Post on 23-Jan-2018
transcript
Insegnamento di Informatica – a.a. 2015-16
La Business Continuity Management
INSEGNAMENTO DI INFORMATICA – A.A. 2015-16
Francesco Ciclosi
Macerata, 18 dicembre 2015
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
La Business Continuity Management
1. Scopo
2. Componenti
3. Fasi
4. Indirizzi strategici
5. Domini d’intervento
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
1. Scopo
Lo scopo di un sistema di Business Continuity
Management consiste nel garantire la
continuità dei processi dell’organizzazione
prevenendo e minimizzando:
• l’impatto derivante da incidenti intenzionali o
accidentali
• gli eventuali danni che potrebbero scaturire dal
verificarsi degli incidenti
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Metodologie Il metodo utilizzato deve essere funzionale a:
• il valore associato ai processi da proteggere
• la qualità dei servizi erogati tramite il supporto offerto
dall’infrastruttura di ICT
Il sistema di BCM va implementato considerando
la necessità di garantire la continuità del supporto
delle tecnologie ICT a quei processi che
consentono l’erogazione dei servizi core
dell’organizzazione
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Eventi che potrebbero inficiare la CO (1/2)
Eventi imprevisti atti a compromettere l’operatività dei sistemi • Es: incendi, allagamenti, interruzione nell’erogazione
dell’energia elettrica
Malfunzionamenti dei componenti hardware e software • Es: guasto delle memorie di massa, crash del sistema
operativo o di un applicativo
Introduzione involontaria di componenti dannosi per il sistema informativo automatizzato • Es: virus, worm, trojan horse, ransomware, malware
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Eventi che potrebbero inficiare la CO (2/2)
Errori operativi effettuati dal personale incaricato della gestione e/o dagli utenti finali • Es: errato inserimento dei dati, cancellazione accidentale
dei dati
Atti dolosi volti a ridurre la disponibilità delle informazioni • Es: cyber crime, sabotaggio, frode, interruzione dei
collegamenti, diffusioni di virus, furto di identità elettronica, accesso non autorizzato, diffusione di dati riservati
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
2. Componenti (1/2)
crisis ed incident management (dominio delle emergenze contingenti) • si preoccupa di assicurare la gestione dello stato di crisi,
nonché la risposta agli incidenti, nel caso si concretizzi il verificarsi di un evento atto a compromettere la continuità operativa
continuity management (dominio delle emergenze) • si preoccupa di assicurare la continuità dei processi,
durante e a seguito del verificarsi di un emergenza, mediante la predisposizione di apposite procedure atte a sostituire temporaneamente quelle normalmente supportate dall’infrastruttura tecnologica ICT
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
2. Componenti (2/2)
disaster recovery management (dominio delle emergenze) • si preoccupa di assicurare il ripristino delle infrastrutture
tecnologiche a supporto dei processi di business dell’organizzazione
business recovery management (dominio delle emergenze) • si preoccupa di assicurare il ripristino dei processi di
business dell’organizzazione a seguito del verificarsi di un emergenza, nonché il susseguente ritorno alla normalità
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
3. Fasi (1/2)
Progettazione del sistema di BCM • prevede la pianificazione e il disegno degli aspetti
organizzativo-tecnologici dell’intero sistema
Implementazione del sistema di BCM • prevede l’implementazione del sistema
precedentemente progettato
• richiede particolare attenzione alle problematiche inerenti la formazione specifica sulle procedure e sui piani
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
3. Fasi (2/2) Monitoraggio del sistema di BCM
• prevede la realizzazione di test e simulazioni dei piani
• prevede l’esecuzione di specifici audit periodici
• con lo scopo di monitorare l’efficacia del sistema precedentemente implementato
Mantenimento e ottimizzazione • prevede l’analisi dei feed-back derivanti dalla fase di
monitoraggio
• prevede l’esame di ulteriori requisiti interni e esterni sopraggiunti nel frattempo
• al fine di avviare un nuovo ciclo progettuale volto a garantire l’evoluzione del sistema
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
4. Indirizzi strategici (1/2)
Nel corso di ogni singola fase del sistema di BCM bisogna attenersi ad alcuni indirizzi di tipo strategico: a) considerazione delle logiche di gestione della continuità
quale parte integrante della gestione delle attività di cui ciascuna organizzazione è titolare
b) sviluppo di un processo di gestione della continuità sulla base degli impatti che i processi e le infrastrutture di supporto hanno sulle attività dell’organizzazione
c) garanzia di un adeguato insieme d’interventi tecnologico-organizzativi sulla base di un approccio che tenga in debita considerazione il rapporto costi/benefici
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
4. Indirizzi strategici (2/2) d) disegno di un’idonea struttura di responsabilità, con
