Quando si tratta di cri­mi­na­li­tà su Internet, gli im­pren­di­to­ri pensano per prima cosa allo spio­nag­gio in­du­stria­le, al furto di dati aziendali e con ciò ad una in­fra­zio­ne della sicurezza dei dati. Chia­ra­men­te, con l’aumento della di­gi­ta­liz­za­zio­ne, gli attacchi in rete hanno raggiunto una nuova pro­por­zio­ne. Sempre più settori fanno af­fi­da­men­to a sistemi in­for­ma­ti­ci. Questi sistemi legano però le aziende a reti pubbliche, di­ven­tan­do così un bersaglio facile per gli hacker. Nel caso in cui un attacco hacker porti ad un mal­fun­zio­na­men­to del server, ne con­se­guo­no costose in­ter­ru­zio­ni dell’attività. In pochi minuti un guasto al server può causare un danno di diverse migliaia di euro. Le aziende rischiano di incorrere in perdite par­ti­co­lar­men­te gravi, se sul server non più rag­giun­gi­bi­le viene gestito un software per l’e-commerce o vengono messe a di­spo­si­zio­ne delle banche dati. Ma i mal­fun­zio­na­men­ti del server non dipendono solo da cause esterne, bensì vi sono anche fonti di rischio interne che com­pro­met­to­no il normale andamento dell’attività com­mer­cia­le.

Una sicurezza solida dipende, oltre che dalla difesa dalle minacce esterne e da procedure standard nel campo della Disaster Recovery, dall’at­tua­zio­ne di misure del personale ed or­ga­niz­za­ti­ve. Le con­tro­mi­su­re sono so­li­ta­men­te una questione di com­pen­sa­zio­ne. La com­pen­sa­zio­ne da un punto di vista tecnico si basa sull’utilizzo di server ri­don­dan­ti, per garantire così un’alta di­spo­ni­bi­li­tà dei servizi o contenuti, o sul su­pe­ra­men­to del downtime del server at­tra­ver­so sistemi di standby. Gli am­mi­ni­stra­to­ri si as­si­cu­ra­no la sicurezza dei dati at­tra­ver­so programmi di backup e di recovery, così come at­tra­ver­so in­fra­strut­tu­re ri­don­dan­ti per la me­mo­riz­za­zio­ne dei dati. Le con­se­guen­ze fi­nan­zia­rie di un mal­fun­zio­na­men­to del server possono essere evitate prendendo le dovute pre­cau­zio­ni.

Pa­no­ra­mi­ca sui vari tipi di mal­fun­zio­na­men­to

Quando si parla di fonti di pericolo in relazione ad un mal­fun­zio­na­men­to del server, gli esperti di­stin­guo­no tra minacce interne ed esterne. Le minacce interne possono essere di qualunque entità, tra le quali anche mal­fun­zio­na­men­ti alla propria in­fra­strut­tu­ra IT, delle im­po­sta­zio­ni ina­de­gua­te o il com­por­ta­men­to errato di un di­pen­den­te. Invece le minacce esterne includono temerari attacchi dall’esterno o eventi im­pre­ve­di­bi­li, come incidenti e ca­ta­stro­fi.

Fonti di rischio interne:

  • Incendio nel data center
  • Black out nel data center
  • Guasto hardware (crash dei dischi fissi, so­vrac­ca­ri­co, sur­ri­scal­da­men­to)
  • Errore del software (mal­fun­zio­na­men­to della banca dati)
  • Problemi di rete
  • Errore umano

Fonti di rischio esterne:

  • In­fil­tra­zio­ne (attacco man in the middle, phishing, in­ge­gne­ria sociale)
  • Sa­bo­tag­gio (attacchi al sistema SCADA)
  • Virus, trojan, worm
  • Attacchi DDoS (Di­stri­bu­ted Denial of Service)
  • Furto dell’hardware
  • Cause di forza maggiore (terremoto, caduta di un fulmine, inon­da­zio­ne)
  • Incidenti (caduta di un aereo)
  • Attentati

So­li­ta­men­te è più facile per le aziende pre­pa­rar­si contro i rischi interni piuttosto che contro le minacce esterne. Il motivo è che gli hacker ag­gior­na­no i propri schemi di attacco in base agli ul­ti­mis­si­mi standard di sicurezza e che le reti aziendali si con­fron­ta­no con­ti­nua­men­te con strategie di in­fil­tra­zio­ne e programmi dannosi. Al contrario i rischi interni possono essere evitati dalle aziende grazie a impianti elettrici a prova di black out, misure an­ti­in­cen­dio, server ad alta di­spo­ni­bi­li­tà e continui corsi di for­ma­zio­ne sulla sicurezza.

