Test, aggiornamenti e integrazione nella cultura aziendale. Consapevolezza, impatto finanziario e operativo. Come creare e implementare un piano di continuità contro gli attacchi ransomware per salvaguardare gli asset aziendali, rafforzando la security awareness

Incendi, allagamenti, terremoti sono alcuni degli eventi di cui si nutrono i piani di continuità aziendale. Meno frequente, fuori dall’ambito IT e della security, ragionare sulle conseguenze di un attacco ransomware e stimarne gli impatti. Attacchi che spesso non ricevono la stessa copertura mediatica di altri eventi catastrofici. Il che può contribuire a una mancanza di consapevolezza e comprensione dell’impatto finanziario, operativo e reputazionale. Aggiungiamo il fatto che molti ritengono erroneamente che le probabilità di subire un attacco ransomware siano basse. Questa convinzione è spesso rafforzata dal fatto di non aver mai subito un attacco e dalla percezione che la propria attività non sia un obiettivo rilevante per i criminali informatici C’è poi il sempiterno tema dei costi, legato alla volontà e alla possibilità di dedicare risorse finanziarie o umane alla prevenzione degli attacchi.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Naturalmente, il ransomware non si cura della pervasività di tutte queste “buone ragioni” e continua a espandersi e a colpire, utilizzando tecniche e vettori di trasmissione più vari: dall’evergreen e-mail di phishing allo sfruttamento di vulnerabilità note nei software e nei browser per infiltrarsi nei sistemi delle vittime (exploit kits); dalle tecniche di Drive-by downloads che scaricano codice infetto senza alcun intervento diretto dall’utente, basta navigare su un sito web virato, agli attacchi tramite server RDP non protetti o con password deboli, propedeutici alla penetrazione vera e propria all’interno del sistema, dai quali poi installare il ransomware e cifrare i dati; e ancora malvertising (annunci pubblicitari online utilizzati per diffondere ransomware), social engineering fino al Ransomware as a Service (RaaS), ovvero l’offerta completa di servizi a pagamento, con tutti gli strumenti e l’infrastruttura necessaria per sferrare un attacco.

«Il ransomware sta migrando verso questo ecosistema adottando un modello di business simile a quello dei servizi cloud, in cui i creatori del ransomware offrono il loro software e infrastrutture come servizio a terzi, a pagamento» – spiega Martin Zugec, director, technical marketing, WW Enterprise Marketing di Bitdefender. Questo modello facilita la diffusione del malware verso un’ampia platea di soggetti e organizzazioni criminali, aumentando il numero di potenziali vittime e incrementando i profitti per tutta la filiera del cybercrime. Inoltre, il modello incorpora tutti gli strumenti della fidelizzazione commerciale. Con i fornitori di Ransomware as a Service pronti a offrire aggiornamenti regolari di software e codice oppure a fornire assistenza tecnica in caso di problemi. Del resto – come conferma Zugec – «i principali operatori di ransomware si sono trasformati da tecnici a manager aziendali esperti, guidati dall’obiettivo di massimizzare i profitti riducendo al minimo i rischi e costi».

La maggior parte degli attacchi ransomware in Europa è causata da una navigazione in Internet non sicura, da malware su supporti rimovibili, per esempio, una chiavetta USB, e dall’apertura di allegati dannosi. «Metodi collaudati che sfruttano coloro che stanno solo cercando di svolgere il proprio lavoro, come il personale HR che apre regolarmente gli allegati dai candidati al lavoro» – spiega David Clemente, research director di IDC Europe. Gli strumenti e le tecniche di attacco sono in continua evoluzione. Perciò rimanere aggiornati sulle ultime minacce resta essenziale per proteggere al meglio dispositivi e dati. «Le strategie possono cambiare in base all’obiettivo» – ci dice Alex Galimi, sales engineer di Trend Micro Italia. «Se si prende di mira una grossa azienda si può utilizzare l’intelligenza artificiale per creare deep fake e dare il via alla cosiddetta truffa del CEO. Oppure, si può partire da azioni di ingegneria sociale per colpire una figura aziendale particolare attraverso comunicazioni e-mail con allegati maligni. O infiltrarsi con movimenti laterali, partendo dalla rete domestica di un dipendente o un fornitore. I metodi sono molti».

