technomat.net - Valutare l’esposizione ai rischi

Quantificare il costo del downtime e la perdita dei dati al fine di giustificare i costi di implementazione di soluzioni di ripristino delle operazioni

Marco Pozzoni

E' un fatto assodato che nella maggioranza delle aziende, i sistemi It devono fornire un livello di servizio che garantisca un accesso ai dati e alle informazioni snello e permanente. Questi requisiti sono dettati da una serie di fattori, imputabili in particolare alla perdita di fatturato in caso di downtime dei sistemi informatici aziendali. Tuttavia, qualunque sia la reale motivazione dietro la quale una determinata azienda sia alla ricerca di una soluzione It ad alta disponibilità, non bisogna mai dimenticarsi che tra i primi passi da percorrere troviamo l’identificazione degli obiettivi da raggiungere e la valutazione sul come l’interruzione di uno o più determinati servizi influisca sul regolare svolgimento dell’attività aziendale. In effetti, un attento esame sull’esposizione ai rischi deve essere svolto per ogni divisione del business e la sua infrastruttura It di supporto. Idealmente questa esposizione deve poter essere quantificata in termini di fatturato perso per cause di downtime o per perdita di dati. Per alcune aziende, è dunque necessario compiere un Business Impact Analysis (Bia) al fine di quantificare l’esposizione ai rischi utilizzando una terminologia business piuttosto che tecnica, dunque più comprensibile dal management della società. Non importa quale metodo Bia si utilizzi, le aziende che accettano di valutare i rischi e di quantificare la propria esposizione sono ben preparate a individuare le soluzioni tecnologiche che meglio rispondono ai propri requisiti di disponibilità. Nel corso della valutazione dell’esposizione ai rischi di un determinato ambiente It, una particolare attenzione deve essere rivolta verso le funzioni del business che i sistemi It assistono. In particolare, se tali sistemi informatici non sono in grado, per qualsiasi ragione, di supportare le funzioni vitali, essi vengono rilevati come assenti dal business. E ciò si traduce in problematiche non unicamente tecniche ma inducono un chiaro impatto negativo sull’attività produttiva dell’azienda. In particolare mentre di redige una valutazione sull’esposizione ai rischi bisogna tenere bene a mente le seguenti voci.
È fondamentale riuscire a percepire qualsiasi interruzione dei servizi It dal punto di vista dell’utente. Con questa inquadratura, il raggiungimento della disponibilità, implica il raggiungimento di una totale disponibilità operativa. In effetti, è da tenere presente che qualsiasi interruzione nella catena It che supporta una specifica funzione del business, interrompe, di fatto, la disponibilità di tale funzione. Queste interruzioni possono avvenire a qualsiasi livello del servizio, e possono essere innestate da malfunzionamenti imputabili alla rete, ai server, alle applicazioni, al sistema operativo, piuttosto che allo storage. È inoltre vitale capire chi sono i reali utenti che accedono alle informazioni dell’azienda. Gli utenti possono, di fatto, essere interni o esterni all’organizzazione, quali per esempio dipendenti, clienti, partner o fornitori. Il punto di vista di ciascun utente deve dunque essere tenuto in considerazione, a secondo della tipologia dell’utente, quando si valuta l’esposizione ai rischi. Un determinato ambiente applicativo può, per esempio, essere più importante per alcuni utenti rispetto ad altri e bisogna, dunque, dedicargli un’attenzione più incisiva. Una volta che sono stati individuati i vari utenti che vengono impattati dalle interruzioni di servizi It, l'esposizione ai rischi di un'azienda può essere quantificata. Ciò significa essere in grado di associare l’interruzione di un servizio con una potenziale perdita di fatturato, e, idealmente, riuscire a calcolare il valore di “perdita di fatturato per ora di downtime”. In questo modo si avrà la possibilità di avere una chiara immagine della correlazione che intercorre tra ciò che deve essere messo a budget per le soluzioni ad alta disponibilità e le potenziali perdite di fatturato.
E’ importante segnalare che il valore di “perdita di fatturato per ora di downtime” può crescere man mano che l’interruzione di servizio progredisce. Per esempio, per la prima ora di interruzione di servizio, la catena di produzione di un’impresa potrebbe non essere impattata, in quanto i componenti di produzione e le risorse umane sono già perfettamente dispiegate; ma a un certo momento, se i nuovi materiali non dovessero più arrivare, la catena di produzione si potrebbe anche fermare del tutto. In questo caso la perdita di fatturato schizzerebbe verso l’alto in maniera incontrollabile. Un altro fattore altrettanto importante nel valutare l’esposizione ai rischi rimane quello di quantificare il costo dei dati perduti. Il suo calcolo può avvenire in molteplici modi: tipicamente si usa il valore di “fatturato perso per transazione persa”. Se tuttavia non fosse possibile ottenere questa misura, bisognerebbe calcolarlo con altre procedure empiriche. Effettivamente, non bisognerebbe mai sottovalutare l’importanza dei costi intangibili associati con la perdita dei dati, perché tali costi potrebbero essere simili rispetto a quelli evidenziati nel calcolo del costo di downtime di cui sopra. Nella maggioranza delle aziende e per molte