Per sviluppare il disaster recovery plan, istituiamo un comitato di crisi e stabiliamo le azioni da compiere a partire dall’allarme. Nel piano di continuità operativa invece, in condizioni di emergenza, l’azienda provvede all’attivazione del sito alternativo
Vuoi sviluppare il disaster recovery plan e le procedure di continuità operativa per il sistema di gestione della sicurezza delle informazioni? Focalizza l’attenzione sui seguenti passaggi e riuscirai a creare una documentazione efficace e conforme alla ISO 27001 e al suo Annex A
Il disaster recovery plan. Cosa considerare?
Il comitato di crisi
Per prima cosa è necessario costituire un comitato di crisi. Dal momento in cui il disastro si sta manifestando, l’azienda deve provvedere a “salvare il salvabile” e riacquisire la disponibilità delle informazioni perdute. In tale attività di ripristino, le responsabilità relative alla gestione degli incidenti devono essere affidate a persone che, all’interno dell’azienda, rivestono un ruolo rilevante in tale senso. Queste persone costituiscono il comitato di crisi.
I ruoli che potrebbero essere individuati sono i seguenti:
- Alta direzione
- RGSI
- Amministratore di sistema
- IT Manager
- Responsabile del sistema informativo
- RDP (produzione)
L’RDP (produzione) dovrebbe essere individuato anche come responsabile della continuità operativa dell’azienda. In ambito più generale rispetto al “disaster recovery” che punta al ripristino dell’operatività dal punto di vista informatico, l’RDP (produzione) si dovrebbe occupare anche della continuità operativa e cioè della possibilità di far funzionare tutti i processi aziendali in condizioni critiche.
Azioni da compiere
Il controllo 16.1.3 Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni richiede di stabilire le azioni da compiere in occasione dell’emergenza. Suggeriamo di sviluppare la documentazione del controllo di sicurezza previsto dall’Annex A attraverso un’indicazione chiara dell’attuazione del piano nella maniera indicata nell’esempio in basso:
Come preservare la continuità operativa nel sistema di gestione per la sicurezza delle informazioni ai sensi della ISO 27001:2017
Individua i processi critici sui quali si basa la continuità operativa
I processi critici per la continuità operativa, disciplinati già dalle procedure gestionali del sistema, sono quelli disciplinati dalle seguenti procedure gestionali (ispirate al sistema di gestione per la qualità ISO 9001:2015) del tipo:
- PROC-812 – Requisiti
- PROC-813 – Progettazione
- PROC-814 – Outsourcing
- PROC-815 – Produzione
- PROC-816 – Preservazione
- PROC-817 – Controllo output non conformi
Stabilisci le risorse necessarie alla continuità operativa
Le risorse necessarie alla continuità operativa potrebbero essere, a esempio:
- Un ufficio alternativo
- Delle risorse in grado di far funzionare i processi critici
- Dotazione hardware
- Personale dedicato
Ai fini di fornire un contenuto immediatamente applicativo, ti suggeriamo di stabilire i requisiti per ciascuna risorsa (asset/supporto) individuata. Puoi fare riferimento all’esempio che segue:
Stabilisci le azioni da compiere per attuare la continuità operativa
Secondo il controllo 17.1.2 Attuazione della continuità della sicurezza delle informazioni dell’Annex A della ISO 27001:2017.
Relativamente al sito alternativo, ai fini della sicurezza delle informazioni, l’azienda deve stabilire le seguenti misure di sicurezza delle informazioni che caratterizzano in generale l’attività operativa e che sono illustrate all’interno della procedura di sicurezza e nelle procedure gestionali:
- Attivare l’antivirus
- Impiegare il tracciamento attraverso il log management
- Provvedere al backup
- Attuare il controllo di accesso
- Assicurare le operazioni di cifratura
- Riesaminare i permessi delle operazioni sul database
Tutti i servizi resi disponibili grazie alla possibilità di impiegare una sede alternativa in caso di periodi di emergenza devono essere disciplinati dal contratto sottoscritto con il fornitore, il quale risulta qualificato dall’organizzazione e periodicamente “auditato” allo scopo di monitorare la sua conformità ai requisiti di sicurezza espressi dall’organizzazione e da questi sottoscritti nei relativi level service agreement (livelli di servizio espressi dal contratto).
Il business continuity plan
Dopo aver pianificato l’assetto organizzativo, operativo e tecnologico da raggiungere per assicurare la continuità operativa nella sicurezza delle informazioni, l’azienda deve determinare i passi da compiere e le tempistiche da rispettare per ripristinare il funzionamento dei processi critici. Lo schema che segue rappresenta un esempio di business continuity plan.