Se la miglior protezione è la prevenzione, allora un piano di continuità aziendale è la risposta più efficace che un’azienda possa mettere in campo – spiega Federica Maria Rita Livelli, membro del Comitato Scientifico di CLUSIT. «Si tratta di prepararsi in tempo di pace per agire in tempo di guerra. Implementare una strategia di risk management, business continuity e cybersecurity permette di limitare i rischi e di non abbassare la guardia».

IL PIANO DI CONTINUITÀ OPERATIVA

Un piano di continuità di business, ben progettato, modellato sulle specifiche esigenze dell’azienda, implementato e mantenuto, può ridurre l’impatto di un attacco ransomware e consentire di riprendere le normali operazioni in tempi più rapidi. Un piano di continuità operativa, degno di questo nome, deve includere un insieme di procedure e regole che definiscono come i dati critici di un’organizzazione vengono copiati, archiviati, preferibilmente su dispositivi o sistemi separati dalla rete principale dell’azienda per ridurre il rischio che un attacco ransomware o un’altra forma di compromissione corrompa anche i salvataggi effettuati. «Di fatto, il backup è da considerarsi l’ultima linea di difesa in qualsiasi piano di resilienza informatica e, come tale, dovrebbe essere eseguito periodicamente» – afferma Livelli di CLUSIT.

Per garantire un’adeguata protezione dei dati il piano deve tenere conto di diversi aspetti, a partire dalla tipologia e dalla frequenza dei salvataggi. La combinazione di diversi tipi di backup dovrebbe garantire una maggiore resilienza. È consigliabile adottare una strategia di backup che includa non solo copie di sicurezza complete, ma anche differenziali o incrementali, utilizzando una combinazione di opzioni come il cloud e dispositivi di archiviazione esterni. Per quanto riguarda la frequenza, bisogna considerare la quantità di dati generati e il livello di tolleranza dell’azienda al rischio di perdita dei dati. In particolare, un piano di backup efficace deve prevedere come rispondere a chi ha tutto l’interesse a impedire il recupero dei dati, come nel caso di un attacco ransomware. È cruciale avere un approccio proattivo per contrastare tale minaccia e garantire la ripristinabilità dei dati. Come afferma Zugec di Bitdefender, una volta che un affiliato al ransomware ha ottenuto l’accesso alla rete aziendale, l’obiettivo principale diventa la ripristinabilità dei dati. Pertanto, è essenziale implementare un piano di backup robusto e sicuro che consideri specificamente la minaccia del ransomware e preveda procedure specifiche per il ripristino dei dati in caso di attacco.

Per proteggersi dalla perdita di dati, Livelli di CLUSIT suggerisce di seguire la regola del 3-2-1: «Effettuare tre copie di back-up; conservare i back-up su almeno due diversi tipi di supporti di archiviazione; archiviare un backup in luogo diverso dalla sede principale di utilizzo, in modo tale da garantirsi che una copia sia al sicuro altrove». Conservare più versioni dei dati può essere utile nel caso in cui si verifichino errori o corruzioni dei file. Inoltre, in caso di attacco, la possibilità di ripristinare versioni precedenti dei file riduce l’impatto causato dalla cifratura dei dati, altro piatto forte chi attacca.

Leggi anche:  Sinergest, l’innovazione dei processi che parte dalle persone

Una strategia di backup efficace deve anche affrontare il rischio di violazione di un account che potrebbe causare la compromissione o la distruzione delle istanze di backup. «I backup non crittografati, infatti, potrebbero essere compromessi, consentendo agli aggressori di leggere i dati e iniettare malware nel backup stesso in modo tale che, se i server dell’organizzazione venissero successivamente compromessi, il backup reinfetterebbe i server al momento del ripristino» – mette in guardia Livelli di CLUSIT. «Crittografare i dati rappresenta una best practice fondamentale che può fornire un ulteriore livello di sicurezza nel caso in cui i backup dovessero finire nelle mani sbagliate».

SALVATAGGIO O RESISTENZA?

Non c’è accordo, invece, sul fatto che sia necessario o meno includere una risposta a una richiesta di riscatto all’interno di un piano di continuità aziendale. Ma di certo, valutare entrambe le opzioni è necessario per stimare in quanto tempo il business, i servizi e le operations torneranno attivi. Fino a che punto l’azienda può permettersi di pagare un riscatto, tenendo conto che l’importo richiesto può variare significativamente e che il pagamento del riscatto non garantisce in alcun modo il ripristino dei dati? Queste considerazioni evidenziano la complessità e l’incertezza associate alla decisione di pagare un riscatto.

