la Sicurezza informatica e la Pianificazione di emergenza: suggerimenti operativi

Premesso che l’art. 5.2 GDPR in combinato disposto con l’art. 24 GDPR definisce il principio di “accountability” o “responsabilizzazione” o, più precisamente, “rispetto degli obblighi” (rif. ISO 37301) in capo al titolare del trattamento.

Il principio sancisce che il titolare operi “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

In osservanza del principio di responsabilizzazione il titolare del trattamento è tenuto ad implementare modelli di gestione aziendale che garantiscano il rispetto dei seguenti principi:

1. conformità alla normativa in materia di protezione dei dati personali nell’ambito delle operazioni che pone in essere;
2. adozione di tutte le misure idonee ad assicurare la protezione dei dati trattati e le misure di sicurezza relative;
3. capacità di dimostrare in qualunque momento agli interessati, ai soggetti pubblici e privati che ne abbiano diritto, alle Autorità di controllo (i.e., i Garanti nazionali per il trattamento dei dati personali), che i trattamenti posti in essere siano conformi alle disposizioni normative e alle necessarie misure di sicurezza.

Si rimarca come la formalizzazione delle procedure attraverso specifici documenti sia la conditio sine qua non per consentire allo scrivente di “sorvegliare l’osservanza del presente regolamento (omissis) nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali (omissis)”; (art. 39.1,b) GDPR).

Sulla scorta di quanto sopra si forniscono al titolare del trattamento, a titolo meramente esemplificativo e non esaustivo, una serie di spunti e di considerazioni con lo scopo di – attraverso anche la sensibilizzazione delle funzioni aziendali competenti: in prima battuta: i  Sistemi Informativi, il  Risk management,l’ Internal Auditor, ecc. – favorire la definizione/regolamentazione/redazione/adozione di misure atte a gestire le situazioni di emergenza nelle quali può incorrere il titolare.

La Pianificazione di emergenza

La “pianificazione di emergenza” trae spunto dalla necessità di assicurare al titolare del trattamento che i servizi forniti dai sistemi informativi siano resilienti, in modo da consentirle di adattarsi e riprendersi rapidamente da eventuali impatti che eventi esterni o interni possano avere sulle attività dell’ente/azienda stessa.

Prendendo in considerazione un ente/azienda “data driven”, cioè fortemente incentrata sui dati, per cui i sistemi informativi sono elementi imprescindibili per qualsiasi processo aziendale; è fondamentale che i servizi forniti da questi sistemi siano sempre in grado di operare efficacemente senza eccessive interruzioni.

La pianificazione di emergenza mira a stabilire piani, procedure e misure tecniche approfonditi che possono consentire a un sistema di essere ripristinato nel modo più rapido ed efficace possibile, in seguito ad un’interruzione del servizio.

La pianificazione di emergenza è unica per ogni sistema e fornisce specifiche misure preventive, strategie di ripristino e considerazioni tecniche, adeguate ai requisiti di riservatezza, integrità e disponibilità delle informazioni di ogni sistema.

La pianificazione di emergenza del sistema informativo si riferisce a una strategia coordinata che coinvolge piani, procedure, e misure tecniche che consentono il ripristino di sistemi informativi, operazioni e dati dopo una interruzione del servizio erogato.

Essa generalmente include uno o più dei seguenti approcci, funzionali a ripristinare i servizi interrotti:

1. ripristino dei sistemi informativi, utilizzando apparecchiature alternative;
2. sviluppo di alcuni o di tutti i processi aziendali “interrotti”, utilizzando mezzi “manuali” alternativi non automatizzati (tale soluzione trova applicazione solitamente per interruzioni a breve termine);
3. ripristino delle operazioni dei sistemi informativi in un sito alternativo (tale soluzione trova applicazione solitamente per interruzioni a lungo termine o che abbiano un impatto fisico sulla struttura);
4. implementazione di adeguati controlli di pianificazione di emergenza basati sul livello di impatto sulla sicurezza del sistema informativo.

Le Linee Guida NIST Special Publication 800-34 Rev. 1, (che sebbene rivolte alle organizzazioni federali USA. contengono utili indicazioni per predisporre un Piano di emergenza dei sistemi informativi anche per l’ente/azienda), stabiliscono che la pianificazione di emergenza di un sistema informativo, se da un lato comprende un’ampia gamma di attività progettate per sostenere e ripristinare i servizi critici del sistema, a seguito di un evento di emergenza, dall’altro costituisce soltanto un segmento di uno sforzo di gestione della sicurezza e delle emergenze molto più ampio che include:

1. l’organizzazione e la continuità dei processi aziendali;
2. la pianificazione del ripristino di emergenza;
3. la gestione degli incidenti.

In definitiva, il titolare del trattamento dovrebbe utilizzare un insieme di piani per preparare adeguatamente le attività di risposta, recupero e continuità dell’organizzazione, in seguito alle interruzioni che possono interessare i sistemi informativi, i processi aziendali, il personale, e la struttura.

Atteso che esiste una relazione intrinseca tra un sistema informativo e il processo aziendale che lo stesso sistema informativo supporta, ci deve essere coordinamento tra ogni piano al fine di garantire che le strategie di ripristino e le risorse di supporto non si annullino a vicenda e che gli sforzi non vengano duplicati.

La pianificazione della continuità e la pianificazione di emergenza sono componenti fondamentali della gestione delle emergenze e della resilienza organizzativa. Di seguito si riportano, in estrema sintesi, le tipologie di Piani di cui il titolare si deve dotare.

