Una ricerca di Symantec lancia il sasso nelle acque agitate della sicurezza, scossa dai recenti eventi delle alluvioni del nord Europa (molte azienda stanno ancora facendo l'inventario dei danni) e della perdita dei dati del fisco inglese. Condotta sugli It manager di aziende con più di 500 dipendenti negli Stati Uniti e in 11 Paesi di Europa, Medio Oriente e Sudafrica, ha per oggetto proprio il disaster recovery e la business continuity. Dalla ricerca emerge che circa la metà delle strutture It si è trovata nella situazione di mettere in pratica i piani di disaster recovery della propria azienda. Purtroppo, pare che gran parte delle imprese non sottopone i piani a collaudi esaustivi né ad analisi di impatto, esponendosi in questo modo a rischi elevati. Chi invece i collaudi li fa, va incontro a un numero minore di guai. In ogni caso, nei business executive aumenta la sensibilità nei confronti di queste problematiche e della necessità di piani adeguati per il disaster recovery.
Che si spera sempre di non dover mai mettere in pratica. E invece, come già detto, quasi la metà delle imprese intervistate li hanno dovuti attivare. Addirittura c'è che, scalogna oblige, si è trovato a far fronte in un breve lasso di tempo a tre-quattro eventi disastrosi. Spesso implicati, ahinoi, applicazioni mission critical. Gli intervistati non temono solo la perdita di dati, di per sé gravissima, ma la stragrande maggioranza di essi si preoccupano per le ripercussioni negative a livello di immagine e di reputazione, dell'eventuale crollo di fiducia da parte dei clienti, e dell'impatto negativo sul tasso di competitività dell'azienda. I problemi non finiscono qui. La maggioranza degli intervistati dichiara di sottoporre a collaudo costante i piani; peccato che una parte cospicua di essi, il 48%, dichiari nel contempo che i collaudi falliscono per problemi vari: tecnologie che non mantengono le promesse, utenti, processi. E quando i test funzionano, i collaudi e le valutazioni di impatto e probabilità sono incompleti, lasciando dubbi irrisolti circa l'effettiva efficacia di tali strumenti. Il fatto è che le valutazioni di impatto vengono fatte per la gran parte per un tipo di minaccia; solo il 40% delle organizzazioni afferma di effettuare verifiche per tutti tipi di minacce, mentre il 12% non fa proprio nulla. L'area di rischio meno collaudata? Il configuration change management. Tra le ragioni che spingono le aziende a dotarsi di sistemi di sicurezza, vanno per la maggiore i disastri naturali e gli attacchi terrotistici, gli attacchi di virus, i guasti dei computer, le minacce informatiche che arrivano dall'esterno.
Estrapolando i dati relativi all'Italia, si scopre che le organizzazioni nostrane effettuano test dei loro piani di disaster recovery in media ogni 8,8 mesi. Server per database e applicazioni sono coperti in tutti i piani di disaster recovery, mentre le tecnologie mobili sono alquanto trascuarate: i dispositivi palmari entrano nel 40% dei piani di disaster recovery, i laptop nel 41 per cento.
