Implementare un Sistema di Gestione per la Sicurezza delle Informazioni, secondo lo standard ISO 27001:2022, prevede ad un certo punto che ci si debba confrontare con i controlli 5.30 e 8.13, enunciati sia nell’Annex A dell 27001 che in maniera più dettagliata nella ISO 27002.

La sicurezza delle informazioni e la continuità operativa

Che la sicurezza delle informazioni comprenda anche la continuità operativa, crediamo ormai si tratti di una certezza consolidata. Perchè per garantire le 3 proprietà di sicurezza di dati e informazioni, come è noto, bisogna soddisfare la triade RID – Riservatezza, Integrità e Disponibilità. Va da se che senza i dati e le informazioni integre sui sistemi aziendali è difficile garantire la disponibilità degli stessi quando servono, e quindi la continuità delle operazioni di business.

Ecco che, anche se non esplicitamente richiamato nella norma, le due ISO 27001 e 22301 devono lavorare assieme, grazie soprattutto ai due controlli dell’ANNEX A 5.30 e 8.13 su citati.

Il controllo 5.30, che troviamo tra i 37 controlli di tipo organizzativo, parla di “prontezza dell’ICT per la continuità operativa“, intendendo con prontezza, tutte quelle operazioni che hanno come obiettivo di assicurare la disponibilità delle informazioni e degli altri asset relativi durante le interruzioni. Il termine prontezza ci richiama quindi al tempo, infatti ripristinare un sistema in tempi non adeguati può significare anche la morte dell’azienda stessa. Ecco che dovremmo valutare a quanto corrisponde questo tempo necessario per garantire il raggiungimento degli obiettivi di business. Questa valutazione viene fatta con la BIA, ossia la Business Impact Analisys, che nel valutare il tempo individua le attività critiche e prioritarie a cui dovrebbe essere assegnato un tempo di recupero, l’RTO – recovery time objective, a cui poi dovrà essere connesso il Recovery Point Objective o RPO, per il punto di ripristino.

Il controllo 8.13, che troviamo invece tra i 34 controlli di tipo teconologico, parla di “backup delle informazioni“, ossia le copie di backup di informazioni, software e sistemi che dovrebbero essere mantenute e testate regolarmente. Questo prevede che venga stabilita una politica specifica per i backup e un piano di ripristino.