Analisi

Valutare i rischi nella pianificazione del disaster recovery

Il risk assessment IT e un’operazione essenziale per valutare l’impatto sul business di eventuali disastri, naturali o causati dall’uomo. A vostra disposizione un modello gratuito che vi aiuta a stabilire il livello di rischio della vostra azienda.

Pubblicato il 11 Apr 2013

network-mondo-connessione-121119145755

Nella pianificazione del Disaster Recovery (DR), una volta completata un’analisi dell’impatto sul business, il passo successivo è quello di eseguire una valutazione del rischio.

L’analisi d’impatto aiuta a identificare i processi più delicati e a descrivere l’effetto che potrebbe avere una perturbazione su tali processi, fornendo anche una valutazione del rischio relativo a situazioni interne ed esterne che potrebbero influire negativamente sui processi più critici. L’analisi cerca inoltre di quantificare la potenziale gravità di tali eventi e quale potrebbe essere la probabilità che essi si verifichino.

In questa guida sul risk assessment IT all’interno della pianificazione del disaster recovery, impareremo ad avviare una valutazione dei rischi e a preparare un risk assessment. Metteremo inoltre a confronto i pericoli naturali con quelli causati dall’uomo nel processo di valutazione del rischio.

Iniziare con una valutazione del rischio
La valutazione del rischio dovrebbe potervi aiutare a identificare gli eventi in grado di minacciare la vostra organizzazione, compresi i potenziali danni, il tempo necessario alle operazioni di recupero/ripristino e le misure o i controlli preventivi in grado di attenuare la probabilità che un evento si verifichi.

La valutazione del rischio vi aiuterà anche a determinare quali sono i provvedimenti che, se correttamente attuati, potrebbero ridurre la gravità dell’evento.

Per avviare una valutazione dei rischi, cominciate identificando i processi aziendali più critici tramite l’analisi dell’impatto sul business. Per informazioni sulle minacce, sono disponibili numerose fonti, tra queste evidenziamo:

  • Archivi della società sugli eventi pericolosi
  • Documentazione dei dipendenti su eventi pericolosi
  • Archivi dei media locali e nazionali
  • Liberie locali
  • L’esperienza delle organizzazioni dei principali stakeholder
  • L’esperienza dei fornitori

Queste fonti di informazione possono aiutare a determinare il rischio di eventi specifici, così come la gravità degli eventi reali. Per esempio, si possono escludere certi tipi di eventi, quali terremoti, se le mappe geografiche indicano che la regione non è zona sismica o non è vicina a una zona sismica.

Preparate l’analisi del rischio
L’analisi del rischio comporta l’identificazione dei rischi, la valutazione di un rischio collegato a un evento e la definizione della gravità delle conseguenze di tale evento.

Può anche essere utile a condurre un Vulnerability Assessment, che aiuta a individuare le situazioni in cui l’organizzazione può esporsi progressivamente a un rischio, non svolgendo determinate attività. Un esempio può essere l’aumento del rischio nei confronti di attacchi di virus se non si utilizza il software antivirus più aggiornato.

I risultati delle analisi di rischio devono poi essere riassunti in un report per la direzione, con le attività raccomandate. Può essere utile cercare eventuali vulnerabilità durante l’esecuzione dell’analisi dei rischi.

Una volta che i rischi e le vulnerabilità sono stati identificati, possono essere presi in considerazione quattro tipi di risposte difensive:

  • Misure di protezione. Si tratta di attività volte a ridurre le probabilità che un evento pericoloso si verifichi; un esempio sono le telecamere di sicurezza che consentono di identificare i visitatori non autorizzati e anche di allertare le autorità prima che possano causare un qualsiasi danno.
  • Misure di mitigazione. Tali attività hanno lo scopo di minimizzare la gravità dell’evento, una volta che si è verificato. Alcuni esempi sono i limitatori di sovracorrente per ridurre l’impatto di un fulmine e i gruppi di continuità per ridurre le probabilità di un arresto dei sistemi critici a fronte di un black-out o cali di tensione.
  • Attività di recupero. Queste attività servono a riportare i sistemi e le infrastrutture perturbati a un livello in grado di supportare le normali operazioni commerciali; un esempio sono i dati critici memorizzati fuori sede che possono essere utilizzati per riavviare le operazioni di business al momento opportuno.
  • Piani di emergenza. Questi documenti a livello di processo descrivono ciò che l’organizzazione può fare a seguito di un evento pericoloso e solitamente sono attivati sulla base degli input da parte del team che si occupa delle emergenze.

La sequenza in cui vengono attuate queste misure dipende in larga misura dai risultati della valutazione dei rischi.

Una volta che sono state identificate una minaccia specifica e le vulnerabilità associate, diventa più facile pianificare l’efficace strategia di difesa. Ricordate che i piani di emergenza devono affrontare gli effetti, indipendentemente dalle cause.

Incidenti naturali e causati dall’uomo
Gli incidenti sono una combinazione unica di eventi e circostanze. Le due categorie principali sono naturali e causati dall’uomo. Gli incidenti causati dall’uomo, possono essere ulteriormente suddivisi in deliberati e accidentali.

