Che cosa è il Piano di continuità aziendale? A cosa serve?
In questo articolo cercherò di farti capire perchè è importante averlo in azienda.
Che cosa si intende con Disaster Recovery? Te lo spiego in questo articolo.
Piano di continuità aziendale
Il piano di continuità aziendale o Business Continuity Plan è un documento che specifica come l’organizzazione può continuare ad operare in caso di incidente legato alla sicurezza informatica.
In pratica si tratta di un piano logistico, uno strumento con cui un’ organizzazione si prepara per futuri incidenti che possono minacciare l’intera Azienda o Ente Pubblico.
Possiamo identificare il processo strategico e tattico (Business Continuity Management) che serve a garantire appunto il livello minimo accettabile per garantire all’Azienda o Ente il corretto funzionamento del sistema anche dopo un attacco alla sicurezza informatica.
Il Business Continuity Plan può contenere il piano di Disaster Recovery.
Disaster Recovery
Quest’ultimo è l’insieme di processi e tecnologie che servono a ripristinare l’intero sistema informatico, compresi dati e infrastrutture, in caso di gravi emergenze che spesso vengono classificati come disastri.
Lo standard ISO/IEC 270025 stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità. Tale standard fa riferimento al Business Continuity Management, descrivendo tale processo utile a “neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti”.
Gli eventi che potrebbero pregiudicare la continuità del business, come indicato in [1] sono:
– eventi imprevisti che possono inficiare l’operatività dei sistemi;
– malfunzionamenti dei componenti Hardware e Software;
– errori operativi da parte del personale incaricato della gestione o da parte degli utilizzatori;
– introduzione involontaria di componenti dannosi per il sistema informativo e di rete;
– atti dolosi miranti a ridurre la disponibilità delle informazioni.
Per definire il piano di continuità aziendale o Business Continuity e di Disaster Recovery bisogna iniziare a valutare gli impatti con la cosiddetta Impact Analysis, che rappresenta l’analisi e la valutazione degli impatti derivanti dall’indisponibilità delle risorse, non solo quelle tecnologiche, ma anche umane e fisiche.
L’obiettivo principale di tale analisi è la definizione dei tempi di ripristino.
Le metriche dei requisiti tecnologici sono:
→ RTO (Recovery Time Objective) : esprime in unità di tempo l’intervallo temporale ammissibile di indisponibilità dei sistemi in seguito ad un disastro.
→ RPO (Recovery Point Objective) : esprime in unità di tempo, l’ammontare massimo di dati che possono essere persi in seguito ad un disastro.
Per la determinazione dei parametri RTO e RPO si utilizzano le modalità di Business Impact Analysis (BIA) e il Risk Assessment (RA) prima descritti.
Dai risultati della BIA e della RA, dopo una attenta analisi dei costi/benefici si determino i valori di RPO e RTO per l’implementazione del piano del Disaster Recovery.
Quindi, nella progettazione dei piani della gestione della continuità operativa (piano continuità aziendale) , bisogna considerare i seguenti criteri, sempre come illustrato in :
– assicurare il coordinamento e l’integrazione delle attività di gestione delle emergenza con le attività di analisi e gestione dei rischi operativi;
– sviluppare una gestione della continuità in relazione agli impatti che i processi e le infrastrutture di supporto hanno sui servizi erogati;
– considerare le logiche di gestione della continuità come parte integrante e non aggiuntiva della gestione delle attività di cui ciascuna area è titolare;
– garantire un mix di interventi di tipo organizzativo e tecnologico adeguato, con una costante attenzione al rapporto costi/benefici;
– disegnare una struttura di responsabilità chiara e coerente e attribuire esplicitamente le responsabilità aggiuntive ai ruoli già esistenti o nuovi;
– garantire che le nuove logiche di gestione della continuità siano un patrimonio dell’intera organizzazione e che ciascun dipendente contribuisca affinché queste diventino parte integrante della cultura organizzativa;
– definire e monitorare i livelli di servizio per garantire l’affidabilità e la continuità di erogazione dell’infrastruttura tecnologica.
Nello sviluppo di tali piani, bisogna considerare due aspetti: tecnologici e organizzativi.
Per quanto riguarda i primi, bisogna considerare i tempi di backup dei dati, la realizzazione dei centri di calcolo alternativi, l’individuazione di reti di comunicazione alternative al provider principale.
Per quanto riguarda gli aspetti organizzativi, invece, bisogna assegnare le eventuali responsabilità individuali, le procedure di rilevazione e segnalazione dell’emergenza, le operazioni per la riattivazione dei servizi essenziali, la gestione della comunicazione dello stato di emergenza al personale interno ed esterno, i corsi periodici di sensibilizzazione e formazione, il programma di test per verificare l’efficacia delle contromisure e delle procedure di recovery.
Per quanto riguarda il salvataggio dei dati, per avere un miglioramento del parametro RPO, si possono adottare tecniche di duplicazione remota di dati.
E’ possibile replicare i dati in modo continuo e completo (mirroring geografico) o inviare solo le variazioni alle basi di dati (Remote DB logging).
Alla base di tutto è buona regola impostare una password sicura. Leggi come scegliere una password sicura per saperne di più.