Fra gli esperti di cybersecurity, uno dei mantra più ricorrenti è “Assume Breach”, ovvero operare secondo l’assunzione che un sistema o un ambiente informatico sia già stato compromesso o violato. Con questo si intende dire che qualsiasi realtà, durante la sua esistenza, affronterà senza dubbio un incidente informatico di qualche tipo. Non serve nemmeno invocare nuovamente gli sconfortanti dati sulla vulnerabilità delle infrastrutture italiane in generale per ribadire, in quest’ottica, l’importanza di un buon piano di disaster recovery per le aziende.
Affrontiamo il tema con Marco Sotterra, manager responsabile della business unit di Information Security di Horizon Security, che nel suo racconto conferma alcuni dei principi cardine della cyber security e propone un nuovo punto di vista sul legame fra disaster recovery e gestione del rischio.
Le debolezze più comuni
Fra le conferme, ci sono senza dubbio i fattori costanti nella maggior parte delle violazioni di perimetro registrati da Horizon nella sua esperienza. “Anche se non è possibile condensare le specificità di ogni cliente, visto che ogni settore ha rischi specifici che impattano la continuità operativa, possiamo comunque trovare una costante: la rilevanza del fattore umano – spiega Sotterra – non solo come elemento di vulnerabilità, e quindi punto di attacco, ma anche come protagonista dei progetti e/o delle attività di ripristino”. Inoltre, spesso si sottovaluta il rischio interno o comunque la criticità propria dell’azienda, soprattutto per quanto riguarda la complessità organizzativa che rende difficile intervenire nel momento del bisogno. Non dobbiamo dimenticare, infatti, che il tema del Disaster Recovery non riguarda esclusivamente gli incidenti di sicurezza, ma tutto il ventaglio di accadimenti che possono mettere in difficoltà, o rendere inutilizzabile, l’infrastruttura tecnologica, compromettendo il business dell’azienda e la sua regolare prosecuzione. Dopo queste iniziali conferme, entra in gioco la novità nella visione che Horizon propone.
Un approccio basato sulla resilienza
Prima di proseguire, Sotterra ricorda come il fondamento di qualsiasi iniziativa di DR debba necessariamente passare per una corretta analisi e valutazione dei rischi. “Il rischio inesistente non esiste – chiosa il manager – ma esistono rischi che, correlati al livello di tolleranza dell’azienda, possono risultare trascurabili”. Il punto, tuttavia, è che un approccio che sta prendendo sempre più piede è di intendere il Disaster Recovery non tanto come il ripristino pedissequo dello status precedente l’incidente, quanto come una strategia per mettere in condizioni le aziende di utilizzare i propri processi anche in carenza di infrastrutture strategiche. Costruire, insomma, un ecosistema resiliente attraverso una serie di strumenti di cui la ridondanza è senza dubbio un protagonista, ma non l’unica risorsa sui cui affidarsi.
Sotterra sottolinea come “costruire una base solida, che metta l’azienda in grado di resistere all’assenza di un servizio o di un processo per un periodo prolungato, è una strategia che sta prendendo sempre più piede”. Anche perché questo permette di sopperire fisiologicamente anche al problema di rigidità interne già citato: torna il tema corretta gestione del rischio, in cui una spesa infrastrutturale opportunamente anticipata permette, con un ragionevole grado di certezza, di evitare perdite ordini di grandezza superiori quando l’incidente si manifesta. “In questo modo possiamo integrare il paradigma del Disaster Recovery, quale risoluzione dell’evento disastroso impattante sull’azienda, nella strategia di riduzione del rischio” conclude Sotterra.
Anche per il Disaster Recovery serve una visione di insieme
Per attuare una strategia di Disaster Recovery efficace Sotterra ricorda che è necessario agire in modo armonico su tre fattori, ciascuno dei quali portante per la strategia: tecnologico, operativo, umano.
“L’aspetto tecnologico è senza dubbio il più scontato: senza gli strumenti non è possibile fare disaster recovery” sottolinea. “Si tratta anche dell’aspetto più universalmente riconosciuto e accettato dalle aziende. Sfortunatamente, ci sono ancora molte realtà convinte che questo, oltre che necessario, sia sufficiente”.
Nella realtà, si tratta di un tema multifattoriale: quando si comincia a guardare lo scenario di crisi, il tema è come trovare alternative ai processi o servizi. Alternative che possono essere costituite da una serie di elementi: persone, altre tecnologie e così via. “È un tema multifattoriale” prosegue Sotterra. “Dal punto di vista operativo, per esempio, è necessario che le procedure da effettuare siano documentate e collaudate, i compiti chiari e le responsabilità definite”.
Un tema che porta immediatamente all’ultimo punto, il fattore umano: è qui che Horizon, oggi, ha concentrato una parte significativa del proprio lavoro. “A partire dallo sviluppo della giusta sensibilità, passando per la formazione, fino ad arrivare a un vero e proprio addestramento di simulazione sul campo, è fondamentale che le persone siano coinvolte nella strategia di DR, sia come risorse funzionali, sia come protagonisti del cambiamento” conclude Sotterra. “È questo il punto focale, e più efficace, della strategia che Horizon promuove”.