«La redditività di un attacco varia nel tempo a seconda di vari fattori» – spiega Christian Maggioni, chief security officer di Altea Federation ed executive managing director & Equity Partner di Altea 365. «Semplificando al massimo, un riscatto vale meno più passa il tempo, per lo sblocco del sequestro dei dati. Ecco perché alcuni gruppi criminali mettono all’asta i dati esfiltrati al miglior offerente». Ogni situazione è unica nel suo genere e la decisione finale può dipendere da molte variabili. Di certo, decidere di non pagare equivale a scommettere sull’efficienza dei propri backup. Allo stesso modo, la decisione di intraprendere trattative con i criminali informatici è legata alla stima dei tempi di interruzione e ripristino delle operazioni, un aspetto centrale all’interno del piano di continuità aziendale.

«In Europa, il pagamento medio richiesto per incidente ammonta a circa 200mila euro» – afferma Clemente di IDC Europe. Tuttavia, anche se il costo del riscatto può essere contenuto – secondo i dati IDC – la maggior parte delle vittime europee di attacchi ransomware perde l’accesso ai propri sistemi o dati per un periodo che varia da uno a sette giorni per incidente. Più che sufficienti per perdere clienti, ordini e commesse. Perciò è del tutto superfluo sottolineare quanto sia importante stimare in modo affidabile i tempi di inattività dell’azienda prima di tornare alla piena operatività: stima che richiede un’analisi accurata dei sistemi critici, dei processi chiave, e dei dati critici per identificare le aree più vulnerabili e determinare le conseguenze operative, finanziarie e reputazionali dell’attacco. Un primo passo è stimare i tempi di ripristino per i diversi sistemi e servizi aziendali, in base alla loro criticità. Per esempio, i sistemi critici per la continuità delle operazioni potrebbero richiedere un ripristino prioritario entro poche ore; per altri servizi i tempi di ripristino possono essere più flessibili. Altrettanto cruciale è prevedere all’interno della strategia di backup risorse e competenze dedicate alla gestione degli incidenti di sicurezza. Questo implica l’assegnazione di personale specializzato e l’adozione di procedure specifiche per affrontare e rispondere in modo tempestivo ed efficace agli eventi di sicurezza. «Contro ogni genere di attacco, ma in particolare in caso di ransomware, bisogna prevedere una strategia di security solida da un punto di vista tecnico ma anche umano» – concorda Galimi di Trend Micro Italia. «Assicurandosi che l’intera forza lavoro sia consapevole e continuamente aggiornata circa i nuovi rischi e possibili attacchi». Questo aiuta a ridurre il rischio di successo degli attacchi e a migliorare la capacità degli utenti di riconoscere le potenziali minacce provenienti da hardware, software e servizi esterni. Inoltre, consente di sviluppare una cultura di sicurezza informatica in cui tutti gli utenti sono consapevoli dei rischi, adottando pratiche sicure nell’utilizzo di dispositivi e servizi.

L’integrazione di risorse e l’investimento in competenze nel piano di backup contribuiscono a rafforzare la sicurezza complessiva dell’organizzazione. Una prospettiva condivisa anche da Leonida Gianfagna, CTO di Cyber Guru che sottolinea come oltre a pianificare barriere di sicurezza sempre più solide per proteggere le aziende sia prioritario affidarsi a programmi avanzati di formazione di Security Awareness. «Programmi che permettono a ogni dipendente, a prescindere dal ruolo che svolge, di trasformarsi nella prima barriera anti-ransomware e di essere sempre in grado, attraverso un esercizio continuo, di riconoscere immediatamente l’elemento di rischio e fermarlo in tempo. Solo in questo modo – afferma Gianfagna – è possibile proteggere i dati aziendali ed evitare i danni derivanti da eventuali attacchi di questo tipo».

