BC e DR: il "business continuity" e il "disaster recovery" nelle imprese. [27001 - BU DR - 20230419]

BC e DR: il "business continuity" e il "disaster recovery" nelle imprese.

[27001 - BU DR - 20230419]

|||

Business Continuity e Disaster Recovery: termini spesso (ma per fortuna non sempre) ritenuti sinonimi di cose inutili o poco importanti nell'ambito delle attività dell'azienda.

In realtà tutte le aziende hanno ormai un elevato livello di informatizzazione a prescindere dal tipo di informazioni elettroniche utilizzate per lo svolgimento delle attività e a prescindere dalla complessità dei sistemi informativi utilizzati (sia quelli interni all'azienda che all'esterno dell'azienda).

|||

Alcuni imprenditori, tra quelli meno informatizzati ma più sapienti, scelgono di affidarsi a fornitori esterni per la gestione dei propri sistemi informativi e, in tal caso, è fondamentale aver sottoscritto un contratto che tuteli l'azienda in modo completo in caso di disservizi informatici o perdita di dati necessari per la gestione dei clienti e delle attività. Ma non sempre è semplice e non sempre è così scontato trovare accordi contrattuali che tutelino l'azienda e l'imprenditore.

Un contratto per l'affidamento dei servizi informatici dell'azienda a terzi prevede alcuni requisiti minimi che, in caso di disservizio specifichi i tempi di ripristino facendo riferimento alle reali condizioni gestibili dal fornitore ovvero che specifichi le modalità per assicurare un certo risarcimento ai clienti dell'azienda che ha subito il danno e che, d conseguenza, ha prodotto un danno ai clienti finali.

In altre parole, l'imprenditore che desidera proteggere la propria azienda e se stesso (spesso l'imprenditore è anche l'amministratore della azienda), dovrebbe adottare adeguate misure di protezione rispetto al rischio che un evento indesiderato di tipo informatico, possa generare un danno con effetti interni all'azienda in termini di operatività ed esterni all'azienda in termini di rapporti con fornitori, documenti contabili (fatturazione attiva), disservizi, anche gravi, ai clienti per interruzione parziale o totale dei servizi.

|||

Altri imprenditori scelgono di affidarsi ai propri collaboratori, in possesso di competenze informatiche, per la sicurezza informatica in azienda. Nel corso di molti anni di esperienza, i livelli di sicurezza attesi dall'imprenditore non sempre sono risultati in linea con le direttive impartite o, comunque in grado di assicurare la necessaria protezione e non sempre a causa di una responsabilità diretta dei collaboratori. Ciò emergeva dopo aver subito un disservizio o dopo aver effettuato controlli esterni per appurare l'effettivo livello di applicazione delle misure di sicurezza informatiche. I processi informatici in azienda non sono quasi mai complicati da gestire: a volte sono complessi ma, confermo, quasi mai complicati: è ciò perché dopo tanti anni di evoluzioni informatiche e di prassi mondiali condivise per la generazione dei sistemi informativi da parte delle aziende che producono software, le condizioni di sicurezza sono spesso incluse in ciò che l'azienda ha acquistato (anche se ciò, ovviamente e purtroppo, non è sufficiente per stare tranquilli di non subire danni). Spesso, ad esempio, ho riscontrato confusione nella gestione delle credenziali (password e nome account) dei collaboratori: già condizione, questa, per esporre l'azienda a possibili quanto deleteri attacchi informatici o, anche, compromissioni di dati e documenti a causa di operazioni improprie da parte di personale non autorizzato ad accedere ad alcune funzionalità dei sistemi informatici.

|||

In definitiva, il servizio di sicurezza informatica è l'aspetto fondamentale per procedere alla determinazione delle condizioni di continuità operativa (business continuity) e di ripristino delle attività lavorative dopo un evento più o meno grave che ha casuato l'interruzione della produzione o dell'erogazione del servizio verso i clienti (disaster recovery).

Non si potrà quindi sostenere di avere un efficiente processo di Business Continuity e Disaster Recovery se prima non si è provveduto a creare le fondamenta della sicurezza informatica.

Tale affermazione può sembrare banale, soprattutto se chi legge è un esperto informatico, ma negli anni di esperienza, non poche volte ho avuto sotto gli occhi documenti sottoscritti da imprenditori che dichiaravano ai clienti di essere in possesso di valide procedure di business continuity ma che, in realtà, erano prive di contenuti concretamente applicabili nella realtà in caso di problemi.

Inoltre, l'azienda che dichiara ai propri clienti di possedere un piano di continuità operativa (business continuity) che poi in realtà non è reale o non può essere applicato in modo efficace, rischia di subire l'applicazione di penali contrattuali, anche per importi elevati.

|||

Nei prossimi post della serie "27001", pubblicheremo alcuni dettagli interessanti per la gestione della sicurezza informatica, soprattutto sotto l'aspetto organizzativo dei processi aziendali.

Se sei imprenditore e desideri farci domande su casi specifici o anche solo per alcuni approfondimenti, scrivici una e.mail a certificazioniisocatanzaro@gmail.com, contattaci tramite la chat del blog o pubblica un commento a questo post: risponderemo prima possibile.

Il tutto senza alcun impegno ovviamente.