Le PMI poco preparate alla gestione dei disastri

Symantec ha presentato i risultati dello studio 2009 SMB Disaster Preparedness Survey, dal quale emerge un quadro degli atteggiamenti e delle misure adottate dalle PMI e dai loro clienti in termini di preparazione tecnologica agli eventi disastrosi.

Dallo studio emerge una discrepanza sostanziale fra come le PMI percepiscono il loro livello di preparazione ai disastri e la reale capacità di reazione di cui dispongono; i dati suggeriscono inoltre che il downtime delle PMI pesa fortemente dal punto di vista economico sui rispettivi clienti.

Ne consegue che le PMI possono, come spesso accade, perdere contratti proprio a causa del loro livello di impreparazione a gestire eventuali disastri.

Lo studio Symantec SMB Disaster Preparedness è il risultato della ricerca condotta nei mesi di agosto e settembre 2009 da Applied Research sui responsabili di computer e risorse tecnologiche presso le PMI.

Il report aveva come obiettivo quello di misurare l’impatto e il livello di preparazione nel disaster recovery, le percezioni e le metodologie delle imprese di piccole e medie dimensioni.

L’analisi ha riguardato oltre 1.650 individui – 49 in Italia – di 28 Paesi fra Nordamerica, EMEA (Europa, Medio Oriente e Africa) Asia Pacifico e America Latina.

“Questo studio evidenzia come le PMI non si rendono davvero conto dell’impatto che le interruzioni di servizio producono sulla clientela, soprattutto potendo disporre dei giusti strumenti per essere preparate a gestire gli eventi disastrosi”, ha spiegato Giancarlo Marengo, Country Manager Italia di Symantec.

“Nessuno vuole che accadano episodi di disastro, ma la realtà è ben diversa. Ecco perché anziché continuare a restare impreparate, le PMI dovrebbero adottare poche e semplici attenzioni per proteggere i loro dati.

Leggi anche:  Allarme ransomware. Resilienza cyber e GDPR compliance

Inoltre, il fatto di comunicare ai propri clienti i piani adeguati per il recupero dei dati contribuisce a rafforzarne le relazioni e a porsi come partner di fiducia”.

Elevata fiducia nel livello di preparazione

I risultati rivelano che le PMI si sentono sicure rispetto al loro livello di preparazione in caso di disastro; l’82% degli intervistati ha affermato di essere abbastanza/molto soddisfatto dei piani di disaster recovery della propria azienda, e una percentuale simile (84%) ha dichiarato di sentirsi abbastanza/molto protetto in caso di eventi disastroso.

Le PMI ritengono inoltre che i rispettivi clienti si mostrerebbero comprensivi e pazienti laddove si verificasse un disservizio di natura tecnologica, e solo secondo un terzo (34%) i clienti valuterebbero altre opzioni rivolgendosi alla concorrenza.

La realtà: un senso di fiducia ingiustificata

Le metodologie utilizzate dalle PMI rivelano però che questa fiducia è del tutto ingiustificata: in media, queste PMI hanno vissuto tre casi di disservizio negli ultimi 12 mesi, causati principalmente da virus o hacker, interruzioni di corrente o disastri naturali.

Un dato allarmante alla luce del fatto che tali aziende non dispongono ancora di un piano a supporto di tali situazioni.

Dalla ricerca è emerso che solo una PMI su cinque (23%) esegue giornalmente le operazioni di back up e in media queste riguardano solo il 60% dei dati aziendali e di quelli dei clienti.

Oltre la metà delle PMI ritiene che perderebbe il 40% dei dati corporate se i sistemi di elaborazione dovessero andare distrutti in caso di incendio.

Downtime: pesante impatto sui clienti

I clienti delle PMI oggetto dello studio hanno riferito che il costo delle interruzioni di servizio ammonta in media a 15.000 dollari al giorno. Interruzioni il cui impatto è notevole, e che nel 42% dei casi durano otto ore e oltre. Un cliente su quattro (26%) ha dichiarato la perdita di dati rilevanti.

Leggi anche:  DTrack, il nuovo spy-tool di Lazarus che colpisce istituzioni finanziarie e centri di ricerca

Due clienti su cinque (42%) hanno cambiato vendor in quanto “non si sentivano sicuri rispetto ai sistemi e alle tecnologie utilizzate, ritenute inaffidabili”.

Un dato in netto contrasto con quello dei due terzi delle PMI che conta su un “atteggiamento paziente e comprensivo da parte dei clienti in caso di disastro in attesa che le risorse vengano ripristinate”.

Un altro effetto collaterale del downtime è il danno in termini di reputazione aziendale. Il 63% dei clienti ha dichiarato che i downtime hanno fortemente intaccato la percezione nei confronti del vendor.

La situazione in Italia

I risultati italiani seguono il trend di quelli EMEA e globali: ne emerge che anche le piccole e medie aziende italiane si sentono sicure del loro livello di preparazione ad affrontare un disastro, anche se di fatto non lo sono.

L’unico dato nel quale l’Italia si discosta significativamente dal resto dell’EMEA è sull’ esistenza di un piano per far fronte alle emergenze legate ad un disastro: infatti l’88% delle aziende italiane intervistate, contro il 45% EMEA, ha dichiarato di avere già posto in essere un piano per far fronte ad un’interruzione del servizio.

Dalla ricerca emerge però che solo il 15% degli intervistati italiani esegue giornalmente le operazioni di back up e in media queste riguardano solo il 60% dei dati aziendali e di quelli dei clienti, il che denota una sostanziale inadeguatezza dei piani posti in essere sinora nel far fronte alle emergenze.

Suggerimenti e indicazioni

Di seguito sono riportati alcuni suggerimenti di Symantec per la definizione dei piani:

Identificare le necessità: le PMI dovrebbero ben valutare quali sono i dati critici da proteggere e mettere in sicurezza, assegnando la giusta priorità a informazioni relative ai clienti, dati finanziari e aziendali, segreti commerciali e documenti sensibili. Inoltre, le PMI dovrebbero monitorare i report di settore utili per identificare e prevenire le minacce tipicamente affrontate da questo segmento.

Leggi anche:  Il Gruppo hacker APT34 colpisce governi, industria energetica e oil&gas

Affidarsi a consulenti fidati: disponendo di tempo, budget e risorse limitati, le PMI dovrebbero considerare di coinvolgere un solution provider nella creazione di piani, nell’implementazione di prodotti di protezione automatizzata e nel monitoraggio di tendenze e minacce. Dovrebbero inoltre formare i dipendenti sui metodi di recupero delle informazioni dai backup e consigliare supporti storage distaccati per tutelare i dati critici.

Automatizzare dove possibile: automatizzare il processo di backup ne garantisce l’effettivo svolgimento. Le PMI dovrebbero ridurre i costi di downtime implementando strumenti automatizzati che minimizzano l’intervento umano e che risolvono altri punti di debolezza dei piani di disaster recovery.

Eseguire test annuali: recuperare i dati è il momento peggiore per rendersi conto che le informazioni ricercate in realtà non hanno subito il backup come previsto. I test condotti sulle soluzioni di disaster recovery hanno un valore elevatissimo e le PMI dovrebbero cercare di migliorarne la percentuale di successo valutando e implementando metodologie non-disruptive.