Disaster recovery: come pianificarlo – 3

Punti di attenzione (II parte)

Ed inoltre, il responsabile della sicurezza, deve:

1. Evitare di fare affidamento solo sui back up. È chiaro che i dati devono essere salvati ad intervalli regolari e archiviati ma si deve prevedere una loro localizzazione remota rispetto al sito principale aziendale, una loro protezione da eventi dannosi e accessi incontrollati e il mantenimento della leggibilità e integrità delle informazioni.
2. Adottare sistemi di back up di tipo low impact o che prevedano deduplicazione dei dati in modo che i sistemi virtuali siano salvati rapidamente ed in modo efficace.
3. Preservare opportunamente le password ai sistemi . Le password amministratore e di accesso ai sistemi HW e SW sono mantenute in cassaforte al sicuro da accessi incontrollati, ma spesso ci si dimentica di mantenerne una copia in una sede remota rispetto al sito aziendale, e di aggiornarla periodicamente rispetto a dismissioni del personale preposto alle emergenze o a alle variazioni di mansione.
4. Prevedere figure tecniche in grado di sostituire il personale interno. Se le attività di recovery sono delegate solo a dipendenti attraverso il sistema di reperibilità, e se si verifica un disastro ambientale di grandi proporzioni che interessi anche queste figure, l’azienda sarebbe completamente priva di addetti specializzati a ripristinare l’operatività di business.
5. Predisporre un piano apposito di comunicazione verso gli addetti preposti all’esecuzione del piano di disaster recovery. Alcuni incidenti che ostacolano l’operatività aziendale potrebbero influire negativamente sul sistema delle comunicazioni (telefoni, mail) impedendo le notifiche agli addetti IT che devono invece essere prontamente informati mediante un sistema automatico di monitoraggio del sito e di allarmistica specifica.
6. Aggiornare il DRP . La revisione periodica del piano di disaster recovery dovrebbe avere luogo almeno trimestralmente per tenere conto di eventuali variazioni di personale, delle apparecchiature, della dislocazione delle risorse e delle applicazioni.
7. Testare l’efficacia e la tempistica del DRP . Si deve prevedere una sessione di test generale della disaster recovery completa di misurazione dei tempi e delle eventuali problematiche sorte.