Con­se­guen­ze di un mal­fun­zio­na­men­to del server

Un mal­fun­zio­na­men­to del server causa dei danni economici. Questo è chiaro a tutti gli im­pren­di­to­ri. Ma quali siano i costi cor­ri­spon­den­ti ad un’ora di down del server lo ha mostrato uno studio della Te­ch­con­sul del 2013. Su com­mis­sio­ne di HP Germania un’azienda per le ricerche di mercato ha condotto uno studio in tutta la Germania su 300 aziende di medie di­men­sio­ni con un numero di impiegati compreso tra 200 e 4.999. Circa il 77% delle aziende ha ri­scon­tra­to, nell’anno pre­ce­den­te allo studio, mal­fun­zio­na­men­ti ai sistemi IT fon­da­men­ta­li per i loro affari. Tra gli altri sono stati colpiti l’in­for­ma­zio­ne dei prodotti, la pro­du­zio­ne e la vendita. In media si re­gi­stra­no quattro casi di mal­fun­zio­na­men­to per azienda. Il tempo medio per la ri­so­lu­zio­ne dei problemi e per il ri­pri­sti­no dei dati è di 3,8 ore.

Quali costi si so­sten­go­no per ogni ora di down del server varia in base alle di­men­sio­ni dell’azienda. Mentre le aziende con meno di 500 impiegati re­gi­stra­no dei costi di circa 20.000 euro all’ora, i costi per azienda con più di 1000 la­vo­ra­to­ri per ogni ora di down si aggirano attorno ai 40.000 euro. In media un’ora di down del server provoca un danno cor­ri­spon­den­te a 25.000 euro per le aziende medio-grandi. Da con­teg­gia­re sono il tempo per la ri­so­lu­zio­ne del problema e per il ri­pri­sti­no dei dati. Le aziende medie tedesche perdono in media 380.000 euro l’anno.

Se ed in che pro­por­zio­ne avvenga l’in­ter­ru­zio­ne dei servizi presso un’azienda, dipende molto dal settore in cui opera e dal modello aziendale adottato. Prin­ci­pal­men­te è possibile per gli impiegati ripiegare su alcune attività, come ad esempio convocare riunioni, stare al telefono o an­ti­ci­pa­re ap­pun­ta­men­ti con i clienti. Chia­ra­men­te non solo se i processi centrali si ap­pog­gia­no ad un sistema in­for­ma­ti­co, ma anche se la loro intera gestione ne dipende, un downtime diventa allora par­ti­co­lar­men­te pesante. Diventa molto costoso quando, ad esempio, un negozio online è offline e i clienti non possono perciò fare alcun ordine, o quando la pro­du­zio­ne viene bloccata per via di un mal­fun­zio­na­men­to del sistema SCADA.

Il calcolo dei costi per l’in­ter­ru­zio­ne dell’attività dovrebbe tenere conto anche degli ordini mancanti e delle penali che possono con­se­gui­re da un ritardo di consegna, oltre alla paga degli impiegati costretti all’inat­ti­vi­tà. Inoltre è im­pos­si­bi­le quan­ti­fi­ca­re la perdita in immagine dovuta all’ar­rab­bia­tu­ra da parte dei clienti.

Con­tro­mi­su­re

At­tra­ver­so l’at­tua­zio­ne di misure di pre­ven­zio­ne è possibile ovviare a rischi reali e quindi ridurre l’even­tua­li­tà di mal­fun­zio­na­men­ti del server. Nor­mal­men­te queste si ri­fe­ri­sco­no ad una serie di misure in­fra­strut­tu­ra­li ed or­ga­niz­za­ti­ve in relazione alla scelta e allo spazio in cui si trova il server. Una raccolta di in­for­ma­zio­ni utili ri­guar­dan­ti le minacce, le misure di sicurezza e quant’altro è offerta dal Bundesamt für Si­che­rheit in der In­for­ma­tion­stech­nik (BSI, o in italiano Ufficio Federale tedesco per la sicurezza in­for­ma­ti­ca).

