I test di disaster recovery e business continuity sono indispensabili, ma anche molto costosi e soprattutto rischiosi. È quindi opportuno operare per minimizzare il rischio ad essi associato
L’esecuzione dei test di disaster recovery (DR) e business continuity (BC) è la sola modalità con cui sia possibile verificare se un piano di DR o di BC sia effettivamente valido. Tali test inoltre, per essere effettivamente significativi, devono avere una durata adeguata, tale da valutare se il sito secondario, sia effettivamente in grado di garantire nel continuo (e fino a quando non venga ripristinato il sito primario) l’erogazione dei servizi al livello di prestazioni previsto dal piano.
Un tempo adeguato non può essere certo di poche ore in quanto, in particolare nell’ambito dei sistemi informativi, il sito di DR solitamente viene realizzato “in economia”, limitando il numero di componenti in alta affidabilità. L’obiettivo teorico, infatti, è di sopperire temporaneamente alla mancanza del sito primario, evenienza questa che si ipotizza non accadrà mai. Salvo che il sito di DR non sia in realtà un sito di produzione (con un’architettura active-active), lo stesso viene realizzato puntando sul minimo impegno economico. Più complessa è l’architettura del sito di DR, maggiori saranno le probabilità di guasto di singoli componenti (una semplice formula matematica, conoscendo il tempo medio di guasto dei vari componenti, può stimare quando questo potrebbe accadere).
È necessario quindi valutare attentamente come e quando eseguire un test. Se da un lato infatti un’organizzazione deve dimostrare di essere in grado di poter fronteggiare in qualunque momento un evento improvviso che possa mettere a repentaglio la continuità della sua operatività, dall’altro è importante che non sia proprio il test a trasformarsi in quell’evento; quindi un test di DR o di BC non deve mettere a rischio la continuità della operatività aziendale.
Effettuare un test all’improvviso o durante gli orari di normale operatività aziendale può essere molto rischioso e quindi deve essere preceduto da una serie di test svolti in modo controllato e guidato. Solo se si ha una notevole confidenza circa il corretto funzionamento delle proprie soluzioni e della preparazione del proprio personale, si potrà azzardare un test non annunciato. Oltretutto, mentre è possibile eseguire dei test relativi alla mancanza di alcune tipologie di asset (personale, edifici…) direttamente in produzione, in quanto è anche possibile fare dei test parziali (per esempio, relativi a un singolo processo), un test di DR è molto più difficile da effettuare in tali condizioni. Ma al riguardo cosa dicono standard e normative?
Secondo il BSI-Standard 100-4, “some basic principles must be followed when performing tests and exercises. For example, the tests or exercises should not or only minimally disrupt normal operations. When selecting the time and date of execution, it must be taken into account that a test or exercise could have a direct influence on operations, among other things. The systems to be tested may only be available at a lower level of performance for productive operations during a test or may not be available at all. For this reason, it is usually recommended to perform tests and exercises outside of regular business hours, if possible, to minimise the effects on live business operations”.
Da parte sua la ISO 22301 non specifica quando e come eseguire un test, ma indica che la conduzione dei test deve avvenire in modo da “minimizzare il rischio di interruzione delle operazioni”. Per quanto attiene le normative di settore, nell’ambito finanziario la circolare 285 di Banca d’Italia non entra nel merito e nemmeno EBA lo fa nelle sue varie normative che parlano di continuità operativa. Quindi, in sintesi, non si deve dimenticare che la predisposizione dei piani di DR e di BC serve a garantire la capacità di un’organizzazione di continuare a operare anche in condizioni critiche e che i test servono a verificare tale capacità, non a produrre le condizioni per metterla in crisi. Attenzione quindi a richieste troppo azzardate: cercare di ottenere il risultato migliore in assoluto nell’ambito di questa tipologia di test, può essere controproducente.
Giancarlo Butti Comitato Scientifico CLUSIT