Prontezza ICT per la Business Continuity

Il nuovo controllo 5.30 della ISO 27001:2022 (ICT readiness for business continuity) pone l’accento sulla continuità del business dell’organizzazione. Non esiste un parametro unico che permetta di indicare quale sia la prontezza che deve avere la singola realtà nel ripristinare i sistemi per garantire la continuità del business. Tale parametro, infatti, varia da organizzazione ad organizzazione e da servizio a servizio all’interno delle stesse.

Pertanto, è necessario procedere ad una preventiva Business Impact Analysis (B.I.A.) che permetta di indicare quali devono essere gli RTO (Recovery Time Objective) e gli RPO (Recovery Point Objective) di ogni servizio dell’organizzazione, al fine di garantire l’implementazione di quanto necessario per questo controllo della ISO 27001.

Vediamo di analizzare meglio questi aspetti per comprendere di cosa stiamo parlando.

Cos’è la BIA?

Secondo la definizione di ENISA (European Union Agency for Cybersecurity) la Business Impact Analysis (BIA) “è un passaggio chiave nel processo di pianificazione della continuità di business. La BIA consente al Business Continuity Manager o al Business Continuity Coordinator di  definire i requisiti di sistema, i processi, le interdipendenze e di utilizzare queste informazioni per determinare i requisiti fondamentale per garantire la continuità di business”.

In altri termini, la Business Impact Analysis consente di analizzare le conseguenze dell’interruzione dei processi e dei sistemi indispensabili per erogare in maniera corretta i servizi dell’organizzazione. Tali informazioni risultano utili quando si tratta di sviluppare strategie finalizzate a facilitare il recupero alla condizione ottimale ogni talvolta si verifichi una situazione di emergenza.

Riprendendo la definizione formulata da ENISA: “lo scopo della BIA è di correlare componenti IT specifici con i processi critici che supportano. Sulla base di tali informazioni la BIA aiuta a determinare le conseguenze di un’interruzione dei processi e dei loro componenti. I risultati della BIA dovrebbero essere inclusi nelle analisi e nelle strategie utili a definire il piano di disaster recovery [NIST 800-34]”

La BIA deve portare la Direzione (e non l’IT manager) a rispondere ad una domanda fondamentale: “Dati i miei servizi (la posta elettronica, il sito internet, il software gestionale/ERP, il software di CRM, il sistema di videosorveglianza, l’Active Directory, il portale del personale, la intranet, il software di gestione Hr, …) quanto tempo la mia organizzazione può permettersi di avere fermi tali servizi ?”

Cos’è l’RTO?

Il Recovery Time Objective (RTO) è il tempo necessario per completare il ripristino di un servizio e ritornare operativi, ovvero è il tempo in cui l’organizzazione può permettersi di essere “spenta” con un certo servizio e definisce, quindi, la massima interruzione ammissibile o tollerabile.

Cos’è l’RPO?

Nella B.I.A., la Direzione dovrebbe, altresì, indicare Il Recovery Point Objective (RPO) , ovvero la percentuale di dati che l’organizzazione è disposta a perdere in caso di disastro, in sintesi misura la quantità di dati non sincronizzati rispetto all’ultimo Backup effettuato.

A seguito della BIA l’IT Manager, ai sensi della ISO 27001, assieme al suo team, provvederà a studiare e ad implementare le soluzioni tecnologiche in grado di garantire il RTO e RPO voluto dalla Direzione per ogni servizio.

Ovviamente, una volta implementati i sistemi e le misure tecnologiche necessarie a garantire RTO e RPO voluti dalla Direzione, sarà necessario provvedere a dei test di tali sistemi per verificare, secondo quanto richiesto dalla certificazione ISO 27001, che la prontezza dell’ICT sia quella effettivamente voluta dalla Direzione.