Cyber attacchi e la continuità operativa nella ISO 27001:2017
La Business Continuity come principale obiettivo della cyber sicurezza
È evidente che non si possa evitare di preoccuparsi di cybersecurity al fine di proteggere la propria organizzazione e, soprattutto, al fine di garantire una Business Continuity soddisfacente. Si tratta quindi di mettere in atto una completa e complessa strategia che parta dal mettere in sicurezza l’infrastruttura aziendale da quelle che possono essere le principali minacce esterne.
Come ottenere cybersicurezza e Business Continuity
Questo obiettivo si raggiunge con una precisa progettazione dell’infrastruttura aziendale, che però deve essere affiancata da un costante processo di aggiornamento: le tecniche utilizzate nella conduzione di attacchi cambiano e come tali devono cambiare anche le strategie di risposta. Il monitoraggio è altrettanto essenziale: rileva eventuali tentativi di intrusione, possibili brecce nel sistema o ambiti che necessariamente devono essere potenziati.
Visione strategica di cybersicurezza e Business Continuity: ISO 27001
La cybersicurezza è quindi un processo complesso e virtuoso, da mettere in atto in questo contesto socio economico dove si inserisce l’importanza strategica di un piano di backup e di una strategia precisa di disaster recovery che definisca tutti i singoli task da compiere. L’obiettivo ultimo è la Business Continuity, definendo un minimo livello di servizio che deve comunque e in ogni caso essere garantito in caso di attacco. In un quadro così ragionato si può parlare di Cyber Resiliency, ovvero della capacità di un’organizzazione di mantenere la propria operatività anche in presenza di un attacco.
Per sviluppare il disaster recovery plan vanno stabilite le azioni da compiere, ci vengono in aiuto i 114 controlli previsti dall’Annex A della ISO 27001.
Il controllo 16.1.3 Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni richiede di stabilire le azioni da compiere in occasione dell’emergenza. Suggeriamo di sviluppare la documentazione del controllo di sicurezza previsto dall’Annex A attraverso un’indicazione chiara dell’attuazione del piano nella maniera indicata al link sopra.
Al fine di preservare la continuità operativa nel sistema di gestione per la sicurezza delle informazioni ai sensi della ISO 27001:2017 vanno individuati i processi critici sui quali si basa la continuità operativa. I processi critici per la continuità operativa e riconducibili al sistema qualità sono:
- Requisiti
- Progettazione
- Outsourcing
- Produzione
- Preservazione
- Controllo output non conformi
Per ognuno dei processi saranno stabiliti i requisiti (asset/supporto) e definite le azioni da compiere per attuare la continuità operativa, secondo il controllo 17.1.2 Attuazione della continuità della sicurezza delle informazioni dell’Annex A della ISO 27001:2017.
Il business continuity plan
Dopo aver pianificato l’assetto organizzativo, operativo e tecnologico da raggiungere per assicurare la continuità operativa nella sicurezza delle informazioni, l’azienda deve determinare i passi da compiere e le tempistiche da rispettare per ripristinare il funzionamento dei processi critici.