La sicurezza delle informazioni riguarda la protezione dell'integrità, della riservatezza e della disponibilità delle informazioni. Senza poter tutelare le informazioni e renderle disponibili a chi ne avesse bisogno anche durante un disastro naturale potrebbe significare la fine di un'impresa.
Ho contribuito a sviluppare piani di continuità operativa in cui uno dei requisiti critici era che determinate informazioni dovevano essere (per legge) disponibili 24 ore al giorno, 7 giorni alla settimana, 365 giorni all'anno. Non erano consentiti tempi di inattività, nemmeno durante un disastro naturale come un terribile terremoto.
Non esisteva una soluzione semplice: doveva essere condotta un'analisi dell'impatto aziendale. Le informazioni non vengono archiviate solo sui computer. È spesso sparso e non si trova solo in una posizione centralizzata. Identificare le informazioni critiche necessarie per mantenere il funzionamento aziendale è molto complicato. Una volta completata e rivista l'identificazione dei sistemi e dei componenti critici. È necessaria un'ulteriore valutazione del rischio.
Durante grandi disastri naturali, come terremoti o grandi tornado, c'è un'alta probabilità che i locali fisici rimangano fuori servizio per un po 'di tempo. Ci sono stati anche esempi in cui non era rimasto alcun edificio o il team aveva un accesso limitato (da 15 a 20 minuti) per raccogliere ciò che era necessario prima che nessuno potesse più rientrare nell'edificio. Inoltre, potresti pianificare alcuni ritardi, perché doveva essere determinato che gli edifici fossero abbastanza solidi da consentire a chiunque di accedervi.
Se si tratta di un grave disastro, dove vai o come viene realizzata la continuità delle operazioni. Anche i dipendenti locali saranno sicuramente colpiti dal disastro. Potrebbero passare settimane prima che siano in grado di tornare al lavoro. Nel caso di un BCP su cui ho lavorato, anche i dipendenti hanno dovuto affrontare la distruzione totale delle loro case o hanno avuto solo pochi minuti per entrare nelle loro case e raccogliere le loro cose. Molti mi hanno detto di aver afferrato vestiti, spazzolini da denti e documenti di identificazione e di aver dovuto lasciare altri oggetti personali.
Quindi parte della strategia tecnica può essere lo sviluppo di una moltitudine di opzioni a seconda della valutazione del rischio. Possono esserci piani per siti freddi, siti caldi e siti caldi a seconda del budget. Strategie per proteggere server e hardware critici identificati con RAID, clustering e bilanciamento del carico, concentrandosi sulla tolleranza ai guasti. Ovviamente, vi è protezione dei dati tramite backup e piani per il ripristino dei dati critici e per averli a disposizione per essere utilizzati da siti freddi, siti caldi e siti caldi, garantendo che i documenti riservati siano protetti e disponibili a coloro che richiedono le informazioni su sempre.
Una volta in atto, tutte queste strategie, piani e politiche devono essere rivisti, mantenuti e verificati. Richiede il coinvolgimento e la consapevolezza di molto personale. L'unica cosa costante è il cambiamento. Nuove soluzioni hardware e software sono in fase di implementazione. I requisiti e le leggi aziendali sono in fase di modifica. Posso certamente capire perché è menzionato. La sicurezza delle informazioni riguarda la protezione dell'integrità, della riservatezza e della disponibilità delle informazioni.