Business continuity e cyber security: strategie IT a tutela della continuità del business

In questo articolo

In un mondo sempre più digitalizzato le minacce informatiche sono un rischio concreto per qualsiasi tipologia di azienda, indipendentemente da dimensioni e settore merceologico tutte le aziende devono mettere in sicurezza infrastrutture IT e dati per difendersi dagli attacchi informatici.

Fornire strumenti adeguati aiuta a prevenire gli attacchi cyber e a preservare l’integrità, la disponibilità e la riservatezza delle informazioni e dei processi vitali all’interno delle aziende. Tuttavia, come noto, anche in realtà molto strutturate gli attacchi informatici possono riuscire nel loro intento, bloccando l’attività operativa.

Un business continuity plan è un documento che descrive le misure adottate all’interno di un’azienda per garantire l’operatività in caso si verifichi un’interruzione non pianificata dei servizi di business. Si tratta di una prospettiva più ampia rispetto ad un disaster recovery plan in quanto include anche le strategie di emergenza volte a preservare i processi aziendali, la proprietà degli asset, le risorse umane e i partner commerciali attivi in ogni aspetto del business per cui l’azienda potrebbe essere coinvolta.

Un business continuity plan dovrebbe includere una check-list dettagliata con l’elenco dei sistemi in uso e delle apparecchiature installate, la modalità di backup dei dati e l’ubicazione delle strutture IT. Inoltre, identifica i responsabili di ogni processo e fornisce informazioni dettagliate sulle persone da contattare in caso di emergenza.

Sei interessato alla realizzazione di un Business Continuity Plan?

Con il termine Business Continuity Management si intende la capacità di mantenere operativi i processi aziendali, i servizi, le tecnologie e il personale nonostante l’eventuale insorgere di situazioni spiacevoli, accettando livelli di performance diversi da quelli normalmente riscontrati.

Un sistema di gestione di questo tipo coinvolge diversi processi che convergono in un insieme strutturato con l’obiettivo di:

• assicurare la sopravvivenza delle funzioni aziendali essenziali;
• identificare gli eventi e gli incident potenzialmente in grado di compromettere la business continuity;
• definire una struttura organizzativa in grado di reagire tempestivamente in caso di compromissioni dei processi;
• ridurre complessivamente i rischi correlati alla continuità operativa aziendale sul piano gestionale, amministrativo e legale.

Per riuscire a soddisfare gli obiettivi di business continuity è necessario introdurre i tre componenti principali di una Business Continuity Management:

• valutazione dell’impatto sull’azienda – BIA (Business Impact Analysis) – ossia uno screening dei processi aziendali per individuare criticità, impatto sul business con tempi di ripristino (RTO) e mappatura delle risorse necessarie per mantenere i processi a livelli accettabili di funzionalità;
• piano di continuità operativa (BCP) – l’insieme di procedure formali che aiutano le organizzazioni a reagire in caso di incidente, ripristinare e far raggiungere ai processi critici un livello adeguato entro il tempo prestabilito (RTO);
• piano IT di recupero dei sistemi informatici (DRP), un processo documentato volto al ripristino di un’infrastruttura IT in seguito a situazioni disastrose, sia fisiche (come, ad esempio, incendi o alluvioni al data center) che logiche (ad esempio attacchi informatici, ransomware, ecc.).

Un recente studio condotto dal Ponemon Institute ha messo in luce come un’adeguata correlazione tra cybersecurity e Business Continuity Management sia in grado di ridurre significativamente il tempo impiegato per affrontare una violazione dei dati, nonché le probabilità di subire nuovamente un episodio di tipo analogo.
La ricerca indica che un business continuity plan ben progettato, può contribuire a diminuire i costi medi causati da una violazione dei dati grazie alla capacità di mantenere operative le attività aziendali.

È importante ribadire come i tentativi di hacking e altre forme di attacchi informatici possano avere conseguenze anche gravi in relazione a dati e sistemi, come qualsiasi altro disastro naturale che impatti sull’ambiente fisico.
Nel contesto attuale, l’integrazione della sicurezza informatica in una pianificazione BCDR (Business Continuity e Disaster Recovery) è fondamentale per mantenere sia l’affidabilità dell’infrastruttura IT che la continuità operativa.

