Nel corso del 2024 è stato introdotto un emendamento alla ISO 27001:2022 (standard internazionale che descrive le best practices per un sistema di gestione della sicurezza delle informazioni) che sottolinea l’importanza di implementare misure atte a garantire la continuità operativa e la resilienza informatica di fronte ai rischi connessi col climate change.
I rischi del cambiamento climatico
Gli eventi catastrofici collegati al cambiamento climatico son sempre più frequenti. Per esempio:
- Eventi che possono compromettere le infrastrutture delle reti di comunicazione, di produzione o smistamento dell’energia, i ripetitori, le aree aziendali che ospitano i server e le apparecchiature: alluvioni, inondazioni, trombe d’aria, incendi dovuti a siccità
- Eventi che possono compromettere infrastrutture costiere, quali l’innalzamento del livello del mare
- Situazioni connesse alla siccità quali incendi , carenza di risorse idriche, abbassamento del livello idrico che può compromettere il funzionamento delle centrali idroelettriche e conseguente frazionamento dell’energia e problematiche connesse con la refrigerazione dei data center
- aumento dell’aggressività degli animali che può comportare un danneggiamento delle infrastrutture
Le strategie possibili
John Holdren, consigliere dell’ex-presidente Obama, già nel lontano 2007 aveva postulato il seguente concetto: “Fondamentalmente abbiamo tre scelte: mitigazione, adattamento e sofferenza. Faremo un pò di tutte e tre. La domanda è quale sarà il mix. Maggiore sarà la mitigazione, minore sarà la necessità di adattamento e minore sarà la sofferenza”.
Dal punto di vista della sicurezza informatica questo concetto si concretizza in due strategie:
- quella mirata a mitigare gli effetti sull’ambiente attraverso buone prassi quali: l’adozione di apparecchiature a ridotto impatto energetico, una corretta policy di standby, l’acquisto di energia esclusivamente da fonti rinnovabili
- quella mirata all’adattamento dei sistemi di gestione per renderli più resilienti ai cambiamenti, quali l’adozione di un piano per contrastare la mancanza dell’energia elettrica necessaria, un piano di disaster recovery, l’adozione di sistemi ridondanti.
Le misure proattive
Vi sono delle misure strutturali da adottare già nella fase di progettazione dell’infrastruttura che rispondono pienamente alla necessità di fronteggiare i cambiamenti climatici.
- Le strutture fisiche dovrebbero essere situate e costruite considerando le caratteristiche del terreno locale, come il livello altimetrico, la vicinanza di corsi o specchi d’acqua, la distanza da argini, la presenza nelle aree limitrofe di boschi, fabbriche o edifici con elevato pericolo di incendio. Gli interruttori di emergenza e le valvole per interrompere l’acqua, il gas o altri servizi tecnici dovrebbero essere collocati vicino alle uscite di emergenza o nei locali tecnici.
- Per quanto riguarda l’incendio, usare materiali ignifughi per costruire e arredare. Creare porte e pareti tagliafuoco per fermare o rallentare il fuoco e mettere i cavi in canaline, per evitare polvere e corto circuiti. Installare sistemi che possano rilevare l’incendio già a partire dall’innalzamento della temperatura o dal fumo e che siano collegati ad allarmi o a sistemi di spegnimento, possibilmente a gas inerte per non danneggiare l’elettronica. Disporre di idonei estintori in prossimità delle apparecchiature e rispettare le indicazioni del costruttore per evitare il surriscaldamento delle stesse.
- Per fronteggiare potenziali allagamenti bisogna porre attenzione alla progettazione della sala server che dovrebbe essere sistemata ai piani alti , dotata di pavimenti e pareti resistenti all’acqua, con strutture sopraelevate per salvaguardare le attrezzature da eventuali acquitrini e con teloni protettivi per i server e altre apparecchiature importanti che possano limitare i danni dovuti ad infiltrazioni dall’alto. Bisogna provvedere ad adeguati sistemi di smaltimento e deflusso per affrontare possibili infiltrazioni o accumuli d’acqua, quali pompe per lo scarico. Chiudere bene le crepe e le giunture nelle pareti, nei pavimenti e nei plafoni per bloccare l’entrata dell’acqua. Mettere sistemi in grado di individuare in anticipo allagamenti sotto i pavimenti o in altri punti critici come le aree dove ci sono supporti di memorizzazione o sistemi di elaborazione delle informazioni e che siano connessi a sistemi di allarme.