Il piano di continuità aziendale (c.d. BCP: Business Continuity Plan)

Il piano di continuità aziendale si concentra sul sostegno dei processi aziendali critici (funzionali al raggiungimento degli obiettivi dell’organizzazione del titolare del trattamento) durante e dopo un’interruzione del servizio. Esempi di processi aziendali critici in riferimento alle aziende sanitarie sono, a titolo esemplificativo: la prenotazione al CUP, il ritiro dei referti, il blocco dei sistemi informativi utilizzati dalle Unità Operative, il blocco dei servizi di diagnostica, il blocco della erogazione dei farmaci dalla UOC Farmacia Ospedaliera alle Unità Operative, ecc.. Ma problemi di pari gravità possono verificarsi anche presso una azienda che non è momentaneamente in grado di utilizzare la posta elettronica!

Un BCP può essere predisposto:

1. per singoli processi all’interno di una singola unità organizzativa oppure può indirizzare i processi dell’intera azienda/ente;
2. anche per affrontare solo le funzioni ritenute prioritarie.

Un BCP può essere utilizzato per il recupero a lungo termine in combinazione con il Piano di Continuità Operativa.

BCP e il Piano di Continuità Operativa (COOP) hanno lo stesso obiettivo di base: sono predisposti per aiutare il titolare del trattamento a tornare ad offrire servizi, come al solito, il più rapidamente possibile.

Il Piano di Continuità Operativa (c.d. COOP Continuity Of Operations Plan)

Il COOP è proprio delle Organizzazioni Pubbliche, essendo finalizzato a recuperare i servizi ai cittadini in tempi brevi. Il COOP è predisposto generalmente da un Ente pubblico e si concentra:

1. sul ripristino delle funzioni essenziali della missione (MEF) di un’organizzazione in un sito alternativo;
2. sul conseguente svolgimento di tali funzioni per un massimo di 30 giorni prima di tornare alle normali operazioni.

In genere, non sono affrontate in un COOP piccole minacce o interruzioni che non richiedono il trasferimento in un sito alternativo.

Gli elementi standard di un COOP includono:

1. piani e procedure;
2. comunicazioni di continuità;
3. gestione del rischio;
4. individuazione degli asset, incluse le risorse umane;
5. bilancio e acquisizione di risorse;
6. strutture di continuità;
7. delega di autorità;
8. test, formazione ed esercitazione.

Il Piano di Comunicazione di Crisi

Il titolare del trattamento dovrebbe anche predisporre delle procedure standard per le comunicazioni interne ed esterne, nel caso di interruzione del servizio, utilizzando un piano di comunicazione di crisi.

Un piano di comunicazione di crisi in genere:

1. individua le entità specificamente designate a gestire la comunicazione esterna, rispondendo alle domande o fornendo informazioni al pubblico in relazione all’emergenza,
2. può anche includere procedure per la diffusione di segnalazioni interne al personale dipendente in merito allo stato dell’incidente nonché modelli per i comunicati stampa da diffondere pubblicamente.

Le procedure del piano di comunicazione in caso di crisi devono essere comunicate ai pianificatori COOP e BCP dell’azienda/ente per garantire che solo le dichiarazioni approvate vengano rilasciate al pubblico da parte di persone autorizzate.

Il Piano di risposta agli incidenti informatici

Il piano di risposta agli incidenti informatici stabilisce le procedure per affrontare gli attacchi informatici contro i sistemi informativi a danno del titolare del trattamento.

Queste procedure sono progettate per consentire al personale addetto alla sicurezza di identificare, mitigare e ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, questo piano può essere incluso come appendice del BCP.

Il piano di disaster recovery (c.d. DRP)

Il Piano di Disaster Recovery si applica a gravi interruzioni del servizio, solitamente fisiche, che negano l’accesso alla infrastruttura principale per un lungo periodo.

Un DRP è un piano progettato per il ripristino, dopo un’emergenza, dell’operatività dell’organizzazione in un sito alternativo. Può supportare un piano BCP o COOP prevedendo il recupero dei sistemi di supporto per i processi aziendali “critici”.

Va precisato che il DRP affronta solo le interruzioni del sistema informativo che richiedono il trasferimento dell’operatività in un sito alternativo.

Il piano di emergenza del sistema informativo (c.d. ISCP: Information System Contingency Plan)

Un piano di emergenza del sistema informativo fornisce procedure stabilite per la valutazione e il ripristino di un sistema in seguito ad un’interruzione dell’operatività. L’ISCP fornisce le informazioni chiave necessarie per il ripristino del sistema, inclusi:

1. ruoli e responsabilità;
2. inventario degli asset necessari;
3. procedure di valutazione;
4. procedure di recupero;
5. test.

L’ISCP differisce da un DRP principalmente per il fatto che le procedure per il ripristino del sistema prescindono dal sito o dalla posizione in cui devono essere attuate.

Per cui un ISCP può essere attivato nella posizione corrente del sistema o in un sito alternativo. Il DRP, invece è principalmente un piano specifico che prevede procedure per spostare uno o più sistemi informativi dal luogo in cui si è verificato l’incidente in un luogo alternativo temporaneo.

Il piano di emergenza occupanti (c.d. OEP)

Il Piano di Emergenza Occupanti (c.d. OEP) delinea le procedure di prima risposta per gli occupanti di una struttura della azienda/ente in caso di minaccia o incidente alla salute e alla sicurezza del personale, dell’ambiente o della proprietà.

Tali eventi includono una serie di eventi quali: un incendio, il rilascio di sostanze chimiche, la violenza sul posto di lavoro o un’emergenza medica.

Un OEP dovrebbe prevedere un rifugio sul posto e a seconda degli eventi le procedure dovrebbero richiedere personale di rimanere all’interno dell’edificio piuttosto che eseguire un’evacuazione.