Gli eventi naturali sono in genere considerati “atti del destino”, di cui non si può accusare nessuno. Per contro, negli eventi causati dall’uomo uno o più individui possono essere ritenuti responsabili per aver contribuito al verificarsi di quanto ha causato il disastro. Ciò potrebbe avvenire a fonte di un preciso intento, di negligenza o di una sciagura. Per ulteriori dettagli, si veda la tabella qui sotto “incidenti naturali e causati dall’uomo”.

Incidenti naturali

Incidenti causati dall’uomo (intenzionali)

Incidenti causati dall’uomo (accidentale)

Incidenti causati dall’uomo (indiretti)

Temporale

Scasso

Errore dell’operatore

Interruzione di corrente

Allagamento

Frode

Errore del software di programmazione

Interruzione delle telecomunicazioni

Fulmine

Incendio doloso

Esplosione

Danni causati dal fumo

Tempesta di neve

Sciopero

Fuoco

Inondazioni dovute ai sistemi di estinzione del fuoco

Grandine

Sommossa

Estintore scarico

Voragini dovute al collassamento di una strada

Terremoto

Vandalismo

Infiltrazioni di acqua

Collassamento di una carreggiata sopraelevata

Uragano

Falsa bomba

Sistema antincendio fuori uso

Raggruppare gli impatti in un risk assessment
Una volta individuati i rischi, consigliamo di identificare i potenziali effetti, i sintomi e le conseguenze derivanti dal verificarsi di un evento.

Effetti base
Ci sono cinque effetti base che possono avere conseguenze disastrose:

  • negazione di un accesso
  • perdita di dati
  • perdita di personale
  • perdita di funzioni
  • mancanza di informazioni.

Sintomi
La sintomatologia percepita può essere una perdita (o mancanza) di:

  • Accesso o disponibilità
  • Dati
  • Riservatezza
  • Integrità dei dati
  • Ambiente
  • Personale (perdita temporanea)
  • Funzione di sistema
  • Controllo
  • Comunicazione

Conseguenze
Gli effetti secondari o le conseguenze potrebbero essere:

  • Interruzione del flusso di cassa
  • Perdita di immagine
  • Danni al brand
  • Perdita di quota di mercato
  • Abbassamento del morale dei dipendenti
  • Aumento del turnover del personale
  • Costi di riparazione
  • Spese di recupero
  • Penali da pagare
  • Spese legali

Processo di valutazione del rischio
La valutazione del rischio in generale assume due forme: quantitativa, che cerca di individuare i rischi e di quantificarli, basandosi su una scala numerica, per esempio, da 0,0 a 1,0 o da 1 a 10; e qualitativa, che si basa su un’impressione generale nei confronti dei rischi in modo da qualificarli. Il processo può utilizzare termini soggettivi invece di valori numerici, come “da bassa a media”,”alto o basso, “da buono a eccellente”.

I metodi quantitativi, che assegnano un valore numerico per il rischi, di solito richiedono l’accesso a statistiche. Come accennato in precedenza, i metodi qualitativi spesso includono misure soggettive, come bassa, media e alta. Tuttavia, a volte l’approccio qualitativo è più adatto alla gestione.

La semplice formula Rischio = Probabilità x Impatto è tipicamente utilizzata per calcolare un valore di rischio. Per esempio, possiamo usare una scala da 0,0 a 1,0, in cui 0,0 significa che la minaccia non è probabile che si verifichi, mentre 1,0 significa che la minaccia può assolutamente verificarsi. L’impatto 0,0 significa che non ci sono danni o turbative per l’organizzazione, mentre 1,0 potrebbe significare che la società è completamente distrutta e incapace di svolgere ulteriori attività. I numeri compresi nell’intervallo possono rappresentare il risultato di un’analisi statistica dei dati sulle minacce e sulle esperienze aziendali. Il modello scaricabile per la valutazione del rischio segue questo approccio.

Utilizzando la gamma quantitativa 0,0-1,0 si può decidere di assegnare termini qualitativi ai risultati, per esempio, 0,0-0,4 = basso rischio 0,5-0,7 = rischio moderato, e 0,8-1,0 = rischio elevato.

Una volta che tutti i rischi rilevanti sono stati analizzati ed stata attribuita una determinata categoria di qualità, è possibile esaminare le strategie per affrontare solo i rischi più alti, oppure si può decidere di affrontare tutte le categorie di rischio.

La scelta dipenderà dalla propensione al rischio del management, ovvero dalla volontà di affrontare in modo appropriato i rischi. Le strategie definite per i rischi possono essere usate per aiutare a progettare la business continuity e le strategie di disaster recovery.

Le valutazioni dei rischi sono l’attività chiave di una business continuity o di un programma di disaster recovery. Il processo può essere relativamente semplice, per esempio, se si decide di usare un approccio qualitativo. Si può essere più rigorosi quando si utilizza un approccio quantitativo, ma si può anche decidere di essere in grado di dimostrare i propri fattori numerici con prove statistiche.

I risultati dovrebbero essere aggiornati periodicamente per determinare se una qualsiasi modifica apportata ai rischi (per esempio, probabilità e impatto) si è verificata.

A prescindere dalla metodologia, i risultati dovrebbero essere mappati sui processi aziendali critici individuati nell’analisi impatto sul business e dovrebbero poter contribuire a definire le strategie per rispondere ai rischi individuati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati