La cyber security matura si fonda su quattro pilastri: gestione degli incidenti, piano di risposta agli incidenti, continuità operativa e disaster recovery.

Dopo aver introdotto l’importanza di un approccio integrato e la gestione e la risposta operativa agli incidenti, ci concentriamo sulle strategie che consentono alle organizzazioni di mantenere o ripristinare rapidamente le attività essenziali anche di fronte a eventi critici o catastrofici.

Il Piano di continuità operativa (BCP) e le procedure di Disaster recovery (DR) sono elementi siano fondamentali per garantire la resilienza dell’organizzazione anche in condizioni estreme.

Ecco le best practice e gli standard internazionali (ISO 22301:2019, ISO/IEC 27031:2011, ora in fase di pubblicazione la nuova edizione, e il framework del Nist che ne regolamentano i requisiti) che forniscono un quadro di riferimento per una corretta implementazione.

Piano di continuità operativa (BCP): definizione e obiettivi

Il Piano di continuità operativa (Business Continuity Plan, BCP) è lo strumento attraverso il quale l’organizzazione assicura la prosecuzione o il ripristino delle proprie funzioni critiche in caso di interruzioni o eventi gravi, siano essi dovuti a disastri naturali, problematiche di natura tecnologica o eventi “disruptive” di altra tipologia.

Obiettivo primario: minimizzare l’interruzione delle attività core, mantenendo livelli accettabili di servizio (eventualmente anche definiti contrattualmente) e riducendo l’impatto su clienti, partner e stakeholder nonché le conseguenze di penalità e/ o perdita di reputazione.
Estensione oltre l’IT: il BCP coinvolge l’intera struttura aziendale (risorse umane, logistica, finanza, comunicazioni, oltre ai fornitori), poiché un fermo prolungato di reparti chiave può risultare critico per la sopravvivenza del business.

Fasi di sviluppo del BCP

Il Bcp si sviluppa attraverso le seguenti fasi:

• analisi di impatto sul business (Business Impact Analysis, BIA): identificazione dei processi e delle funzioni essenziali, definizione dei livelli di priorità e dei possibili scenari di interruzione;
• valutazione dei rischi: mappatura dei rischi interni ed esterni che potrebbero causare disservizi, con stime di probabilità e impatto;
• strategie di continuità: definizione di soluzioni di ridondanza, sedi alternative, piani di emergenza per il personale e piani di comunicazione in caso di crisi eccetera;
• progettazione e stesura del piano: redazione vera e propria del documento, con indicazione di ruoli, responsabilità, procedure e contatti di emergenza;
• formazione e test: periodiche esercitazioni sull’attuazione del piano (drill, tabletop exercise, simulazioni) per verificarne l’efficacia e procedere a eventuali revisioni.

Standard di riferimento per il BCP

ISO 22301:2019 (Business continuity management systems): descrive i requisiti per un sistema di gestione della continuità operativa e fornisce la base per la certificazione; lo standard è supportato dalla linea guida ISO 22313:2020 (Guidance on the use of ISO 22301) e per quanto riguarda la catena di fornitura, ulteriori indicazioni sono riportate nella ISO/TS 22318:2021 (Guidelines for supply chain continuity management).
ISO/IEC 27031:2011 (Guidelines for Information and Communication Technology Readiness for Business Continuity): focalizzato sulla continuità dei servizi e delle infrastrutture IT.
NIST SP 800-34 (Contingency Planning Guide for Federal Information Systems) include raccomandazioni per la resilienza operativa e integrazione con i piani di sicurezza.

Disaster recovery (Dr): definizione e obiettivi

Il Disaster recovery si concentra sul ripristino degli asset IT e dei dati dopo un evento catastrofico o incidente grave (per esempio, la distruzione di un data center a causa di un incendio).

A differenza del Bcp, che mira a mantenere in piedi le funzioni aziendali, il DR si focalizza sugli aspetti tecnici del recupero.
Obiettivo primario: ridurre al minimo il tempo di inattività e la perdita di dati, consentendo il ritorno rapido alla piena operatività.
Indicatori chiave:

• RTO (Recovery time objective): tempo massimo tollerato di indisponibilità;
• RPO (Recovery Point Objective): quantità di dati che l’azienda può permettersi di perdere.

