Quali sono le regole della business continuity? La lista delle cose da fare per evitare gli errori più comuni ed essere pronti a qualsiasi evento disastroso, fine del mondo compresa
Tra le priorità dei CIO, la sicurezza è schizzata in cima alle preoccupazioni della stragrande maggioranza dei manager. Le aziende stanno investendo di più in strumenti per la sicurezza delle informazioni, nell’adozione di policy specifiche e nella formazione del personale. Le dimensioni dell’azienda spesso rappresentano un indicatore preciso della qualità degli investimenti. E così si finisce per avere una sicurezza a due velocità: più avanti, le grandi imprese, mentre indietro, quelle più piccole. Ma la sicurezza è un ambito molto esteso che sconfina nella gestione del rischio e della business continuity. Infatti, la sfera di competenza della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità di un’organizzazione.
Pertanto, la scelta del partner giusto è determinante nell’attuazione di misure necessarie e cost-effective per proteggere l’azienda. I sistemi per essere resilienti devono resistere a incidenti di portata limitata, quali la rottura di un componente o il malfunzionamento di un impianto o a situazioni impreviste di grande portata come un attacco alle infrastrutture critiche. Per esempio, che cosa succederebbe se i server della tua azienda smettessero di funzionare di colpo a causa di un imprevisto, di una manutenzione sbagliata o per un attacco DDoS? L’amministrazione si fermerebbe perché le funzioni dell’IT non rilasciano dati. La logistica si bloccherebbe. Gli ordini non sarebbero registrati. Le comunicazioni interne ed esterne sarebbero interrotte. I dipendenti si fermerebbero e tutta l’organizzazione resterebbe bloccata.
Pallina bianca o pallina nera?
Non si tratta di calcolare la probabilità che un evento imprevisto possa tradursi in un danno per l’azienda. La questione fondamentale è essere pronti quando succederà. Il fatto che un evento sia improbabile non significa che non possa verificarsi oppure che non possa ripetersi immediatamente dopo la prima volta. In altre parole, quando si tratta di assicurare la continuità di business, bisogna essere pronti a qualsiasi evento, fine del mondo compresa. Il chief information security officer (CISO) è la figura che guida la strategia di sicurezza. Tutti i livelli dell’organizzazione – però – devono partecipare all’analisi e alla definizione del piano. E solo test periodici possono assicurare l’affidabilità delle soluzioni di business continuity adottate. Quindi, mettetevi l’animo in pace e passate dalla teoria alla pratica, verificando sul campo tutti i punti del vostro piano. Passando dal consiglio di amministrazione al singolo manager, la domanda alla quale bisogna rispondere è semplice e complessa allo stesso tempo: quali sono i punti di debolezza del mio business? Un piano di continuità efficiente si basa su cinque regole fondamentali: l’analisi dettagliata, l’obiettivo del piano, le persone coinvolte, la descrizione delle procedure. E infine, la semplicità d’esecuzione. Ma quali sono gli errori da evitare? Prima di tutto, non bisogna farsi prendere dal panico.
Sicurezza sì, allarme no
Nell’emergenza, può accadere di prendere le decisioni errate o di affidarsi a partner sbagliati. Il primo consiglio è quindi di riflettere prima di agire, e se i tempi non lo permettono, è meglio farsi aiutare, possibilmente evitando di chiamare il primo numero del fornitore che appare su Google, alla voce “business continuity” o “disaster recovery”. Un incidente è solo una possibilità da gestire rispettando le procedure. Quindi, tenetevi pronti e non aspettate la tempesta perfetta per chiedervi se il vostro piano di continuità funziona. Un altro errore frequente è quello di sottovalutare l’importanza della comunicazione. E siccome non c’è niente di peggio che gestire un’emergenza senza capirsi, fate in modo di parlare una lingua unica, adottando un vocabolario comune tra IT e business. E se le parole sono importanti per capirsi, il tempo è la variabile indipendente con cui vi troverete a fare i conti più spesso. Infatti, c’è un tempo per decidere e un tempo per ripristinare un servizio o una componente. Ma non dimenticate di permettere l’accesso al CED secondario anche da remoto e tramite operatori diversi da quelli del sito primario. Altrimenti rischierete di restare tagliati fuori.
Vincenzo Todisco, managing director di QSL Italia