Quali sono i rischi ai quali ci esponiamo nel caso di fermo operativo dell’azienda?

Gli eventi che si susseguono durante il periodo successivo ad un attacco sono critici, ma troppo spesso vengono sottovalutati periodi di inattività prolungati mentre l’azienda vacilla per tornare alla normale operatività.

Si calcola che per ogni ora trascorsa offline un’azienda possa perdere da poche centinaia a migliaia di euro in base a risorse e dimensioni (produzione ferma, piattaforme digitali non funzionanti, impossibilità di accedere ai software gestionali) e si rivelano ancora più gravosi i tempi di inattività non previsti e non gestiti.
Non conoscere i passaggi chiave e il tempo operativo necessario ad uno specifico ripristino, che spesso si verifica dopo un attacco imprevisto, può costare in media oltre il 30% in più del tempo trascorso semplicemente offline.

Si stima che in media il danno monetario causato da un singolo evento ammonta a circa € 8.000 per le piccole o medie imprese mentre per le grandi imprese la cifra può arrivare fino a € 200.000. Essere pronti a tornare alla normale operatività il più rapidamente possibile, si rivela quindi un obiettivo fondamentale per evitare di rallentare il ripristino delle attività quotidiane.

Potenzialmente ancora più costosa è la perdita di reputazione derivante da un attacco. Un evento di questo tipo comunica a clienti, fornitori e in generale a tutti gli stakeholder che i loro dati potrebbero non essere così sicuri nelle mani dell’azienda, rendendo più difficile affidarsi ai servizi dell’impresa in futuro.

Infine, gli attacchi informatici possono rendere i dati completamente irrecuperabili. La mancanza di backup immutabili o di sistemi di ripristino potrebbe rendere difficile, se non impossibile, ripristinare i dati per tornare ad uno scenario precedente all’attacco.

L’interazione tra cybersecurity e Business Continuity Management risulta essere vincente se si introducono alcune azioni specifiche quali:

• sviluppare un sistema di continuità operativa che consideri anche la fruizione di servizi di terze parti di natura informatica (hosting, cloud provider, ecc.);
  fornire relazioni periodiche al management aziendale sullo stato di gestione del rischio cyber, incluse le informazioni fondamentali ottenute in seguito a test di business continuity;
• elaborare un piano di comunicazione efficiente in caso di crisi destinato a tutti gli stakeholder, che tenga conto anche degli obblighi normativi (GDPR). 
  integrare la BIA nel processo di valutazione del rischio informatico e tenere in considerazione le dipendenze dai sistemi informatici durante la BIA;
• coinvolgere il top management nella definizione di una strategia per gli incident e per il ripristino della continuità aziendale, evidenziando la possibile presenza di nuovi scenari cyber;
• individuare soluzioni tecniche adeguate per garantire l’operatività dei sistemi IT, che tengano conto sia di scenari fisici tradizionali che di situazioni critiche a livello cyber;
• allineare la strategia di business continuity alle procedure di sicurezza delle informazioni esistenti e viceversa.

La creazione di un business continuity plan coinvolge diverse figure professionali che si occupano di IT, operatività e risorse umane. Le linee guida dell’ILO (International Labour Organization) hanno identificato diversi step dedicati ad aziende di piccole e medie dimensioni:
Step 1: Determinare il profilo di rischio tramite un assessment utilizzando il framework delle 4 P – Persone, processi, profitti e partnership
Step 2: Identificare prodotti, servizi, processi e funzioni chiave
Step 3: Stabilire gli obiettivi del business continuity plan
Step 4: Valutare l’impatto potenziale di un evento sul business e sui lavoratori
Step 5: Stilare l’elenco di azioni necessarie a proteggere il business
Step 6: Organizzare una lista di contatti
Step 7: Mantenere aggiornato ed effettuare upgrade periodici del business continuity plan

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Contattaci per maggiori informazioni su come realizzare correttamente un Business Continuity Plan.

Vuoi restare aggiornato sulle ultime novità dal mondo della Cyber Security?

ISCRIVITI ALLA NEWSLETTER