Esempi di RTO e RPO

Il primp esempio è un caso di eCommerce di abbigliamento.

In questo scenario, l’azienda Alfa gestisce per conto del cliente Beta il sito di eCommerce per la vendita di abbigliamento. A seguito di un attacco ransomware, il sito diventa inutilizzabile.

Il contratto stipulato tra Alfa e Beta prevede un RTO di 4 ore. Questo significa che Alfa deve essere in grado di ripristinare il sistema e tornare operativo entro tale limite di tempo.

Se l’RPO di Alfa è fissato a 30 minuti, significa che Beta accetta, come stabilito contrattualmente, di poter perdere al massimo gli ordini, i dati di navigazione e le registrazioni degli utenti avvenute nei 30 minuti precedenti all’attacco. Per ridurre al minimo la perdita di dati, Alfa deve garantire backup con una frequenza di almeno ogni mezz’ora.

Il secondo esempio è un software per infrastruttura ferroviaria.

In questo caso, un fornitore critico di cyber security, Gamma, subisce una compromissione dei propri sistemi, causando l’indisponibilità della piattaforma di gestione ferroviaria utilizzata da Delta.

Se il contratto prevede un RTO di un’ora, significa che Delta deve poter ripristinare l’accesso al software entro questo intervallo di tempo, al fine di evitare impatti sulla sicurezza e sulla continuità del servizio.

Se l’RPO di Delta è fissato a 5 minuti, significa che la perdita massima di dati operativi accettabile è di 5 minuti. Per soddisfare questo requisito, è necessario disporre di backup quasi in tempo reale o di sistemi di replica continua dei dati.

Criteri per la determinazione di RTO e RPO

La definizione dei valori di Recovery time objective (RTO) e Recovery point objective (RPO) si basa sui seguenti passaggi:

• identificazione dei sistemi e servizi essenziali: è necessario individuare i sistemi e i servizi critici per il funzionamento aziendale, classificandoli in base al livello di criticità. Questo aspetto influenzerà direttamente i tempi di ripristino associati a ciascun processo;
• valutazione dell’impatto dell’indisponibilità: per ogni sistema critico, occorre stimare le conseguenze dell’indisponibilità in tre ambiti principali: legale (eventuali violazioni degli SLA, Service Level Agreement, in relazione agli obblighi normativi; economico (perdite di vendite, sanzioni contrattuali od altre conseguenze finanziarie); operativo (difficoltà nella gestione degli ordini, delle infrastrutture o nell’erogazione dei servizi. Maggiore è l’impatto dell’indisponibilità, minore deve essere il valore di RTO e RPO;
• definizione di RTO e RPO per ogni sistema;
• implementazione delle soluzioni tecniche;
• monitoraggio e aggiornamento periodico.

Domande chiave per definire RTO

Le domande chiave per definire il tempo massimo di indisponibilità accettabile (RTO) sono:

• qual è il tempo massimo di mancata disponibilità del servizio le cui conseguenze sono ancora accettabili?
• quali soluzioni alternative (per esempio, backup di emergenza, server ridondanti) sono disponibili a un costo sostenibile?

Domande chiave per definire RPO

Le domande chiave per definire la massima perdita di dati accettabile (RPO):

• con quale frequenza devono essere salvati i dati per evitare perdite critiche o il mancato rispetto di vincoli contrattuali?
• quali dati possono essere persi senza compromettere il servizio o violare obblighi contrattuali?

Implementazione delle soluzioni tecniche

In base ai valori di RTO e RPO definiti, è necessario adottare strumenti adeguati, quali:

• backup e ripristino: backup incrementali frequenti, archiviazione off-site;
• sistemi di alta disponibilità: server ridondanti, cloud con failover automatico;
• replica dei dati: sincronizzazione in tempo reale o near real-time;
• test di disaster recovery: simulazioni periodiche per verificare l’efficacia dei tempi di ripristino.

