Business Continuity e Disaster Recovery rappresentano ormai due misure imprescindibili per scongiurare ed affrontare fermi aziendali di varia natura, senza subire conseguenze fatali per la propria impresa.
Soprattutto in questo periodo, è estremamente attuale e necessario essere in grado di pianificare la continuità operativa della propria impresa.
Con il termine Business Continuity (BC) si identifica la capacità dell’azienda di preservare la funzionalità operativa a seguito di eventi che minacciano la stessa, a qualunque livello (tecnologico e non solo).
Questa resilienza viene scrupolosamente analizzata e stabilita nel cosiddetto Business Continuity Plan (BCP), nel quale vengono puntualizzate le strategie da mettere in campo per mantenere la produttività.
Il sistema di gestione della continuità operativa enfatizza infatti l’importanza di:
- Comprendere esigenze, necessità e obiettivi dell’azienda per la continuità operativa
- Gestire processi, capacità e strutture di risposta per garantire la resilienza dell’organizzazione
- Implementare controlli e misure adeguate a fronteggiare e gestire una discontinuità
- Monitorare e riesaminare le prestazioni e l’efficacia dei sistemi di gestione aziendali
- Porsi degli obiettivi misurabili per ottimizzare l’apparato aziendale e migliorare continuamente il BCMS.
Gli standard di gestione del BCP
Dal momento che BC (Business Continuity) e DR (Disaster Recovery) sono due misure essenziali all’interno di un’organizzazione, le aziende devono rispondere alla necessità della continuità operativa adottando standard di gestione come:
1. ISO 27001 – “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”.
Questo documento normativo, soggetto a verifica e certificabile, espone le linee guida alle quali un’organizzazione deve fare riferimento per i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
2. ISO 22301 – “Societal security – Business continuity management systems – Requirements”.
Fornisce una serie di requisiti per implementare e gestire efficacemente un Sistema di Continuità Operativa.
Questi due standard indicano “cosa” fare in termini di:
- Identificazione del rischio
- Pianificazione di recupero
- Definizione di persone e responsabilità
- Gestione dei processi
- Valutazione delle prestazioni
- Riesame di direzione ed eventuali miglioramenti
- Documentazione delle informazioni verificabili anche tramite gli audit sul sistema di gestione della continuità operativa
ISO 27031 – “come” gestire un BCP
ISO/IEC 27031 – “Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity” è lo standard che fornisce sinteticamente le indicazioni ed il know-how su “come” predisporre un piano aziendale di Business Continuity.
Questo standard, strettamente correlato alla norma ISO 27001, descrive i concetti e i principi relativi alle tattiche di Business Continuity, oltre ad affermare che “le strategie dovrebbero definire gli approcci per implementare la necessaria resilienza in modo da mettere in atto i principi di prevenzione, rilevamento, risposta, recupero e ripristino dagli incidenti”.
Viene quindi presentato un framework di processi e metodologie atte a specificare tutti gli aspetti necessari per vantare un solido reparto ICT e un’infrastruttura performante, in grado di gestire serenamente un Business Continuity Plan.
Le sei categorie principali
Lo standard ISO 27031 ci raccomanda sei categorie da prendere in considerazione nel momento in cui si vanno a definire le pratiche IT relative alla Business Continuity:
- Competenze e conoscenze chiave
- Informazioni necessarie per gestire servizi ICT critici
- Titolari di queste informazioni
- Integrazione delle informazioni nelle conoscenze organizzative
- Disponibilità delle informazioni in caso di disastro
- Strutture
- Definizione dello stato ottimale delle infrastrutture in modo da ridurre al minimo i rischi di interruzione e i tempi di recupero
- Identificazione dei siti adatti ad ospitare le infrastrutture
- Tecnologie
- Identificazione delle tecnologie più importanti per il business aziendale
- Determinazione dei requisiti RTO (Recovery Time Object) e RPO (Recovery Point Object) delle tecnologie
- Identificazione delle interdipendenze tra le tecnologie critiche
- Dati
- Identificazione dei dati necessari per ripristinare le attività, e in quale RTO (considerando che RTO e RPO dei dati sono diversi rispetto a quelli dei servizi)
- Definizione dei controlli di sicurezza da osservare per la protezione dei dati
- Processi
- Identificazione dei processi da mettere in atto per affrontare un incidente o un disastro
- Definizione dell’integrazione dei punti dall’1 al 4 (in modo da ottenere un workflow incentrato nel fornire i servizi aziendali necessari)
- Fornitori
- Identificazione dei fornitori e delle forniture fondamentali per la continuità
- Determinazione delle modalità in cui i fornitori possono garantire il supporto ai requisiti di continuità aziendale
Ormai ci è chiaro che lo scopo delle norme per la gestione della BC è quello di specificare i requisiti per pianificare, stabilire, implementare, realizzare, monitorare, riesaminare, mantenere, e migliorare un sistema di gestione documentato per proteggersi da incidenti di ogni natura.
L’ulteriore obiettivo del BCP che ci teniamo a valorizzare è quello di progettare e costruire un’infrastruttura aziendale tale da ridurre quasi a zero le probabilità che avvengano eventi negativi provocati dall’uomo (come i cyber attacchi).
Per approfondire quanto un blocco operativo o una perdita di dati potrebbe costare alla tua azienda, utilizza il nostro calcolatore!