Vista l’enorme quantità di attacchi informatici cui tutte le aziende sono ormai quotidianamente soggette diventa importante impostare una strategia per la gestione dell’emergenza che deve essere basata su delle logiche aziendali oggettive. Ed è qui che entra in scena l’analisi di impatto aziendale.
Normalmente siamo abituati a parlare di piani di continuità aziendale, piano di continuità operativa e piano di ripristino. Tutti e tre questi piani di emergenza necessitano,a monte, di una attenta disamina dei processi critici per il business aziendale con i loro componenti informatici in modo da individuare quali sono le priorità di intervento in caso di emergenza. Nel fornire le indicazioni per la redazione di una analisi di impatto aziendale, ENISA fa riferimento alle linee guida NIST Special Publication 800-34 Rev. 1, dalle quali estraiamo le seguenti indicazioni.
Innanzitutto lo scopo di una analisi di impatto aziendale è quello di correlare i sistemi informativi coi processi cui son dedicati in modo da determinare i requisiti e le priorità della pianificazione di emergenza,incorporandoli, poi, nelle strategie dei diversi piani emergenziali .
Sono 3 i passaggi fondamentali che governano una analisi di impatto:
- determinazione dei processi aziendali/di missione e della criticità del ripristino;
- identificazione dei requisiti delle risorse;
- identificazione delle priorità di ripristino per le risorse di sistema.
Vediamoli di seguito.
Identificazione dei processi e delle criticità di ripristino
Innanzitutto è necessario riuscire a determinare l’impatto di una interruzione sui diversi processi aziendali, con insieme il tempo di inattività massimo che una organizzazione può tollerare per quel processo. E’ ovvio che questa attività è una attività di team in quanto i processi aziendali son di solito complessi, correlati tra loro e solo coinvolgendo tutte le funzioni se ne può comprendere a fondo l’effettivo impatto in caso di interruzione.
Gli impatti dei processi identificati vengono quindi ulteriormente analizzati in termini di disponibilità, integrità, riservatezza e livello di impatto stabilito per il sistema informativo.
Vi sono diversi criteri per definire i tempi di inattività abbinati ai diversi processi:
- il tempo di inattività massimo tollerabile prima che l’impatto della mancanza del processo diventi inaccettabile
- l’obiettivo del tempo di recupero (RTO), che è il tempo massimo che l’organizzazione può concedersi per ritornare operativa
- l’obiettivo del punto di ripristino (RPO)che è la perdita massima di dati che una organizzazione può permettersi
- il bilanciamento tra i costi di ripristino e costi collegati all’inattività
Identificazione delle risorse necessarie.
Una volta definita la strategia è necessario allocare le risorse necessarie per attuarla. Esempi di risorse che dovrebbero essere identificate includono:
- strutture,
- personale,
- attrezzature,
- software,
- file di dati,
- componenti di sistema,
- record vitali.
Identificazione delle priorità
Chiaramente le risorse non sono inesauribili e diventa quindi necessario stabilire dei livelli di priorità per i vari sistemi prendendo in considerazione tutti i parametri finora citati .
Il risultato sarà una gerarchia di priorità di ripristino del sistema informativo che il soggetto o il team incaricato di sviluppare la BIA dovrebbero prendere in considerazione per portare a termine il processo di analisi.
Lascia un commento