Pro­te­zio­ne an­tin­cen­dio ed altre misure pre­ven­ti­ve

Al fine di evitare mal­fun­zio­na­men­ti del server dovuti a con­di­zio­ni fisiche esterne, come incendi, al­la­ga­men­ti, black out o sabotaggi hardware, le stanze dei server e dei data center devono essere allestite secondo de­ter­mi­na­ti criteri. Si inizia già con la scelta del luogo. Scon­si­glia­bi­li sono le cantine, in cui vi è sempre il rischio che, nel caso di tempeste o ca­ta­stro­fi naturali, si allaghino. Inoltre l’accesso ai locali dovrebbe essere limitato al personale spe­cia­liz­za­to ed, even­tual­men­te, con­trol­la­to. Le stanze dei server non sono concepite come luoghi di lavoro veri e propri.

I danni dovuti agli incendi sono com­pen­sa­bi­li at­tra­ver­so l’utilizzo di sistemi an­tin­cen­dio, che includono l’in­stal­la­zio­ne di porte an­tin­cen­dio, allarmi an­tin­cen­dio, estintori a mano e au­to­ma­ti­ci (impianti ed estin­guen­ti gassosi). Ulteriori misure di pre­ven­zio­ne sono la stesura di una direttiva per un corretto im­ma­gaz­zi­na­men­to di materiali in­fiam­ma­bi­li, l’iso­la­men­to del fuoco at­tra­ver­so strutture per la con­du­zio­ne dei cavi e l’utilizzo di materiali isolanti per coi­ben­ta­zio­ne al calore o all’iso­la­men­to acustico.

Gli ap­pa­rec­chi tecnici tra­sfor­ma­no l’energia elettrica in calore. L’ir­ra­dia­men­to solare può causare un ulteriore aumento della tem­pe­ra­tu­ra nella stanza del server. Per con­tra­sta­re guasti ai server e ai dati causati da sur­ri­scal­da­men­to e da un livello di umidità nell’aria maggiore, do­vreb­be­ro essere uti­liz­za­ti sistemi di raf­fred­da­men­to e di areazione ef­fi­cien­ti. In genere le con­di­zio­ni am­bien­ta­li ottimali per i di­spo­si­ti­vi di ar­chi­via­zio­ne dati nel lungo periodo si ri­scon­tra­no ad una tem­pe­ra­tu­ra tra i 20° ed i 22°, con un’umidità del 40 percento.

Per il corretto fun­zio­na­men­to di un server è in­di­spen­sa­bi­le che venga co­stan­te­men­te erogata l’elet­tri­ci­tà. Infatti, già 10 mil­li­se­con­di di in­ter­ru­zio­ne della corrente possono causare problemi ai sistemi in­for­ma­ti­ci. Grazie all’utilizzo di ge­ne­ra­to­ri di emergenza, che ga­ran­ti­sco­no il fun­zio­na­men­to dei sistemi anche in mancanza dell’ero­ga­zio­ne dell’elet­tri­ci­tà pubblica, si riesce però a prov­ve­de­re a casi di brevi in­ter­ru­zio­ni e anche a problemi di maggiore durata.