Monitoraggio e aggiornamento periodico

I valori di RTO e RPO devono essere periodicamente verificati e aggiornati in base a:

• evoluzione dei processi aziendali;
• modifiche contrattuali o normative (incluse quelle imposte da fornitori con elevato potere contrattuale);
• nuovi scenari di minaccia (per esempio, emergere di attacchi ransomware più sofisticati);
• introduzione di nuove soluzioni tecnologiche.

In estrema sintesi: un approccio strutturato potrebbe prevedere la creazione di una matrice che:

• elenchi i servizi offerti (interni o esterni all’azienda);
• definisca gli RTO e RPO ideali, tenendo conto dei vincoli contrattuali;
• verifichi se l’infrastruttura IT e quella dei fornitori siano in grado di rispettarli.

Standard di riferimento per il disaster recovery

Un efficace Piano di Dr dovrebbe includere:

• inventario delle risorse critiche: dettagli e priorità sui sistemi da recuperare in caso di emergenza;
• procedure di backup e ripristino: pianificazione e verifica periodica della validità dei backup;
• repliche e failover: utilizzo di soluzioni di replica in tempo reale (per esempio siti secondari) per assicurare la continuità;
• valutazioni di test periodici: le simulazioni e i test di Dr servono a garantire che i piani siano aggiornati e funzionanti.

Standard di riferimento per il disaster recovery:

• ISO/IEC 27031: fornisce linee guida anche per il DR, integrandosi con il BCP.
• NIST SP 800-34 (Contingency planning guide for Federal information systems): copre la continuità operativa e il disaster recovery per i sistemi informatici, con linee guida specifiche sulla redazione e il mantenimento di piani di disaster recovery.

Sinergia tra Bcp e Dr e integrazione con l’Incident management

Un sistema di sicurezza informatica completo integra Bcp e Dr con gli aspetti di Incident management e Incident response.

Mentre il Bcp garantisce la continuità delle funzioni chiave, il Dr provvede alla ripartenza tecnica dei sistemi. L’unione di questi piani permette di mantenere una visione olistica di tutti i possibili scenari.

Coordinamento con Incident Management: la gestione degli incidenti stabilisce il quadro decisionale e la scalabilità delle risorse. Una volta attivata la fase di risposta operativa, i piani Bcp/Dr forniscono le linee guida per assicurare la continuità e il ripristino.

Fasi di miglioramento continuo: test regolari, review post-incident e metriche di performance (per esempio Mean Time to Recovery, Mttr) permettono di allineare costantemente i piani Bcp e Dr alle evoluzioni del business e delle tecnologie.

I tasselli di un ecosistema integrato

La resilienza di un’organizzazione non dipende unicamente dalla rapidità con cui risponde a un incidente, ma anche dalla capacità di mantenere le proprie operazioni essenziali e di ripristinare in breve tempo l’infrastruttura IT.

Il Piano di continuità operativa (Bcp) e il Disaster recovery (Dr) costituiscono i tasselli finali di un ecosistema di sicurezza integrato, completando quanto illustrato nei precedenti articoli sulla gestione degli incidenti e sul piano di risposta.

Il Bcp si occupa di preservare i processi di business anche in condizioni avverse, grazie a un’analisi strutturata dei rischi e piani di emergenza che coinvolgono l’intera organizzazione.
Invece, il Dr mira al ripristino tempestivo dei sistemi IT, attenuando l’impatto negativo di un evento catastrofico e garantendo che il cuore tecnologico dell’azienda torni operativo in tempi coerenti con gli obiettivi di business.

Facendo riferimento agli standard internazionali (come ISO 22301, ISO/IEC 27031, NIST SP 800-34) e attuando una strategia di miglioramento continuo, le aziende possono costruire una solida postura di sicurezza e rispondere con prontezza alle sfide di un panorama di minacce in costante evoluzione.

Una volta completata l’implementazione di questi piani, i test periodici e la revisione delle procedure diventano il vero elemento di differenziazione, trasformando la semplice conformità in un reale vantaggio competitivo.

Prossimamente approfondiremo le differenze e le sinergie tra continuità operativa e Disaster recovery, due concetti spesso confusi, ma che ricoprono ruoli complementari nella costruzione della resilienza organizzativa.