attribuzione esplicita delle responsabilità addizionali ai ruoli già esistenti, o a altri definiti appositamente
e) garanzia del coordinamento e dell’integrazione tra le attività di analisi e gestione dei rischi operativi e quella di gestione dell’emergenza
f) garanzia del recepimento delle nuove logiche di gestione della continuità come patrimonio dell’organizzazione, nonché come parte integrante della cultura organizzativa;
g) valutazione della possibilità di delegare in outsourcing, previa corretta definizione e gestione dei livelli di servizio, una porzione dell’infrastruttura tecnologica
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
È FONDAMENTALE
adottare la soluzione che risulti più equilibrata,
valutando tutte le possibili alternative
in particolare
quelle correlate ai tempi di ripartenza e di
ripristino
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
5. Domini d’intervento (1/2)
Un sistema di sicurezza delle informazioni può
essere suddiviso in tre macro aree, o domini,
che riflettono le tipologie di intervento
necessarie a fronte delle categorie di minacce
(naturali, umane, tecnologiche) che possono
realizzarsi
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
5. Domini d’intervento (2/2)
Analizzando le correlazioni occorse tra i domini e
gli ambiti d’intervento è possibile osservare che:
• le variabili relative alla probabilità degli eventi e alla
severità del danno sono stimate durante lo svolgimento
del processo di analisi dei rischi
• nell’ambito della successiva fase di gestione dei rischi
sono fornite le indicazioni inerenti l’approccio adottato,
ovvero se e come gli stessi rischi andranno affrontati
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Modus Operandi dei tre domini (1/2)
Realizzazione di un sistema di protezione
• nel caso in cui l’evento sia altamente probabile, ma
non distruttivo
Dotazione di idonei strumenti organizzativi e
tecnologici atti a garantire il processo di
gestione degli incidenti
• nel caso in cui siano paventate delle violazioni alla
sicurezza
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Modus Operandi dei tre domini (2/2)
Creazione di una struttura organizzativa,
tecnologica e logistica dedicata al Disaster
Recovery e alla Business Continuity
• per le sole emergenze derivanti da eventi disastrosi
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Dominio della prevenzione
In tale ambito rientrano tutte quelle misure di
protezione contro eventuali attacchi o violazioni
alle informazioni
Coincide con il dominio d’intervento delle
misure di sicurezza generali
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Dominio delle emergenze contingenti
In tale ambito rientrano tutte quelle misure di
protezione tecnologiche, amministrative e
organizzative atte a garantire la reazione ai
malfunzionamenti e alle violazioni della sicurezza
Coincide con il dominio d’intervento per la
gestione dei guasti e per la gestione degli
incidenti
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Dominio dell’emergenza
In tale ambito rientrano tutte quelle misure e
attività atte a ripristinare la normalità operativa a
seguito di eventi disastrosi
Coincide con il dominio d’intervento della
Business Continuity Management
• (della quale fanno parte sia il Business Continuity
Plan – BCP che il Disaster Recovery Plan – DRP)
Insegnamento di Informatica – a.a. 2015-16
Raccomandazioni per la redazione del
Business Continuity Plan
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Le fasi operative della realizzazione del BCP
1. Definizione degli obbiettivi e delle ipotesi
2. Definizione della Business Impact Analysis
3. Definizione del progetto del piano e suo sviluppo
4. Realizzazione del piano
5. Test del piano
6. Manutenzione del piano
7. Esecuzione del piano nell’ambito del dominio dell’emergenza
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Business Continuity Plan: definizione
Il business continuity plan può essere definito
come l’insieme delle misure e dei controlli di
tipo organizzativo-procedurale atti a
garantire, seppur in forma ancora minimale, la
continuità nonché il ripristino dei processi
ritenuti chiave per l’organizzazione
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
BCP Vs DRP
Il Disaster Recovery Plan (DRP) si configura
come una «semplice» appendice del BCP avente la
funzionalità e lo scopo di assicurare il sostegno a
quei processi ritenuti vitali per l’organizzazione
• nei momenti coincidenti con l’accadimento dell’evento
disastroso atto che ha determinato lo stato
d’emergenza
• in quelli successivi e comunque fino al completo
ripristino di una situazione di normalità
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
1. Definizione degli obbiettivi e delle ipotesi
Si compone di tutte quelle attività atte a definire
correttamente gli obbiettivi che il costituente
piano si prefigge di raggiungere
In tale fase verrà costituito un apposito Comitato
• che fungerà da riferimento nella realizzazione
dell’opera
• che provvederà alla soddisfazione di vari
adempimenti
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