Af­fi­da­bi­li­tà del server

In par­ti­co­lar modo nelle aziende di medie di­men­sio­ni si sot­to­va­lu­ta­no le con­se­guen­ze sul proprio business dei problemi legati all’IT. Un motivo è l’alta af­fi­da­bi­li­tà dei com­po­nen­ti standard uti­liz­za­ti og­gi­gior­no dalle aziende operanti nell’IT. So­li­ta­men­te viene garantita una di­spo­ni­bi­li­tà del 99,9 percento. Un valore che sembra alto, ma che prevede un massimo di 9 ore di downtime in un anno. Dovesse poi capitare nelle ore di punta, anche un’ir­rag­giun­gi­bi­li­tà del server di breve durata potrebbe essere molto costosa per l’azienda. I sistemi IT con una di­spo­ni­bi­li­tà del 99,9 percento sono ormai diventati degli standard per con­sen­ti­re l’apertura di dati e il fun­zio­na­men­to di programmi critici. Per questi viene garantito un downtime non superiore ai 52 minuti all’anno. Alcuni esperti IT parlano ad­di­rit­tu­ra di una di­spo­ni­bi­li­tà del 99,999 percento e così questi sistemi per­met­te­reb­be­ro di non superare i 5 minuti all’anno di downtime. Il problema con tali in­di­ca­zio­ni è che queste fanno ri­fe­ri­men­to solamente alla sicurezza da guasti dell’hardware del server. La de­fi­ni­zio­ne dell’IEEE (Institute of Elec­tri­cal and El­ce­tro­nics Engineers) perciò considera un sistema come altamente di­spo­ni­bi­le, se questo, no­no­stan­te il guasto di com­po­nen­ti di sistema, è in grado di mettere in sicurezza la di­spo­ni­bi­li­tà delle sue risorse IT: “High Avai­la­bi­li­ty (HA for short) refers to the avai­la­bi­li­ty of resources in a computer system, in the wake of component failures in the system.” Questa di­spo­ni­bi­li­tà viene raggiunta ad esempio at­tra­ver­so server ri­don­dan­ti. Tutte le parti fon­da­men­ta­li sono doppie, ed in par­ti­co­la­re lo sono i pro­ces­so­ri, i chip di ar­chi­via­zio­ne e le unità I/O. In questo modo si evita che un difetto di un com­po­nen­te paralizzi il server, ma l’alta di­spo­ni­bi­li­tà non difende chia­ra­men­te da un incendio nel centro di ela­bo­ra­zio­ne dati, da attacchi mirati tramite malware e attacchi DDoS, da un sa­bo­tag­gio o dal controllo del server da parte di hacker. In realtà però gli im­pren­di­to­ri devono tenere conto di tempi di inat­ti­vi­tà ben più lunghi ed attuare quindi misure adeguate di pre­ven­zio­ne e di li­mi­ta­zio­ne dei danni. Ulteriori strategie per com­pen­sa­re un mal­fun­zio­na­men­to del server, con­si­sto­no in sistemi di standby e cluster ad alta di­spo­ni­bi­li­tà. Entrambi i sistemi si basano sulla con­nes­sio­ne di due o più server, che assieme mettono a di­spo­si­zio­ne più risorse hardware di quelle ne­ces­sa­rie per il normale fun­zio­na­men­to. Un sistema di standby è un secondo server che serve per la messa in sicurezza del sistema prin­ci­pa­le e che assume le sue funzioni, appena questo smetta di fun­zio­na­re a causa di un problema hardware o software. Lo spo­sta­men­to del controllo dei servizi ad un altro server viene chiamato failover e viene attuato at­tra­ver­so un software cluster manager (ovvero un software dedicato alla gestione di computer cluster), senza che sia ne­ces­sa­rio l’in­ter­ven­to dell’am­mi­ni­stra­to­re. Una struttura simile composta da un nodo attivo e da uno passivo può essere con­si­de­ra­ta come un cluster asim­me­tri­co ad alta di­spo­ni­bi­li­tà. Se invece tutti i nodi del cluster con­sen­to­no il normale fun­zio­na­men­to dei servizi, si parlerà di una struttura sim­me­tri­ca. Poiché durante la mi­gra­zio­ne di un servizio da un sistema ad un altro avviene comunque un ritardo, i sistemi standby e i cluster ad alta di­spo­ni­bi­li­tà pre­sen­ta­no comunque la pos­si­bi­li­tà di una breve in­ter­ru­zio­ne.

Sistemi di difesa

Gli am­mi­ni­stra­to­ri con­trap­pon­go­no diverse soluzioni hardware e software all’influsso dannoso degli hacker, le quali servono a scoprire attacchi, a di­fen­der­si da essi, a re­gi­strar­li e a deviarli. Al fine di pro­teg­ge­re un server da accessi non au­to­riz­za­ti, i sistemi critici vengono isolati dalle reti pubbliche con firewall e zone de­mi­li­ta­riz­za­te (DMZ).

I sistemi di ri­le­va­men­to degli attacchi, i co­sid­det­ti Intrusion Detection System (IDS), servono a mo­ni­to­ra­re au­to­ma­ti­ca­men­te i server e le reti e a lanciare l’allarme, non appena vengano re­gi­stra­ti tentativi di accesso manuali non au­to­riz­za­ti o attacchi au­to­ma­ti­ci tramite software dannosi: un processo basato sul ri­co­no­sci­men­to degli schemi di attacco e su analisi sta­ti­sti­che. Quando invece entrano in azione gli In­stru­sion Pre­ven­tion Systems (IPS), all’allarme seguono delle con­tro­mi­su­re au­to­ma­tiz­za­te. Comune è combinare questi sistemi ai firewall, at­tra­ver­so i quali è possibile rifiutare pacchetti dati o in­ter­rom­pe­re con­nes­sio­ni sospette.