MAPPARE LE VULNERABILITÀ

La tecnologia di sicurezza, come è emerso parlando della strategia di backup, è uno dei fattori chiave per garantire la continuità delle operazioni. Per ridurre i rischi e le vulnerabilità identificate nel piano di continuità aziendale è fondamentale integrare i sistemi di monitoraggio e allarme, firewall, antivirus, sistemi di sicurezza fisica, rilevamento delle intrusioni, crittografia e così via nelle strategie di risposta agli incidenti, nelle procedure di ripristino dei sistemi e nelle attività di backup e recupero dei dati. Questa integrazione garantisce un approccio completo alla sicurezza informatica, in cui tutte le componenti lavorano in sinergia per rilevare, prevenire e mitigare gli attacchi, nonché per ripristinare rapidamente i sistemi e i dati in caso di incidenti. La tecnologia di sicurezza dovrebbe perciò essere selezionata, implementata e mantenuta in conformità con le misure di sicurezza necessarie per proteggere l’azienda dai rischi individuati nel piano di continuità. «La conoscenza profonda della propria organizzazione e la conseguente mappatura dei rischi sono il presupposto per la definizione di qualsiasi contromisura» – osserva Andrea Paita, Cybersecurity Services manager di S3K, che suggerisce di iniziare focalizzandosi sulla governance e sull’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni. «L’adozione di uno standard ben definito, come l’ISO 27001, consente di stabilire immediatamente uno scope, identificare le informazioni da proteggere e di condurre una valutazione dei rischi individuando le minacce a cui l’organizzazione è esposta, inclusi i ransomware, e implementare correttamente i controlli proposti. Questo approccio consapevole fornisce una solida base per affrontare efficacemente le sfide della sicurezza informatica». Sembra un’ovvietà – commenta Paita – «ma ancora oggi a mancare è soprattutto un approccio organizzato alla sicurezza». Nel caso in cui un’organizzazione non possa permettersi di avere una struttura dedicata alla gestione della sicurezza delle informazioni, con un CISO che coordina le attività, è possibile fare affidamento su servizi esterni, come quelli di CISO as a Service. S3K, per esempio, offre ai propri clienti la possibilità di accedere a tali servizi, anche tramite il proprio Security Operations Center (SOC). Questa soluzione consente alle organizzazioni di usufruire di competenze specializzate e di un supporto professionale per garantire una gestione efficace e adeguata della sicurezza delle informazioni, anche in assenza di risorse interne dedicate. Un piano di contenimento e recupero di dati e asset dovrebbe suddividersi tra componenti tecnologiche e processi operativi, per ottenere una sorta di guida aziendale per contrastare un attacco informatico. «In caso di attacco – spiega Galimi di Trend Micro Italiale tecnologie saranno utili per garantire visibilità su reti e dispositivi, mentre i processi operativi dovranno definire le linee guida per semplificare e velocizzare le fasi di isolamento dei sistemi compromessi e l’identificazione della catena di attacco e contenimento su tutti i livelli dell’infrastruttura: firewall, endpoint, server, reti, ambienti cloud, hypervisor e così via».

APPROCCIO DIFENSIVO

Marco Gioanola, sales engineer di Zscaler concorda sulla necessità di un approccio “difensivo” basato sulla ridondanza e il backup dei dati, ma sottolinea altresì l’importanza di concentrarsi sulla protezione dell’accesso ai dati, identificandone natura e localizzazione: «Stiamo parlando di dati che risiedono nei file server legacy on premise, nei drive cloud, nelle caselle di posta degli utenti, nei sistemi di instant messaging e, sotto forma di codice, nelle applicazioni sviluppate in ambienti PaaS/IaaS. Ognuno di questi ambienti può essere un canale di infiltrazione del malware, utilizzabile non solo per la cifratura dei dati a scopo di estorsione, quanto soprattutto all’esfiltrazione di dati sensibili o di proprietà intellettuale».

Leggi anche:  NIS 2, l’AI e l’effetto Taylor Swift

Da qui, sorge la necessità di avere a disposizione una piattaforma di protezione completa – come sottolinea Gioanola – in grado di applicare regole uniformi di accesso e protezione dei dati in ambienti eterogenei. Questo è l’obiettivo di Zero Trust Exchange di Zscaler, che rappresenta il concetto di Security Service Edge, consentendo l’applicazione di policy Zero Trust sia ai dati in transito che a quelli at-rest. L’approccio SSE integra servizi di sicurezza direttamente nel percorso del traffico dati e consente di implementare politiche di sicurezza coerenti e uniformi in tutto l’ambiente aziendale, indipendentemente dalla posizione fisica degli utenti o delle risorse. In questo modo, è possibile garantire una protezione completa e coerente dei dati lungo tutto il percorso, tenendo conto delle diverse situazioni e fornendo un metodo sicuro e affidabile alla gestione delle informazioni. Come i sistemi di backup e ripristino, anche le soluzioni di sicurezza richiedono sessioni regolari di test per verificare la loro efficacia. Nel piano di sicurezza, è importante includere una strategia per condurre test periodici e accurati delle soluzioni implementate. Per esempio, utilizzando vulnerability assessment, penetration test, simulazioni di attacchi, tutte attività idonee anche per valutare la capacità delle soluzioni di rilevare e mitigare le minacce. Altrettanto importante è testare i processi di gestione degli aggiornamenti di sistemi e software utilizzati dall’azienda, verificando che aggiornamenti e patch siano correttamente implementati, non causino problemi di compatibilità o interruzioni del servizio e siano in grado di mitigare le vulnerabilità note. Nel caso in cui l’azienda si affidi a fornitori di sicurezza esterni, è importante prevedere e sollecitare una valutazione periodica dell’efficacia delle soluzioni e dei servizi forniti. Questo permette di verificare che i fornitori stiano adempiendo alle aspettative e che le soluzioni fornite siano all’altezza delle minacce attuali.

