CISOaaS
8. La continuità operativa
Roberto Perelli
Settembre 12, 2022
4:58 pm
Un Piano di continuità Operativa sostenibile rappresenta un importante valore aziendale spendibile sia con i Clienti che con i Fornitori.

Quando si parla di “continuità operativa” spesso la si associa mentalmente a situazioni catastrofiche come la pandemia COVID, l’inagibilità della sede (es. incendio, allagamento), indisponibilità dei sistemi informatici per ransomware, guasto tecnico (es. l’incendio data center OVH di Strasburgo) e così via.


La continuità operativa ha però un respiro ampio e strategico, è una politica aziendale permanente che ha l’obiettivo di mantenere operativa l’Azienda in tutte le sue funzioni anche in situazioni avverse;

si riflette in tutte le scelte che riguardano elementi critici per le normali operazioni, non solo quelle relative ad eventi disastrosi.


Alcuni esempi:

- collegarsi a due carrier di connettività internet di 500 Mbps anziché uno da 1 Gbps, per parallelizzare il traffico ed in caso di indisponibilità di un carrier continuare ad essere connessi ed operare;


- installare le apparecchiature critiche (router, switch, firewall, server critici) in cluster ridondati (High Availability);


- adottare configurazioni Fault-tolerant (es. dischi in RAID5);


- disporre di un piano sistematico di formazione del personale per ricoprire in emergenza mansioni critiche in caso di indisponibilità delle persone titolari;


- scegliere fornitori affidabili e preparare alternative di fornitura;


- ecc.


La normativa standard universalmente adottata è la ISO 22301.


Non tutte le Aziende sono in grado di intraprendere il percorso di certificazione, ma tutte dovrebbero, in misura delle loro risorse, adottare decisioni che ne aumentino la resilienza e predisporre il proprio Piano di Continuità Operativa (BCP).


Anche per il BCP le basi indispensabili sono la gestione dei rischi e l’inventario di informazioni, processi, strumenti e persone.


È importante che l’Azienda definisca il Gruppo permanente responsabile del progetto BCP definendo con chiarezza ruoli e responsabilità, il Fractional CISO ad esempio coordina le attività attinenti la Sicurezza delle Informazioni.


Il Gruppo, con il contributo essenziale degli Esperti dell’Azienda individua i principali scenari di rischio e per ognuno si elabora Business Impact Analysis (BIA) per stabilire e quantificare cosa accadrebbe in termini di danni ed operatività.


In base a quanto emerge si assegnano le priorità agli scenari per determinare l’allocazione delle risorse per predisporre, ove possibile e conveniente, misure di contenimento per ridurre il rischio o l’impatto (es. trasferimento dello stabilimento in una zona con minore rischio di alluvioni oppure installazione di bacini e pompe che contengano l’eventuale allagamento) e il piano di azione per ripristinare le attività operative (es. sede alternativa di emergenza, trasferimento di macchinari, attivazione di un data-center alternativo, disposizione di accessi sicuri per il lavoro da casa dei dipendenti, ecc,)


In caso di “disastro”, per ogni funzione aziendale devono essere definite la criticità per l’Azienda e le dipendenze al fine di stabilire le priorità nelle attività di ripristino (vedi 11. Il Disaster Recovery).


Il successo del BCP nel momento della sua attuazione dipenderà da quanto è stato condiviso e reso “famigliare” con le persone dell‘ Azienda, in particolare quelle che hanno un ruolo operativo nel BCP e da quanto è aggiornato rispetto alla situazione attuale dell’Azienda.

Category : Fractional CISO – Istruzioni per l’uso