2. Definizione della business impact analysis
Si compone di tutte quelle attività atte alla corretta
identificazione di:
• processi ritenuti critici per l’organizzazione
• dipendenze tra i processi critici
• tecnologie utilizzate a supporto dei processi critici
• informazioni vitali per l’organizzazione da registrare
• risorse umane da coinvolgere
• valorizzazione degli impatti che un evento disastroso
può avere sull’organizzazione
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
3. Definizione del progetto e suo sviluppo
Si compone di tutte quelle attività atte alla
corretta definizione delle strategie operative
specifiche per ogni tipo di possibile
accadimento disastroso
• La strategia tecnico/organizzativa scelta dovrebbe
garantire il più rapido ripristino operativo dei
processi critici per minimizzare le conseguenze
dell’evento disastroso
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
4. Realizzazione del piano
Si compone di tutte quelle attività atte al
corretto sviluppo e alla corrispondente
documentazione di tutti i processi di ripristino
atti a garantire la Business Continuity
I processi devono essere formulati secondo
modalità tali da consentirne la regolare
esecuzione in situazioni di estrema emergenza
dell’accadimento disastroso
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
5. Test del piano
Si compone delle attività per garantire la corretta
progettazione e implementazione di test e
esercitazioni atte a verificare che il BCP funzioni
così come è stato progettato
Qualora il test del piano di BCP non sia eseguito su
base regolare, non è possibile sapere se in caso di
emergenza lo stesso sia in grado di operare come
previsto e garantire la sopravvivenza
dell’organizzazione al disastro
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
6. Manutenzione del piano
Si compone di tutte quelle attività atte al
corretto mantenimento del livello di
aggiornamento del piano, anche in base ai
feedback derivanti dalla precedente fase di test
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
7. Esecuzione del piano in emergenza
Si compone di tutte quelle attività atte alla
corretta realizzazione della gestione della crisi in
corso
Insegnamento di Informatica – a.a. 2015-16
Raccomandazioni per la realizzazione
del Disaster Recovery Plan
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Disaster Recovery Plan: definizione
DRP si riferisce a un piano focalizzato sull’ICT per
ripristinare l’operatività di un sistema, di
un’applicazione o di un centro elaborativo in un sito
alternativo dopo un emergenza
In particolare non si riferisce quindi a interruzioni
minori che non richiedono rilocazione di sito
DEFINIZIONE tratta dal documento “Proposte concernenti le strategie in materia di sicurezza informatica e delle
telecomunicazioni (ICT) per la Pubblica Amministrazione” redatto dal “Comitato tecnico nazionale sulla sicurezza informatica
e delle telecomunicazioni nelle pubbliche amministrazioni”
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
DRP – Momenti fondamentali
Esistono alcuni momenti fondamentali che
andrebbero assolutamente vagliati nella
realizzazione di un disaster recovery plan:
1. classificazione dei livelli di disastro
2. classificazione dei sistemi e delle applicazioni in
termini di criticità
3. valutazione delle strategie di ripristino
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
1. Classificazione dei livelli di disastro (1/2) Esistono tre distinti livelli di un accadimento
disastroso sulla base degli effetti da questo generati e degli sforzi a cui l’organizzazione è chiamata per garantire il ripristino di una situazione di normalità: • primo livello – riferito a un accadimento disastroso che
coinvolge una singola locazione e che in alcuni casi potrebbe comportare la parziale distruzione delle operazioni quotidianamente svolte
o Si può procedere al ripristino di una situazione di normalità utilizzando personale del sito ed effettuando localmente delle attività di ripristino
o È possibile prevedere la possibile rilocazione di alcune funzioni o di alcune risorse umane
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
1. Classificazione dei livelli di disastro (2/2) • secondo livello – riferito a un accadimento disastroso
che coinvolga più locazioni (o aree operative) e che potrebbe comportare la distruzione delle operazioni svolte giornalmente con conseguente necessità di eseguire off-site i processi critici
o È possibile che il personale dell’organizzazione cerchi assistenza all’esterno
o Il coordinamento di tutte le operazioni di ripristino dovrà necessariamente essere coordinato dall’interno
• terzo livello – riferito a un accadimento disastroso che coinvolga un territorio molto vasto
o È necessario l’utilizzo di risorse e assistenza esterna
o Il completo ripristino potrebbe essere molto lungo
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
2. Classificazione dei sistemi e delle
applicazioni in termini di criticità
Esistono 4 distinte tipologie di sistemi a seconda del
loro livello di criticità, nonché della tolleranza in