Allo scopo di tenere lontani gli hacker dai sistemi IT di im­por­tan­za critica, gli am­mi­ni­stra­to­ri si servono dei co­sid­det­ti honeypot, che appaiono agli hacker come ob­biet­ti­vi ipo­te­ti­ca­men­te in­te­res­san­ti, ma operano in realtà in maniera in­di­pen­den­te dal sistema pro­dut­ti­vo e non hanno quindi alcuna influenza sulle sue fun­zio­na­li­tà. Gli honeypot vengono tenuti co­stan­te­men­te sotto os­ser­va­zio­ne e per­met­to­no così di reagire in breve tempo a dei tentativi di in­fra­zio­ne e di ana­liz­za­re le strategie e gli schemi di attacco uti­liz­za­ti.

Sicurezza dati e backup

Si rac­co­man­da in genere l’ela­bo­ra­zio­ne di un piano di messa in sicurezza dei dati secondo gli standard in­ter­na­zio­na­li dell’industria ISO 27001, in modo da ri­pri­sti­na­re ve­lo­ce­men­te i dati critici anche in caso di un mal­fun­zio­na­men­to del server. Grazie a questo standard viene regolato il re­spon­sa­bi­le per la sicurezza dati, che ha anche il compito di nominare chi dovrà poi prov­ve­de­re al ri­pri­sti­no dei dati. Inoltre il piano prevede in­di­ca­zio­ni su quando deve essere fatto un backup, quante versioni di dati debbano essere salvate, quale supporto di ar­chi­via­zio­ne vada uti­liz­za­to e se siano ne­ces­sa­rie o meno delle modalità di trasporto dei dati par­ti­co­la­ri, come ad esempio l’impiego della crit­to­gra­fia. In aggiunta viene definito anche il tipo di messa in sicurezza dei dati:

  • Backup completo: se la totalità dei dati da mettere in sicurezza viene salvata su una memoria ag­giun­ti­va ad in­ter­val­li ben scanditi, si parla di backup completo. In questo tipo di backup non si tiene però conto se i dati siano stati variati dall’ultimo sal­va­tag­gio. Il backup completo richiede perciò molto tempo e memoria, il che fa sì che con il tempo, quando diverse versioni di dati sono state salvate, i dati oc­cu­pe­ran­no molto spazio. Questo tipo di me­mo­riz­za­zio­ne mira ad un ri­pri­sti­no dei dati facile e veloce, poiché deve essere ri­pri­sti­na­to solo l’ultimo backup ef­fet­tua­to. Questo vantaggio viene però perduto quando il backup viene eseguito troppo di rado. In questo caso è richiesta una grande mole di lavoro per riuscire a riportare i dati mo­di­fi­ca­ti allo stato attuale.
  • Backup in­cre­men­ta­le: il backup in­cre­men­ta­le comprende solamente i dati che sono stati mo­di­fi­ca­ti dall’ultima volta e così facendo viene diminuito il tempo ne­ces­sa­rio per l’ese­cu­zio­ne del backup. Anche lo spazio ne­ces­sa­rio per il sal­va­tag­gio di diverse versioni di dati è chia­ra­men­te minore rispetto ad un backup completo. Una messa in sicurezza dei dati in­cre­men­ta­le richiede però che sia stato ef­fet­tua­to almeno un backup completo. Nella pratica avviene spesso una com­bi­na­zio­ne delle due me­to­do­lo­gie di backup, quindi tra due backup completi se ne sus­se­guo­no diversi in­cre­men­ta­li. Nel caso sia ne­ces­sa­rio un ri­pri­sti­no dei dati, verrà preso l’ultimo backup completo come base di partenza per com­ple­ta­re poi con i dati contenuti in quelli in­cre­men­ta­li.
  • Backup dif­fe­ren­zia­le: anche il dif­fe­ren­zia­le si basa su una messa in sicurezza dei dati completa, in modo da salvare tutti i dati che sono stati mo­di­fi­ca­ti dall’ultimo sal­va­tag­gio. A dif­fe­ren­za dell’in­cre­men­ta­le non vi è nessuna con­ca­te­na­zio­ne di più backup. Per il ri­pri­sti­no dei dati basterà un al­li­nea­men­to dell’ultimo sal­va­tag­gio completo con il backup dif­fe­ren­zia­le più ag­gior­na­to.

