Per lungo tempo la cybersecurity è stata affrontata come un esercizio di prevenzione: innalzare barriere, aggiungere controlli, moltiplicare i livelli di difesa per impedire l’accesso alle minacce. Un’impostazione che resta necessaria, ma che oggi mostra con chiarezza i suoi limiti. Il ransomware moderno ha dimostrato che anche le architetture più strutturate possono essere compromesse e che, quando la prevenzione viene aggirata, la capacità di recupero assume un ruolo decisivo per la sopravvivenza operativa delle organizzazioni. L’attenzione si sposta quindi dalla violazione in sé alla possibilità di tornare rapidamente operativi in condizioni affidabili. Con un costo medio dei sinistri ransomware che supera 1,18 milioni di dollari, il ripristino incide direttamente sulla continuità operativa e sulla sostenibilità del business. Il disaster recovery smette di essere una funzione marginale dell’IT e diventa una componente strutturale delle strategie di protezione e gestione del rischio.
Questo cambiamento di prospettiva è particolarmente evidente negli ambienti IT ibridi, dove convivono infrastrutture on-premise, cloud pubblici e servizi gestiti. Nel corso degli anni, molte organizzazioni hanno investito in ridondanza infrastrutturale, data center distribuiti e sistemi di alta disponibilità, soluzioni efficaci contro guasti fisici o interruzioni accidentali. Le minacce attuali, tuttavia, sono progettate per muoversi lateralmente all’interno delle reti e sfruttare i meccanismi automatici di replica che caratterizzano questi ambienti.
Quando un attacco ransomware si propaga nell’infrastruttura, anche i sistemi di backup e di failover possono rientrare nel perimetro di compromissione. La replica dei dati e dei carichi di lavoro rischia così di estendere l’infezione agli ambienti secondari, coinvolgendo le stesse risorse destinate al ripristino. Architetture nate per garantire continuità operativa finiscono quindi per amplificare l’impatto dell’incidente, anziché limitarlo.
A questa dinamica si somma un problema operativo spesso sottovalutato: la frammentazione degli strumenti. In molti ambienti IT, backup, disaster recovery e sicurezza vengono gestiti tramite soluzioni diverse, integrate in modo parziale o del tutto indipendente. Questo approccio, spesso definito Franken-stack, introduce complessità, riduce la visibilità complessiva e rende difficile coordinare le attività di risposta e ripristino quando il tempo diventa una variabile critica. Il risultato è un aumento dei costi e una maggiore esposizione agli errori proprio nelle fasi più delicate.
Un ulteriore fattore di rischio riguarda la gestione diretta delle infrastrutture di disaster recovery. I modelli tradizionali prevedono ambienti di ripristino di proprietà, progettati, mantenuti e messi in sicurezza dalle stesse organizzazioni che dovrebbero utilizzarli solo in caso di emergenza. Proprio perché raramente attivati, questi ambienti tendono a non essere allineati rispetto ai sistemi di produzione, sia in termini di aggiornamenti sia di configurazioni di sicurezza. Quando si verifica un incidente reale, i team sono chiamati a operare su infrastrutture poco utilizzate e poco familiari, con un conseguente aumento del rischio operativo.
Con queste premesse, il successo del disaster recovery non può più essere misurato esclusivamente in termini di tempo di ripristino. Accanto ai tradizionali indicatori, assume un ruolo centrale il mean time to clean recovery (MTCR), ovvero il tempo necessario per tornare operativi su sistemi verificati e privi di malware. Un ripristino rapido su ambienti compromessi finisce per prolungare l’incidente e moltiplicarne gli effetti.
Da qui nasce l’esigenza di superare un’impostazione esclusivamente preventiva e adottare un approccio orientato alla cyber resilience, in cui il disaster recovery viene semplificato e trattato come un servizio. Il modello di disaster recovery as a service (DRaaS) risponde a questa esigenza eliminando la necessità di mantenere infrastrutture di ripristino di proprietà e spostando il recovery su ambienti cloud predisposti, mantenuti e aggiornati in modo continuo.
Su queste basi si inserisce l’approccio di Acronis, che integra backup, disaster recovery e sicurezza in un’unica piattaforma. Con Acronis Cyber Protect e il ripristino dei carichi di lavoro direttamente sull’Acronis Cloud, e operazioni di recupero avvengono su infrastrutture gestite dal provider, progettate per supportare il ritorno alle operazioni in condizioni controllate e verificabili. Questo consente di ridurre il rischio operativo nelle fasi più critiche e di focalizzarsi su un obiettivo chiaro: recuperare rapidamente sistemi affidabili e privi di compromissioni, garantendo la continuità del business anche dopo un incidente grave.
A cura di Umberto Zanatta, Senior Solutions Engineer, CISM e CISSP di Acronis
