Un lettore mi ha chiesto: «Come si “sposa” la business continuity con il cybercrime?».
Innanzitutto tutti sappiamo che lo standard ISO/IEC 27001 “Information technology – Security techniques – Information security management systems – Requirements” afferma nella Introduzione: « The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed. It is important that the information security management system is part of and integrated with the organization’s processes and overall management structure and that information security is considered in the design of processes, information systems, and controls.».
Per quanto riguarda le misure di sicurezza, afferma (punto A17.1 Information system continuity) : «Information security continuity shall be embedded in the organization’s business continuity management systems.».
Ossia: la disponibilità delle informazioni e dei sistemi a loro protezione fanno parte integrante dei sistemi gestionali e, fra questi, di quelli di gestione della continuità operativa dell’organizzazione (BCMS).
Questa affermazione risulta subito ovvia nel momento nel quale si pensa al disaster recovery; infatti, è oramai consolidato che il Disaster Recovery Plan fa parte del BCMS. Se l’attacco cyber è di tipo “ransomware”, avere un backup, aggiornato e non infettabile contemporaneamente ai dati di produzione, consente a chi ne è colpito di ripartire con tali copie.
Qualora l’attacco sia sulla rete e non sia possibile far dialogare i posti di lavoro ed i server, il backup generalmente si rivela inutile. La rete può essere indisponibile per lungo tempo? Si può escludere una tale evenienza nel caso della rete interna? E se si fermasse Internet?
La business continuity fornisce il metodo per stabilire la criticità dei processi e servizi aziendali. Fornisce quindi elementi fondamentali per l’ICT.
Infatti, lo standard ISO22301 “Societal security – Business Continuity Management System – Requirements” afferma: «business continuity management: holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities ».
In poche parole, l’azienda valuta, per intervalli di tempo crescenti e per ogni singolo processo vitale o critico per la sopravvivenza dell’azienda, l’impatto economico e reputazionale nell’eventualità dell’assenza dell’ICT e decide le azioni più opportune:
- accettare il rischio e non far nulla, oppure
- trasferire il rischio a terzi (es.: polizza assicurativa; outsourcing), oppure
- mitigarlo adottando delle misure alternative all’ICT per poter comunque portare avanti il o i processi vitali ad un livello accettabile, nell’attesa che sia ripristinato il servizio.
A questo punto, mi attendo una “battuta” da chi legge del tipo: «Se la durata dell’interruzione è molto lunga, a quali costi si va incontro? Oltretutto per un evento che non è mai accaduto in passato e che non è probabile?».
Siccome siamo in una guerra cybernetica, che vede come attori terroristi, criminali, aziende concorrenti, anche a volte supportati da strutture di altre nazioni, parlare oggi di probabilità di accadimento di un evento malevolo a mio parere non ha senso. Bisogna invece porsi una domanda: «Qualora dovesse accadere che per 4, 8 o 24 ore, nel momento e nel giorno più critico del mese, malgrado le attuali misure di protezione, io azienda non dovessi fornire i prodotti e servizi vitali per la mia sopravvivenza, quali conseguenze avrei? Le potrei sopportare?».
In base alla risposta che fornisce il vertice aziendale si prendono le opportune decisioni.
L’esperienza afferma che sempre una o più soluzioni, di diverso costo e fattibilità, si possono trovare con l’aiuto del management e dei responsabili di processo; fra queste, si può scegliere quella più opportuna da adottare qualora l’evento disastroso dovesse avvenire.
Spesso non vi sono costi iniziali; infatti, in molti casi i costi emergono solo qualora si dovesse mettere in funzione la mitigazione.
