati che tutti i carichi di lavoro critici per l’azienda siano protetti.

L’impatto di un disastro può essere mitigate in modo significativo proteggendo correttamente i dati chiave dell’attività commerciale. Rendete le vostre copie di backup resilienti applicando la regola 3-2-1: avere almeno 3 copie di backup su due tipi diversi di supporti di storage, con almeno una copia conservata fuori dal sito.

Eseguite il backup dei dati aziendali seguendo la metodologia 3-2-1 di backup per ottenere i periodi di recupero obbligatorio (RPO) e i periodi di tempo di ripristino (RTO) più brevi possibili. Questo vi consente anche di assicurarvi che lo stesso disastro che ha colpito la vostra rete di produzione non possa anche influire sul vostro backup dati.

7. Testare e aggiornare il piano di continuità aziendale

Una volta completato il piano di continuità aziendale, è necessario eseguirne un test rigoroso. Il modo migliore per farlo è addestrare i vostri dipendenti per assicurarsi che comprendano appieno i loro ruoli e responsabilità. Non si può garantire la preparazione per gli incidenti senza condurre regolari addestramenti e esercitazioni. E ‘ancora più importante, facendo scenari di simulazione completi, identificare e correggere le debolezze del piano.

Sicuramente, eseguite tutte le procedure per imitare il flusso di un scenario di disastro reale. Questi tipi di test vengono meglio eseguiti trimestralmente poiché i membri chiave del team rimangono familiarizzati con il processo. Inoltre, le modifiche all’infrastruttura, all’ambiente, ai protocolli, alle workload e/o alla forza lavoro possono introdurre complicazioni nel piano. Questi potenziali problemi sono spesso scoperti solo durante i passaggi completi.

Le simulazioni devono essere osservate da un osservatore indipendente che può prendere nota di tutte le vulnerabilità. Dovrebbero esserci briefing dopo ogni esecuzione, quindi è possibile redigere un rapporto che documenti le debolezze riscontrate e gli aggiornamenti proposti. I rapporti, così come il piano di continuità aziendale aggiornato, dovrebbero essere condivisi con tutti i membri del team.

La Checklist del Piano di Continuità Operativa

Ecco una checklist semplificata del PCO che ti consente di passare attraverso le fasi necessarie per garantire la prontezza alle emergenze.

Crea un team di risposta alle catastrofi

• Assegna un manager senior del PCO
• Crea un comitato di continuità aziendale
• Scegli i membri del team di risposta
• Definisci ruoli e responsabilità
• Scegli delegati secondari per ciascun membro del team
• Stabilisci una comunicazione chiara tra tutti i membri

Identifica i servizi aziendali essenziali

• Mappa tutti i sistemi di alimentazione
• Identifica i dispositivi di telecomunicazione
• Identifica i sistemi informatici e i server
• Identifica strutture e attrezzature specializzate
• Identifica le interdipendenze tra i servizi
• Verifica i servizi di emergenza

Conduci una valutazione del rischio e un’analisi dell’impatto sul business

• Identifica minacce e vulnerabilità
• Stabilisci la tolleranza al rischio
• Determina i processi aziendali critici
• Calcola il tempo massimo di inattività tollerabile per ciascun servizio
• Analizzare l’impatto finanziario, legale, normativo e sui clienti.
• Identificare l’interdipendenza tra le funzioni critiche dell’azienda.

Elaborare un piano di ripristino              

• Creare il proprio piano di continuità delle operazioni (COOP)
• Redigere soluzioni alternative manuali per processi automatizzati
• Prepararsi per il failover della rete e del server a livello di sito
• Testare il ripristino di backup esterni dei dati critici
• Assicurarsi che siano disponibili risorse di riserva

Impostare gli obiettivi di ripristino e designare un sito di ripristino dei disastri

• Designare un sito secondario per riprendere le operazioni aziendali
• Impostare gli obiettivi di punto di ripristino (RPO)
• Impostare gli obiettivi di tempo di ripristino (RTO)
• Gestire i processi di ripristino dei disastri

Proteggere i dati critici per l’azienda

• Eseguire backup per i dati critici per l’azienda
• Memorizzare i dati su dispositivi di archiviazione in loco e esterni
• Memorizzare backup air-gapped
• Abilitare l’immutabilità per backup specifici

Testare e aggiornare il proprio piano di continuità aziendale

• Condurre test annuali, semestrali, trimestrali
• Eseguire simulazioni complete del BCP su base annuale
• Creare un processo di audit
• Identificare le vulnerabilità e aggiornare il piano
• Formare i dipendenti

Conclusione

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

Questa lista di controllo fornisce il quadro per un piano di continuità aziendale efficace che può aiutarti a resistere anche alle peggiori situazioni. Tieni presente che un BCP non può essere completo senza una soluzione avanzata di protezione dei dati come NAKIVO Backup & Replication. La soluzione NAKIVO include tutti gli strumenti di cui hai bisogno per eseguire processi di backup e ripristino, automatizzare i flussi di lavoro di DR e condurre test di DR non invasivi per garantire il raggiungimento dei tuoi obiettivi di ripristino.