Uno degli aspetti più discussi legato ai data breach e alla conformità normativa è certamente quello della continuità operativa; cerchiamo di saperne di più e di inquadrare bene il problema.
Che cosa è la continuità operativa
La continuità operativa (C.O.) è la capacità di un’organizzazione di rimanere funzionante anche in presenza di un incidente che potrebbe comprometterne la produttività. Lo scopo ultimo della continuità operativa è evitare a tutti i costi l’interruzione del servizio, fenomeno ritenuto di gravità assoluta per la sua estremità. La continuità operativa è quindi un argomento che entra a pieno titolo nella gestione della resilienza di un’organizzazione, in quanto il suo scopo è mettere in campo strategie, tecnologie e procedure, tese alla gestione della crisi e al mantenimento del servizio. È bene capire che la continuità operativa si attiva quando le procedure “ordinarie” falliscono ma questo concetto sarà chiarito più avanti.
Standard e conformità normativa
La normativa nazionale ed europea (NIS2, Dora Act, etc…) è perfettamente allineata al concetto che le organizzazioni debbano sviluppare ed attuare politiche e strategie di continuità operativa. Dal punto di vista degli gli standard internazionali e delle buone prassi, è possibile menzionare la ISO 223011 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti” che affronta e chiarisce tutti gli aspetti organizzativo-procedurali da realizzare. Tuttavia è bene entrare nel merito della questione precisando che la ISO 22301 si poggia su requisiti preliminari che l’organizzazione deve aver sviluppato. Tra questi, a mero titolo di esempio, troviamo le procedure di gestione, le istruzioni operative, la modulistica a supporto, vi è la parte di asset management e dei piani tecnico-operativi principali. Le organizzazioni che non hanno creato questi prerequisiti, difficilmente potranno adottare efficacemente la normativa sulla continuità operativa perché non riusciranno a rapportarsi efficacemente con i processi da gestire in condizione di emergenza.
Strutture organizzative
Un altro aspetto di rilevante importanza riguarda le strutture organizzative richieste dalla ISO 22301: a livello generale è necessario immaginare figure e funzioni adeguate per la gestione della crisi. Nel 2013 AgID provò ad immaginare una configurazione organizzativa che potesse andare bene per la Pubblica Amministrazione e tale configurazione, ancora oggi, riesce ad essere adeguata. La continuità organizzativa ruota intorno a tre figure/funzioni: il Responsabile della C.O., la Struttura di Emergenza ed il Comitato di Crisi
Responsabile della C.O.
Il Responsabile della C.O. è il trigger che decide se affrontare la crisi secondo le “normali” procedure di gestione degli incidenti (ad esempio la procedura per i databreach) o se coinvolgere il Comitato di Crisi; facciamo due esempi:
- C’è un data breach causato da un malware e la procedura “ordinaria” di gestione dei data breach riesce a contenere il fenomeno. Chiaramente non vi è nessuna necessità di attivare il Piano di Continuità Operativa (PCO).
- C’è un incendio che devasta completamente il data-center e i dati memorizzati all’interno. È chiaro che la procedura “ordinaria” di gestione dei data breach non sarà sufficiente a garantire la tenuta dei dati e quindi sarà necessario attivare il PCO.
Data la sua importanza ed il suo compito specifico, la figura richiede una nomina formale, esattamente come il Responsabile CSIRT o il Punto di Contatto NIS2.
Struttura di Emergenza
Il Responsabile della C.O. si avvale della Struttura di Emergenza per la gestione della crisi. All’interno di tale struttura sono quindi presenti figure molto operative che vengono attivate sulla base della natura dell’incidente, operando anche in sinergia con eventuali squadre esterne (antincendio, primo soccorso, sicurezza fisica). Non vi è quindi una composizione fissa della struttura di emergenza: le professionalità incluse in questa struttura sono richieste a seconda del tipo di incidente verificatosi. Questo significa avere competenze e profili eterogenei, in tal senso la norma è chiarissima: per ciascun team devono esserci personale indicato e i relativi sostituti con la responsabilità, l’autorità e la competenza necessarie per svolgere il ruolo assegnato e procedure documentate per guidare le loro azioni.
Ogni ufficio interessato dal Piano di Continuità Operativa, deve quindi collaborare fornendo le risorse che ritiene idonee per affrontare le minacce riportatate all’interno del documento.
Comitato di Crisi
È organo composto da figure apicali dei settori interessati dalla gestione della crisi coperta dal PCO. Quando il Responsabile della C.O. attiva la gestione emergenziale, le persone che fanno parte del Comitato di Crisi inviano le proprie risorse identificate. Inoltre il Comitato di Crisi ha lo scopo di rivedere l’affidabilità e l’aggiornamento del piano come previsto al capitolo 9.3 della norma; almeno una volta l’anno il Comitato deve riunirsi per valutare il P.C.O. e mantenerlo aggiornato in termini di efficacia e adeguatezza. Con l’estensione del Piano di Continuità Operativa, gli appartenenti al Comitato di Crisi possono aumentare con l’inclusione di nuovi settori/uffici.
L’impatto sulle aziende
Benché la struttura organizzativa proposta dallo standard sia ragionevolmente adottabile da parte delle organizzazioni, spesso si trascurano i prerequisiti di cui si accennava all’inizio dell’articolo. Se l’organizzazione adotta una condotta o una struttura non ben disciplinata, formalizzata e adeguata agli obiettivi e ai sistemi in suo possesso, difficilmente riuscirà a sposare un modello come quello proposto dalla ISO 22301. Inoltre è necessario chiarire che prima di procedere alla definizione di un Piano di Continuità Operativa, l’organizzazione dovrebbe operare una efficace analisi del rischio finalizzata ad identificare i fattori di maggiore rischiosità sui quali basare il documento.
Catena dei fornitori e livelli di servizio
Il ruolo dei fornitori è cruciale nella gestione degli incidenti: la formalizzazione di livelli di servizio (Service Level Agreement – SLA) basati su Recovery Time Objective (RTO), Recovery Point Objective (RPO), Maximum Tolerable Period of Disruption (MTPD)2 è necessaria; questo però significa allinearsi con il fornitore del servizio/soluzione. I livelli di servizio sono quindi essenziali per garantire la corretta continuità in condizioni normali, che in quelle straordinarie/emergenziali. Gli SLA contribuiscono, inoltre, a realizzare parte del change management e al conseguente aggiornamento delle soluzioni adottate dall’organizzazione. Quando una soluzione esce dal perimetro di supporto offerto dall’organizzazione, dovrebbero intervenire i meccanismi di aggiornamento per ripristinarne l’affidabilità.
Conclusioni
Lo sviluppo di una capacità di continuità operativa può fare l’effettiva differenza tra la corretta gestione dell’emergenza e un severo fallimento: l’interruzione del servizio, di fatto, può avere costi molto più alti per la sua gestione e la sua risoluzione.
- Alla data del presente articolo, l’ultima versione dello standard è la ISO 22301:2019/Amd 1. ↩︎
- Il tempo massimo che l’azienda può permettersi che un servizio critico sia interrotto prima che i danni siano considerati inaccettabili (ad esempio, perdita di clienti, sanzioni legali, danno reputazionale irreversibile). ↩︎