COME RIDURRE I RISCHI

Se un piano di continuità aziendale non viene regolarmente testato e aggiornato, c’è il rischio quando viene il momento di utilizzarlo che risulti obsoleto o inefficace. Per esempio, nel caso di aver deciso in passato di affidarsi esclusivamente a supporti di archiviazione fisici, come cassette o dischi rigidi esterni, per il backup dei dati critici dell’azienda, vulnerabili a danni fisici come danni accidentali o allagamenti.

In questo caso, potrebbe essere necessario rivedere il piano e implementare soluzioni di backup più resilienti, come il backup su cloud o l’utilizzo di infrastrutture ridondanti. Inoltre, se il personale non è adeguatamente formato e consapevole delle sue responsabilità e delle procedure da seguire in caso di emergenza, potrebbero verificarsi errori o ritardi nella risposta agli incidenti. In questo caso, sarebbe essenziale fornire una formazione adeguata per garantire che le persone siano in grado di gestire correttamente le situazioni di emergenza, compresi gli attacchi ransomware. Il ripristino rapido e affidabile dei dati è un aspetto critico della continuità operativa in caso di eventi avversi come un attacco ransomware, un errore umano o un disastro naturale. Un piano di continuità aziendale deve perciò prevedere il test dei sistemi di backup. «È fondamentale testare il backup in modo da verificarne la funzionalità ed essere sicuri di poter accedere ai dati nel momento del bisogno» – conferma Livelli di CLUSIT. «Allo stesso modo, testare regolarmente la procedura di ripristino aiuta a identificare eventuali problemi o lacune nel processo di backup e ripristino, prima che si verifichino situazioni critiche». Numerosi i punti da considerare, a partire da ambito e frequenza dei test. Tutti i componenti critici del processo – software e server di backup, dispositivi di storage e ripristino dei dati – dovrebbero essere oggetto di test. Così come la connettività di rete e il processo di replicazione dei dati, verificando per quest’ultima operazione la corretta archiviazione e, se prevista, la crittografia dei dati. Ogni azienda ha esigenze specifiche, ma in genere la frequenza dipende dalla complessità dei sistemi di backup e dalla criticità dei dati. È consigliabile testare i backup almeno una volta all’anno, ma in alcuni casi potrebbe essere necessario eseguire test più frequenti, soprattutto per i dati critici o in ambienti aziendali ad alto rischio. I test dei sistemi dovrebbero includere una varietà di scenari al fine di garantire un’adeguata copertura. Questi scenari possono includere il ripristino di file o cartelle specifiche, server completi e applicazioni critiche. È importante testare anche il ripristino in ambienti di test isolati, in modo da simulare le condizioni reali e verificare l’efficacia del ripristino. Durante i test, è consigliabile eseguire prove di ripristino da un punto temporale specifico, in modo da valutare la capacità di recuperare i dati in diverse fasi del tempo. Questo è particolarmente importante per le aziende che richiedono un ripristino dei dati ad uno stato precedente a un evento indesiderato, come un attacco ransomware o un errore umano. Inoltre, è consigliabile testare la capacità di ripristino su hardware diversi, poiché potrebbe essere necessario sostituire o aggiornare l’hardware utilizzato per il backup e il ripristino dei dati nel corso del tempo.

Leggi anche:  Vittorio Bitteleri, country manager Italia di Cyber Guru: «Non contattarmi più, arrangiati!»

