Business Continuity
Business Continuity
La gestione del Business Continuity corrisponde alla capacità di mantenere attivi i propri processi aziendali, i servizi, le tecnologie, incluse le attività dei dipendenti.
IL BMC interviene soprattutto nella risoluzione di situazioni avverse. Il compromesso sono performance differenti rispetto alla normale operatività.
La gestione del Business Continuity dovrebbe essere conforme allo standard ISO 22301, che dà una definizione della soluzione e chiarisce le fasi operative che permettono la sua attuazione.
IL BMC consiste infatti in un insieme strutturato di processi che hanno l’obiettivo di:
- assicurare la “sopravvivenza” di tutte le funzioni essenziali dell’azienda
- identificare gli eventi e gli incidenti che potrebbero minare la continuità del business aziendale
- ridurre complessivamente i rischi correlati alla continuità operativa aziendale, attraverso una prevenzione delle conseguenze sul piano gestionale, amministrativo e legale
Per garantire la corretta successione di queste fasi, bisogna tenere conto di tre componenti indispensabili per un sistema di gestione della Business Continuity:
- La valutazione degli impatti sul business BIA (Business Impact Analysis) ovvero la mappatura dei processi aziendali fondamentale per identificare l’impatto e la criticità sul business. Queste permettono di definire la tempistica di ripristino (RTO) oltre che la mappa delle risorse necessarie per mantenere livelli di funzionamento dei processi accettabili.
- Il piano di continuità operativa, BCM (Business Continuity Plan) è il complesso di procedure formalizzate che guidano le aziende nel rispondere all’incidente, recuperare e ripristinare i processi critici ad un livello sufficiente e in un tempo stabilito (RTO)
- IL piano IT di recupero dei sistemi informatici da situazioni di disastro, DRP (Disaster Recovery Plan). Ovvero un processo documentato per recuperare una infrastruttura IT in caso di disastro. Un disastro IT può essere sia fisico, come ad esempio un incendio l’inondazione del data-center, sia logico, come ad esempio cyber attack, ransomware
Cyber Security
Il NIST (Istitituto nazionale degli standard e delle tecnologie americano) definisce la Cyber security come: “The ability to protect or defend the use of cyberspace from cyber attacks”.
Lo stesso NIST definisce il Cybespace come “A global domain within the information environment consisting of the interdependent network of information systems infrastructures including the Internet, telecommunications networks, computer systems, and embedded processors and controllers”.
La Cyber security è riconosciuta come la seconda emergenza in Europa, dopo il cambiamento climatico e addirittura prima dell’immigrazione.
Si tratta di una dichiarazione contenuta anche nel discorso del presidente della Commissione Europea Jean-Claude Junker sullo stato dell’Unione. É, infatti, da diversi anni che i governi di tutto il mondo riservano un ampio spazio nelle loro agende alla Cyber Security.
Gli attacchi cyber sono diventati al pubblico dei non esperti soprattutto in relazione alla violazione della riservatezza dei dati personali.
Tuttavia, bisogna tenere presente che questi rappresentano una minaccia concreta anche nei confronti della continuità operativa dei sistemi informatici e quindi delle aziende.
Infatti, il blocco operativo, il furto di dati, della proprietà intellettuale o di informazioni cruciali per la sopravvivenza di un’azienda, sono solo alcuni degli esempi delle maggiori minacce che ogni organizzazione deve affrontare.
Ecco perché il ruolo di aziende che si occupano di sicurezza informatica come Technoinside diviene oggigiorno sempre più centrale.
Un esempio concreto che può aiutarci a comprendere meglio quanto detto, risale al giugno 2017. La nota società danese Maersk, gigante della logistica, finì su tutti i giornali per essere stata coinvolta nell’attacco noto come “NotPeya”.
Si trattava di un particolare tipo di ransomware che ha messo offline tutti i sistemi informatici dell’azienda e che ha subito perdite che superano i 300 milioni. Mentre l’impatto sull’economia globale ha superato i 10 milioni di dollari.
In un contesto di questo tipo è possibile ipotizzare che il danno economico Maersk sarebbe stato notevolmente ridotto dalla presenza di un piano di Business Continuity che avesse considerato lo scenario “impossibile” di indisponibilità totale dei sistemi informativi.
Il caso di Maersk rappresenta un’eccezione. Perché situazioni simili si potrebbero riscontrare in tutti i CIO e CISO di piccole, grandi e medie aziende, già in difficoltà nella difesa quotidiana da attacchi continui di vario tipo.
Il volume e la complessità delle minacce informatiche cresce infatti ogni anno, così come i danni economici conseguenti. Essi derivano dai costi di ripristino del sistema, di gestione dell’evento, di notifica a terzi coinvolti, di difesa legale.
In ultimo, ma non meno importante, gli attacchi alla sicurezza minano la reputazione dell’azienda.
Per gestire le minacce alla cyber security è importante quindi che le aziende monitorino i potenziali cyber risk e sviluppino di conseguenza strategie di risposta.