Su quale metodo di sal­va­tag­gio un’azienda faccia ricadere la propria scelta dipende diversi fattori, quali la tol­le­ra­bi­li­tà dei tempi per il ri­pri­sti­no dei dati, la frequenza e la data del sal­va­tag­gio così come il rapporto tra la quantità di modifica dei dati e il volume totale del backup. Se i due valori sono pres­sap­po­co uguali, il risparmio di spazio derivato dall’impiego di processi in­cre­men­ta­li o dif­fe­ren­zia­li rimane di poco conto.

For­ma­zio­ne

Le misure per la sicurezza delle in­for­ma­zio­ni possono essere stabilite all’interno di un’azienda, solo quando tutti gli impiegati ri­co­no­sco­no ed accettano il loro ruolo fon­da­men­ta­le per il successo della propria attività. La creazione e la cura di una con­sa­pe­vo­lez­za riguardo alla sicurezza va fatta nascere at­tra­ver­so una for­ma­zio­ne regolare, sen­si­bi­liz­zan­do i di­pen­den­ti sulle fonti di pericolo interne ed esterne, im­prov­vi­san­do scenari di rischio e spie­gan­do­ne le possibili con­se­guen­ze.

La base di una for­ma­zio­ne si­ste­ma­ti­ca sono regole e di­spo­si­zio­ni sulla di­me­sti­chez­za nell’uso dei di­spo­si­ti­vi rilevanti per la sicurezza ed in­di­ca­zio­ni come un piano di emergenza, che offra ai la­vo­ra­to­ri delle istru­zio­ni su come operare, quale passaggio eseguire, al fine di ritornare nel minor tempo possibile al normale fun­zio­na­men­to. Un approccio strut­tu­ra­to alla rea­liz­za­zio­ne di un simile piano lo offre la Business Con­ti­nui­ty Ma­na­ge­ment (tra­du­ci­bi­le in italiano con gestione della con­ti­nui­tà operativa).

Business Con­ti­nui­ty Ma­na­ge­ment (BMC)

Le aziende investono sempre più nelle misure di pre­ven­zio­ne, in modo da mantenere quanto più bassi possibili i danni provocati da mal­fun­zio­na­men­ti del server. Si tratta della co­sid­det­ta Business Con­ti­nui­ty Ma­na­ge­ment (BMC). Riguardo al settore IT, le strategie BMC mirano a con­tra­sta­re un mal­fun­zio­na­men­to del server in un settore di im­por­tan­za critica e nei casi di un’in­ter­ru­zio­ne, ne as­si­cu­ra­no una pronta ripresa. Un requisito fon­da­men­ta­le per un’adeguata gestione di un’emergenza è la co­sid­det­ta Business Impact Analysis (BIA), che aiuta l’azienda ad iden­ti­fi­ca­re i processi critici. Per critico si intende quando un mal­fun­zio­na­men­to ha una ri­per­cus­sio­ne sull’attività. La BIA si concentra in­nan­zi­tut­to sulle con­se­guen­ze concrete di uno scenario dannoso. Le cause di un mal­fun­zio­na­men­to del server, le pos­si­bi­li­tà che si verifichi una si­tua­zio­ne pe­ri­co­lo­sa e le con­tro­mi­su­re fanno tutte parte dell’analisi del rischio. Vi sono diversi modi per rea­liz­za­re una BIA ed un’analisi del rischio in con­for­mi­tà con la BMC, una guida chiara è fornita ad esempio dal manuale Standard 100-4 del BSI, fornito sempre dall’Ufficio Federale (Tedesco) per la sicurezza in­for­ma­ti­ca.