Dopo ogni test, infine, è importante valutare i risultati ottenuti e identificare eventuali aree di miglioramento. Se si verificano errori o problemi nel ripristino dei dati, è necessario indagare sulle cause e prendere provvedimenti correttivi per migliorare l’efficacia di sistemi e procedure. Tutto il management deve essere consapevole della necessità di verifiche periodiche. «Non è possibile garantire il recupero dei backup senza una verifica periodica» – osserva Christian Maggioni di Altea Federation. «Parlare con altre aziende vittime di attacchi informatici può favorire una maggior consapevolezza dei rischi e lo scambio best practice. Spesso i nostri clienti – continua Maggioni – acquistano un servizio di assessment per verificare se i sistemi di backup sono configurati secondo le best practice e che i dati siano effettivamente ripristinabili: questo aiuta il team IT e il management ad avere una migliore visione dei sistemi».

AL CENTRO DELLA RESILIENZA

Le persone sono l’anima di un piano di business continuity. Se il personale non è coinvolto nella creazione e nell’implementazione del piano aumentano le probabilità che vengano a mancare la consapevolezza e l’impegno necessari per eseguire le azioni corrispondenti in caso di emergenza. Un macigno sull’efficacia del piano. «La continuità operativa è un elemento fondamentale per la strategia di security di tutte le aziende che devono mantenere operative le funzioni critiche anche durante un’emergenza o un’interruzione delle attività, in modo da non compromettere il proprio business e la loro immagine sul mercato» – spiega Giovanni Bombi, NGS business development manager di Westcon.

«La business continuity richiede la valutazione della rilevanza delle diverse funzioni aziendali nell’ambito di un’analisi dell’impatto e la pianificazione di un piano per mantenere operative almeno le componenti più critiche anche in caso di anomalie». Oltre alle tecnologie leader di mercato, Westcon offre ai propri partner tutto il supporto di prevendita necessario e una serie di strumenti come i 3D Lab, laboratori gratuiti per testare le soluzioni integrate tra loro e simulare scenari di attacco per poi presentarle ai clienti finali o formare il personale. Tutti i membri chiave dell’organizzazione devono perciò essere consapevoli delle loro responsabilità specifiche in caso di emergenza, delle modalità di svolgimento e della collocazione del piano stesso, la cui accessibilità non è un aspetto da sottovalutare.

Il personale coinvolto deve essere adeguatamente formato e addestrato sulle procedure e le azioni specifiche da intraprendere, attraverso periodiche esercitazioni pratiche o simulazioni. Testare l’efficacia della formazione in cybersicurezza aiuta a identificare i punti di forza e le aree di miglioramento sia nella consapevolezza che nell’adozione dei comportamenti corretti da parte del personale. Se poi come sempre più spesso si verifica il piano coinvolge fornitori di servizi esterni o altre parti interessate, oltre a condividere il piano, il personale esterno va fattivamente coinvolto nelle simulazioni, in modo da verificare l’allineamento dei loro piani di continuità aziendale con quelli dell’organizzazione.

Un piano di continuità aziendale potrebbe essere ben scritto e dettagliato, ma mancare di una adeguata implementazione o considerazione delle situazioni reali; oppure non tenere conto delle specifiche esigenze e delle realtà operative dell’azienda. Se le procedure e le soluzioni proposte non sono realistiche o praticabili, il piano risulterebbe inefficace e irrealistico. Al tempo stesso un piano di continuità aziendale richiede una chiara assegnazione delle responsabilità e una guida adeguata a garantire la sua attuazione. Se manca una leadership forte e un’effettiva accountability, il piano potrebbe essere considerato come un semplice documento burocratico senza un vero impatto operativo. In pratica, una tigre di carta. Per tutte queste ragioni, il piano di continuità aziendale deve essere un documento vivo che non va relegato in fondo a un cassetto e dimenticato. «Business continuity e Disaster recovery plan devono essere periodicamente testati ed aggiornati, non solo in base agli esiti dei test, ma anche in relazione all’evoluzione tecnologica, organizzativa, normativa e di mercato in modo tale da verificarne l’adeguatezza e permettere all’organizzazione di allenare il proprio “muscolo” della resilienza» – conclude Livelli di CLUSIT.

Solo attraverso una vera integrazione nella cultura aziendale, il piano può dimostrare la sua efficacia e il reale valore nella gestione delle emergenze e nel garantire la continuità delle operazioni.


Smeup: La business continuity nel mondo digitale