A queste strategie è necessario collegare il sistema di continuità operativa (BCM) dell’azienda, in modo che in caso di eventi cyber l’azienda possa rispondere tempestivamente con un piano d’azione di sicurezza ben coordinato e mantenere attivi i processi critici aziendali, anche se si verifica una effettiva compromissione della disponibilità dei sistemi IT.
É in queste fasi che si rivela la centralità dei processi di gestione del Business Continuity di Technoinside.
Il BMC integrato nelle soluzioni di cyber security può semplificare la vita alle organizzazioni anche nell’adempiere ai vincoli delle normative vigenti in materia come ad esempio quelli indicati dal nuovo Regolamento Europeo sulla privacy (GDPR).
Nello specifico, l’articolo 32, richiama la necessità di “assicurare la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”, e più avanti “la capacità di ripristinare tempestivamente la disponibilità”.
A ciò si aggiunge, nell’ambito la notifica delle violazioni di sicurezza (Art. 33), l’obbligo per le organizzazioni di informare le autorità di controllo entro 72 ore dal momento in cui si viene a conoscenza di una violazione di sicurezza, pena l’applicazione di pesanti sanzioni.
Alla luce di quanto detto ne consegue che uno scenario di rischio cyber deve essere sempre considerato nel corso di un progetto di gestione della Business Continuity. In particolare nelle fasi BIA e Risk Assessment, e quindi nella stesura del BCP.
Scegli dei professionisti per la gestione della sicurezza informatica. TechnoInside mette a disposizione dei consulenti che ti forniranno tutti i chiarimenti di cui hai bisogno!
Integrare Business Continuity e Cyber Security
Un recente studio condotto dal Ponemon Institute sul costo dei data breach, evidenzia come le organizzazioni che associano la Cyber Security al Business Continuity Management, hanno ridotto significativamente il tempo medio per affrontare le violazioni di dati. Oltre che le probabilità di subire incidenti analoghi in futuro.
Lo studio riporta infatti che un BCP ben definito contribuisce a ridurre i costi di una violazione dei dati, in media di $9 per record. Questo perché si mantengono attive e operative le attività aziendali.
L’integrazione della Cyber security con il Business Continuity Management risulta facile ed efficace se si mettono in atto le seguenti azioni:
- Includere la BIA nel processo di analisi del rischio informatico, e viceversa considerando le dipendenze dai sistemi informativi durante la BIA
- coinvolgere il top management nella definizione della strategia di risposta agli incidenti e di continuità aziendale. E per spiegare la presenza di nuovi scenari di incidente “cyber”
- Identificare soluzioni tecniche di continuità dei sistemi IT che considerino sia gli scenari tipici di disastri “fisici” (e quindi un sito di Disaster Recovery) sia scenari di incidente logico
- Allineare l’attuazione delle strategie di business continuity alle procedure esistenti di sicurezza delle informazioni e viceversa
- Sviluppare un sistema di continuità operativa che consideri anche le dipendenze da terze parti di natura informatica (hosting, cloud provider,..)
- Relazionare periodicamente al management aziendale sullo stato di gestione del rischio cyber includendo informazioni sugli indispensabili test di continuità operativa
- Elaborare un efficace piano di comunicazione in caso di crisi, rivolto a tutti gli stakeholder che consideri gli obblighi di legge (GDPR)
Noi di Technoinside ti seguiremo passo passo in ciascuna fase per realizzare al meglio il processo di integrazione di Business continuity e cyber security. E per qualsiasi dubbio, non esitare a contattarci!
Conclusioni
In situazioni estreme come la caduta totale dei sistemi informativi per più giorni, risulta evidente che l’implementazione di un sistema di gestione della Business Continuity esteso alla cyber security, consente alle aziende di reagire in modo più efficace, infatti:
- La BIA permette la completa identificazione e valorizzazione dell’importanza dei dati e dei sistemi informatici posti a supporto dei processi vitali dell’azienda
- Il BCP permette di definire un piano per garantire di operare ad un livello minimo accettabile, anche in assenza di sistemi informativi
- ll DRP considera non solo gli scenari di distruzione fisica, ad esempio del data center, ma anche la reazione in presenza di incidenti logici.
Per aumentare la resilienza complessiva delle aziende è opportuno che queste agiscano contemporaneamente su due fronti. Innanzitutto, la definizione e l’implementazione di un sistema di gestione della cyber security, focalizzato sulla prevenzione.
Al tempo stesso predisponendo un piano di gestione del Business Continuity da attuare nell’eventualità che un evento avverso evento di cyber security renda comunque indisponibili i propri sistemi informativi.
La combinazione di queste due pratiche moderne di Risk Management, il loro continuo test e miglioramento, è certamente capace di aumentare le possibilità di sopravvivenza delle aziende anche nelle condizioni più estreme.
La continuità operativa dei sistemi IT è una priorità per le aziende di tutti i settori: da essa dipende la continuità di tutti i processi operativi e quindi la capacità produttiva della tua azienda.
Un piano sicuro di Business Continuity progettato su misura, con cui ridurre al minimo i rischi di interruzione imprevista dei processi operativi.
Disegniamo soluzioni di Recovery su misura per te che si adattano alle esigenze di piccole e medie aziende. Contattaci per scoprire di più!