Business Impact Analyse (BIA)

Il primo passo per una Business Con­ti­nui­ty Ma­na­ge­ment completa è la Business Impact Analysis, che in italiano si traduce con analisi d’impatto sul business. Le domande centrali di questa analisi sono: quali sistemi sono di im­por­tan­za centrale per mantenere le attività vitali? Quali con­se­guen­ze ha un mal­fun­zio­na­men­to di questo sistema sull’attività? Perciò è con­si­glia­to iden­ti­fi­ca­re i prodotti ed i servizi più im­por­tan­ti di un’azienda e dell’in­fra­strut­tu­ra IT che ne stanno alla base. Ad esempio nel caso di un’azienda che vende prin­ci­pal­men­te su Internet, ad essere par­ti­co­lar­men­te im­por­tan­ti da pro­teg­ge­re saranno i server che mettono a di­spo­si­zio­ne l’online shop e i relativi database. Invece un call center clas­si­fi­che­rà i mezzi tecnici per con­sen­ti­re le te­le­fo­na­te come vitali per il proprio fun­zio­na­men­to. La BIA consiste dunque nel dare la priorità ai sistemi necessari da pro­teg­ge­re, in un calcolo dei danni e in una ri­le­va­zio­ne delle risorse ne­ces­sa­rie per il ri­pri­sti­no dei sistemi.

Analisi del rischio

Un’analisi del rischio ha la funzione, nell’ambito della gestione di un’emergenza, di iden­ti­fi­ca­re le fonti di pericolo interne ed esterne, che po­treb­be­ro causare un mal­fun­zio­na­men­to del server e quindi un’in­ter­ru­zio­ne del servizio. Lo scopo è quello di rendere tra­spa­ren­ti i rischi per la sicurezza e le loro cause, svi­lup­pan­do misure cor­ret­ti­ve adeguate, così da ridurre i po­ten­zia­li pericoli co­no­sciu­ti. Una va­lu­ta­zio­ne dei rischi si stila in base ai danni previsti e alla pos­si­bi­li­tà di oc­cor­ren­za. La tabella seguente mostra un esempio per una clas­si­fi­ca­zio­ne del rischio, presa dallo Standard 100-4 del BSI:

Ri­le­va­men­to dello stato attuale

Una volta in­di­vi­dua­te le fonti di rischio e il po­ten­zia­le dei danni degli scenari reali di mal­fun­zio­na­men­to del server nell’ambito della BIA e dell’analisi del rischio, il prossimo passo della strategia della con­ti­nui­tà è il ri­le­va­men­to dello stato attuale delle cose. Sono im­por­tan­ti per il ri­le­va­men­to le misure cautelari già stabilite in caso d’emergenza, così come le attuali tem­pi­sti­che per il ri­pri­sti­no. Il ri­le­va­men­to dello stato attuale permette all’azienda di valutare le necessità com­por­ta­te da concreti rischi di sicurezza e i relativi costi d’in­ve­sti­men­to.

Scelta della strategia di con­ti­nui­tà

Ge­ne­ral­men­te esistono diverse strategie per le fonti di pericolo interne ed esterne, che per­met­to­no il pro­se­gui­men­to del fun­zio­na­men­to, no­no­stan­te il mal­fun­zio­na­men­to, o un veloce ri­pri­sti­no. Nell’ambito del Business Con­ti­nui­ty Ma­na­ge­ment è compito del re­spon­sa­bi­le delle scelte valutare quale strategia di con­ti­nui­tà debba venire uti­liz­za­ta in caso di emergenza. Alla base di questa scelta vi è l’analisi costi-benefici, che si basa su fattori quali i mezzi fi­nan­zia­ri necessari, l’af­fi­da­bi­li­tà della soluzione o il tempo di ri­pri­sti­no valutato.

Se ad esempio dovesse venir svi­lup­pa­ta una strategia di con­ti­nui­tà, che previene un incendio nel centro di ela­bo­ra­zio­ne dati, vi sono diverse soluzioni tra le quali sarebbe possibile scegliere: le soluzioni minimali com­pren­do­no la com­pen­sa­zio­ne dei danni at­tra­ver­so un as­si­cu­ra­zio­ne sul fermo aziendale e l’uso di un data center al­ter­na­ti­vo presso un provider. Più caro sarebbe invece l’am­mo­der­na­men­to della stanza del server secondo gli standard an­tin­cen­dio attuali. Dovessero essere possibili maggiori in­ve­sti­men­ti, sarebbe possibile ridurre i danni impliciti at­tra­ver­so la co­stru­zio­ne di una stanza server ri­don­dan­te.

Le strategie di con­ti­nui­tà vengono fissate nel piano di sicurezza di emergenza, il quale contiene istru­zio­ni per tutti i rilevanti scenari di emergenza.

Vai al menu prin­ci­pa­le