- Per fronteggiare improvvisi cali di corrente è necessario controllare che ci siano: gruppi di continuità (UPS) che consentano di attivare i generatori di emergenza e/o di arrestare con sicurezza i sistemi; due linee elettriche indipendenti per le infrastrutture critiche che difendano i sistemi informativi da sovratensioni elettriche; sistemi di commutazione automatica che spostino l’alimentazione dai sistemi principali ai generatori di emergenza in caso di interruzione; batterie di riserva per alimentare i sistemi vitali fino a quando i generatori di emergenza non sono pronti; sistemi ridondanti per l’alimentazione per prevenire che un solo punto di guasto provochi un’interruzione totale dell’energia; sistemi di raffreddamento di emergenza per impedire il surriscaldamento dei server durante un’interruzione di energia.
- Alcune misure per prevenire e gestire l’invasione di animali sono le seguenti: sigillare e proteggere le aperture come porte, finestre, prese d’aria, condotti, usando guarnizioni, reti antintrusione, grate o canaline chiuse; tenere i cavi ben ordinati per impedire che siano usati come vie o rifugi per gli animali; installare un pavimento rialzato che ostacoli l’accesso agli animali; eseguire la manutenzione e la pulizia regolare rimuovendo cibo o rifiuti; fare ispezioni regolari per rilevare e eliminare tracce di animali, come escrementi o nidi; Installare dispositivi a ultrasuoni che producano suoni che allontanino gli animali; Collocare trappole non letali o dispositivi dissuasori e installare sistemi di videosorveglianza; affidarsi a un servizio di disinfestazione per monitorare e gestire la presenza di infestanti; f ormare il personale sull’importanza di tenere l’ambiente pulito e sigillato e su come identificare i segni della presenza di animali.
- Per evitare il surriscaldamento dei server dovuto all‘innalzamento delle temperature e garantire un funzionamento sicuro ed efficiente, è necessario adottare le seguenti misure: utilizzare condizionatori d’aria appositi per le sale server e sistemi di raffreddamento a liquido, che sono più efficaci dove il calore è più concentrato, possibilmente ridondanti; prevedere sistemi di raffreddamento di emergenza pronti a intervenire in caso di guasto dei sistemi principali; ricorrere a pavimenti tecnici rialzati con piastrelle forate per favorire la circolazione dell’aria fredda sotto le apparecchiature; regolare e distribuire il flusso d’aria usando corridoi freddi e caldi per ottimizzare il raffreddamento e installare sensori di temperatura nei punti critici per controllare costantemente le condizioni ambientali, collegandoli a un sistema di allarme; garantire un’efficienza ottimale dei filtri dell’aria tramite manutenzioni regolari; bilanciare il carico di lavoro tra i server per evitare il surriscaldamento di specifiche unità; utilizzare tecnologie di virtualizzazione per sfruttare al meglio le risorse hardware e limitare il carico termico e apparecchiature ad alta efficienza energetica che producono meno calore; implementare politiche di gestione dell’energia per spegnere o ridurre l’uso di apparecchiature non necessarie; installare deumidificatori per mantenere un livello di umidità adeguato.
E’ importante poi stipulare contratti con fornitori che garantiscano un intervento tempestivo in caso di emergenza e tenere ben presente la capacità degli impianti esistenti nei casi in cui si pensasse ad una espansione dell’infrastruttura .
Tutte le minacce rilevate in fase di analisi vanno monitorate e riconsiderate in caso di variazioni.
L’importanza del piano di business continuity
Un ottimo strumento per impostare il proprio piano di business continuity è rappresentato dalla norma ISO 22301:2019 che prevede che le organizzazioni siano in grado di valutare:
- scenari possibili
- probabilità del loro verificarsi
- gravità delle conseguenze
Queste valutazioni permettono di definire i diversi interventi da adottare e di immaginare i diversi scenari in base ai parametri informatici del RTO (Recovery Time Objective) , tempo previsto di ripristino in emergenza, e del RPO (Recovery Point Objective), i dati che si prevede di perdere con il ripristino. A questi parametri si affiancano anche i parametri di processo MTPD (Maximum Tolerable Period of Disruption) – il tempo massimo che un processo può non essere disponibile e MBCO (o Minimum Business Continuity Objective),le prestazioni minime che un processo deve garantire.
La norma assegna anche importanza alle esercitazioni pratiche, che devono essere organizzate e svolte con regolarità per ottenere utili spunti, perfezionando costantemente le modalità di risposta.
Lascia un commento