spese It, una domanda che viene spesso posta risulta essere "Quale è il mio ritorno sull'investimento?" Questa tattica è utilizzata con lo scopo di giustificare molti costi legati all’It. Purtroppo, è spesso impossibile eseguire un’analisi di ritorno sugli investimenti per delle soluzioni tecnologiche di alta disponibilità. Questo perché le tecnologie di alta disponibilità non consentono a un’azienda di operare in maniera più efficiente o di snellire i processi. Inoltre, non consentono di attrarre ulteriori clienti grazie a delle funzionalità avanzate; di conseguenza, è forse meglio posizionare le tecnologie di alta disponibilità come un’autentica polizza assicurativa che permettono alle aziende di sopravvivere nel caso di un guasto ai sistemi It o di una perdita di dati. Una volta che sono stati compresi i concetti legati al ripristino e che si è riusciti a quantificare l’esposizione ai rischi dovuta al downtime dei sistemi It si è in grado di procedere con la definizione degli obiettivi di ripristino. Questo passaggio richiede l’individuazione di una specifica classe di recovery per gli ambienti applicativi aziendali. Una volta che la classe di ripristino è stata identificata, le tecniche e le tecnologie necessarie al fine di soddisfare gli obiettivi di ripristino possono essere selezionate e adottate.
Un metodo sicuramente più formale per valutare l’esposizione ai rischi è caratterizzato dal Business Impact Analysis (Bia). Come descritto in precedenza, grazie all’impiego di termini legati al business e al fatturato, il Bia cattura una fotografia dell’organizzazione, mettendo in risalto e quantificando le eventuali conseguenze indotte da vari tipi di interruzioni di servizio. Il Bia è inoltre in grado di prevedere come il passare del tempo possa impattare l’esposizione ai rischi globale e il ripristino a una situazione di assoluta normalità di aree specifiche. Infine, si è in grado di raccomandare le attività di pianificazione per la business continuity necessarie per la propria organizzazione al fine di prepararsi al meglio in caso di disastro. È consigliabile eseguire un Business Impact Analysis ogni qualvolta ci si stia preparando ad affrontare una strategia di business continuity o di business recovery. Inoltre, è fondamentale effettuare degli aggiornamenti qualora vengano implementati degli importanti cambi all'interno della propria organizzazione (per esempio l’introduzione di una nuova linea di prodotto oppure di una nuova strategia di business). Il Bia mette in allarme l’alta dirigenza sulle specifiche vulnerabilità dell’azienda e sulle loro conseguenze per il business: consente perciò di avere maggiori informazioni, aggiornate, al fine di prendere delle decisioni più mirate, ottimali e in tempi più brevi. In particolare permette di: stabilire le reali priorità in base ai costi e alle esigenze di progetto; definire le strategie necessarie per minimizzare il Recovery Time Objective e i costi associati; sviluppare delle soluzioni globali per il raggiungimento della business continuity. Tipicamente il Business Impact Analysis focalizza la propria attenzione su determinate aree critiche del business e dell’azienda, e più in particolare dal Bia si evincono:
• La vulnerabilità, quale la perdita di fornitura o di servizi che sono mission-critical per il supporto delle operazioni di produzione.
• L’impatto economico, quali le perdite dovute al mancato fatturato, ma anche eventuali multe per la mancata ottemperanza dei Service Level Agreement (Sla). • L’impatto operativo, quale la perdita di fiducia da parte degli utenti/clienti/fornitori/partner e inefficienza nel soddisfare la richiesta produttiva. • Le spese straordinarie scaturite per la ricostruzione dei dati e dei dispositivi di supporto persi.
• Le esigenze tecnologiche per il ripristino delle operazioni.
• Il supporto dei sistemi informatici critici, compreso la dipendenza da mainframe, server, LAN, PC e telecomunicazioni.
• Le procedure di ripristino alternative (se esistono)? Infine, una volta stilato il Bia, spetta al management utilizzare le informazioni del rapporto al fine di decidere:
• Quale business unit, operazioni e processi sono assolutamente essenziali per la sopravvivenza dell’organizzazione?
• Con quale rapidità le business unit o i processi essenziali devono tornare a essere operativi, prima che l’impatto diventi catastrofico?
• Quali strategie di ripristino alternative garantiscono di soddisfare le finestre di ripristino?
• Quali risorse sono necessarie al fine di ripristinare le regolari operazioni di business? Queste informazioni e queste decisioni formano le fondamenta per tutte le strategie in materia di business continuity dell’organizzazione. In conclusione, prima di imbarcarsi in una ricerca delle soluzioni per il ripristino dei sistemi It, l’azienda dovrebbe avere ben stimato l’esposizione ai rischi causata dell’interruzione dei servizi delle funzioni di business. In effetti, riuscire a quantificare tale esposizione, che comprende l’impatto sugli utenti, il costo del downtime e la perdita dei dati, risulta essere essenziale al fine di giustificare i costi di implementazione di soluzioni di ripristino delle operazioni. Una volta stabilito il livello di esposizione ai rischi e definiti i necessari obiettivi di ripristino, si è allora in grado di decidere su quale tecnologia adottare al fine di soddisfare tali obiettivi.