caso d’interruzione; in ordine crescente di sensibilità
sono:
a) sistemi non critici
b) sistemi delicati
c) sistemi vitali
d) sistemi critici
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Sistemi non critici
Sono caratterizzati dalla possibilità
d’interromperne le relative funzioni con un
costo pressoché nullo per l’organizzazione
In tal caso anche il costo di ripartenza associato
risulterà trascurabile
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Sistemi delicati
Sono caratterizzati dalla possibilità di eseguirne
le relative funzioni manualmente per un lungo
lasso temporale e a costi ritenuti accettabili
Sebbene tali funzioni possano essere espletate
anche manualmente il loro svolgimento
richiederà un numero maggiore di risorse
umane e risulterà più difficoltoso rispetto a
quanto previsto in condizioni ritenute normali
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Sistemi vitali (1/2)
Sono caratterizzati dalla possibilità di eseguirne
le relative funzioni manualmente seppur per un
lasso temporale molto ristretto
Il livello di tolleranza all’interruzione è maggiore
di quello previsto per i sistemi classificati come
critici, anche in conseguenza della possibilità di
riattivare le funzioni previste in un intervallo
temporale relativamente breve (meno di una
settimana)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Sistemi vitali (2/2)
Il costo previsto per un’interruzione è
sicuramente inferiore a quello associato ai
sistemi critici
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Sistemi critici Sono caratterizzati dall’impossibilità di eseguirne
le relative funzioni senza che questi vengano
sostituiti da strumenti aventi identiche
caratteristiche
Le applicazioni classificate come critiche non
possono essere eseguite manualmente
Il livello di tolleranza in caso di interruzione è
notevolmente basso, con un conseguente costo
molto alto per un eventuale blocco
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
3. Valutazione delle strategie di ripristino
Il costo d’indisponibilità per le applicazioni e i sistemi classificati come critici è estremamente alto per l’organizzazione e vanno ripristinati in via prioritaria rispetto agli altri asset
Il DRP va definito valutando le strategie di ripristino più opportune in merito ai seguenti aspetti: • siti alternativi
• metodologie di back-up
• sostituzione degli equipaggiamenti
• ruoli e responsabilità dei team di ripristino
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Siti alternativi (1/3)
La strategia di ripristino che prevede l’utilizzo di un sito alternativo deve considerare i seguenti aspetti: • Interoperabilità – ovvero la scelta di utilizzare
piattaforme e configurazioni standard per velocizzare le procedure di ripristino e di diminuirne il costo complessivo
• Offsite storage – ovvero la scelta di implementare una regolare strategia
o di backup
o di archiviazione in luogo protetto dei dati presenti sui sistemi
o di archiviazione in luogo protetto delle altre informazioni vitali (licenze, configurazioni, ecc…)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Siti alternativi (2/3)
• Ridondanza – ovvero la scelta di garantire la ridondanza delle componenti tecnologiche di un sistema al fine di ridurne le possibilità di blocco
• Alternativa – ovvero la scelta di garantire l’esistenza di un differente sito attrezzato, atto a ospitare, in brevissimo tempo, le componenti tecnologiche di un sistema nel caso in cui il sito originale diventi impraticabile o indisponibile
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Siti alternativi (3/3)
Esistono varie tipologie di siti alternativi a seconda delle loro caratteristiche e del loro utilizzo: • siti caldi (hot sites)
• siti tiepidi (warm sites)
• siti freddi (cold sites)
• siti mobili (mobile sites)
• mirrored sites
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Metodologie di backup
Il DRP deve assolutamente prevedere al suo
interno delle adeguate procedure di backup e di
ripristino
È possibile identificare i tre seguenti momenti:
• salvataggio dei supporti e della documentazione
• procedure di salvataggio periodiche
• procedure di ripristino delle reti di
telecomunicazioni
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Sostituzione degli equipaggiamenti
Un buon piano definire le modalità di approvvigionamento delle apparecchiature alternative
Si può procedere con accordi di fornitura da terze parti o con l’immagazzinamento preventivo
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Ruoli e responsabilità
Per gestire la crisi con successo è richiesta un’azione di coordinamento complessivo della risposta organizzativa
La risposta deve avvenire in modo efficace e tempestivo affinché siano minimizzati i danni • all’immagine dell’organizzazione
• alla capacità di operare dell’organizzazione
• al profitto dell’organizzazione
Verranno utilizzati dei team specifici
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
I miei contatti linkedin
http://it.linkedin.com/pub/francesco-ciclosi/62/680/a06/
https://www.facebook.com/francesco.ciclosi
@francyciclosi
www
http://www.francescociclosi.it