Business Continuity & Disaster Recovery (BCDR)

Business Continuity (BC)

La Business Continuity si articola come l’insieme delle attività volte a ridurre i danni/impatti causati da disastri o incidenti di sicurezza a livelli accettabili mediante la combinazione di controlli preventivi e di attività di recovery. Si costituisce, perciò, come un framework integrato per la pianificazione e l’implementazione di processi, tramite controlli di sicurezza e contromisure al fine di prevenire la distruzione, l’interruzione o il rallentamento dell’erogazione dei servizi di core business.

La BC si articola nelle seguenti fasi/attività:

BIA (Business Impact Analysis)

analisi di natura qualitativa e quantitativa che fornisce una stima degli impatti sui processi di Business e sulle risorse, utilizzate per l’erogazione dei servizi a seguito di un’indisponibilità del servizio stesso. Gli impatti economico/finanziari contemplati possono essere sia diretti (come ad esempio perdite finanziarie o sanzioni legali) che indiretti (come ad esempio la perdita di immagine o i costi di ripristino dell’operatività).

RA (Risk Analysis)

è la stima del valore di rischio associata alle risorse che supportano i processi di Business, in rapporto alla probabilità di accadimento di un incidente di sicurezza (minaccia), al suo grado di esposizione (vulnerabilità) e all’impatto che si potrebbe generare sull’erogazione del servizio.

Analisi congiunta dei risultati di BIA e di RA

viene effettuata al fine di mettere in relazione gli impatti (valutati in fase di BIA) e le cause (incidenti di sicurezza considerati in fase di RA). Il management, in base agli output delle attività di BIA e di RA, individua così la strategia di Business Continuity ottimale relativa ai servizi erogati.

Analisi costi/benefici al fine di:

  • definire le soglie di accettabilità degli Impatti e dei Rischi;
  • individuare gli asset che vanno inseriti nei piani di Risk Treatment e/o Business Continuity;
  •  scegliere la strategia di Business Continuity adeguata.

 

Stesura del Risk Treatment Plan e dei Piani di continuità (Business Continuity Plan)

Un vero e proprio piano di emergenza che guida l’amministrazione nella gestione dei rischi cui essa è soggetta, definendo ed elencando le azioni da intraprendere prima, durante e dopo un’emergenza per assicurare la continuità del servizio.
Il principale obiettivo di questa documentazione è massimizzare l’efficacia della risposta all’emergenza, pianificando e specificando tutti gli interventi necessari al fine di assegnare le responsabilità e identificare i percorsi da seguire (“chi” deve fare “che cosa” e “quando”).

Come parte del processo di Business Continuity Plan, il Disaster Recovery Plan assume una particolare importanza in quanto specifica, a livello tecnico, le precauzioni da prendere e le attività da svolgere per mettere al sicuro dati e funzioni aziendali da attacchi o eventi disastrosi, nonché per ripristinare sistemi e infrastrutture necessari all’erogazione di servizi di core business.

Pertanto la Business Continuity impone una valutazione complessiva dell’organizzazione volta a:

  • Identificare le attività Core dell’azienda;
  • Stimare gli impatti economico/finanziari indotti da un’indisponibilità, ridotta o permanente, dei processi di business, in rapporto al contesto complessivo dell’azienda.

Questi step consentono di delineare il quadro generale del dominio di continuità e con esso:

  • Le strategie di Business Continuity consone per i profili di impatto e per la missione dell’organizzazione;
  • I Business ContinuityPlans (BCPs), ossia gli aspetti attuativi di natura tecnologica, organizzativa e procedurale tali da garantire, nel rispetto delle strategie individuate, la disponibilità delle risorse necessarie allo svolgimento di quei processi aziendali determinanti per la continuità della missione d’impresa.