Esg

La continuità operativa nelle Smart Cities in caso di incidente fisico o tecnico

Giuseppe Alve...
15 September 2023
La continuità operativa nelle Smart Cities in caso di incidente fisico o tecnico

In una Smart City è fondamentale mantenere standard elevati di disponibilità, integrità e riservatezza dei dati. Bisogna sempre garantire la resilienza, la continuità e la disponibilità dei sistemi e dei servizi.

Sostenibilità

I processi sviluppati dai diversi Players all’interno di una Smart Cities sono esposti a gravi interruzioni (disruptions) che possono essere determinate da attacchi informatici o incidenti fisici. Vediamo come è possibile garantire la continuità operativa

I piani di continuità operativa e di ripristino

La qualità dei servizi erogati ai cittadini all’interno di una Smart City postula la necessità di poter sempre ripristinare tempestivamente i processi aziendali in caso di interruzioni determinate da attacchi informatici o incidenti fisici.

Per questa finalità è necessario che Enti pubblici ed imprese adottino efficienti piani di continuità operativa e di ripristino. Questi piani devono essere orientati a:

  • limitare i danni;
  • riprendere rapidamente le attività;
  • porre in atto misure di ripristino.

Nel concreto, bisognerebbe attuare una “politica di continuità operativa” nonchè dei piani di risposta e ripristino dei sistemi informativi. Invero, almeno in un primo tempo può essere anche sufficiente garantire soltanto la resilienza, la continuità e la disponibilità dei sistemi informatici a supporto di funzioni essenziali. Si tratta delle funzioni indispensabili per erogare i servizi ai cittadini.

L’analisi di impatto sulle attività aziendali (c.d. BIA: Business Impact Analysis)

Nell’ambito della “politica generale di continuità operativa”, gli Enti pubblici e le imprese operanti all’interno di una Smart City, dovrebbero effettuare un’analisi dell’impatto sulle attività aziendali (la c.d. B.I.A.: Business Impact Analysis).

Detti Players sono chiamati a valutare l’impatto potenziale di gravi interruzioni delle loro attività mediante criteri quantitativi e qualitativi, utilizzando, dati interni ed esterni e analisi di scenario.

Per la verità, tutti gli asset utilizzati nella Smart City dovrebbero essere progettati, acquisiti ed utilizzati in piena conformità con la BIA, in particolare garantendo adeguatamente la ridondanza di tutte le componenti essenziali.

 Un modello di BIA

Concetto basilare nella predisposizione di una BIA sono le Attività Critiche per il Business (le cc.dd. MCA: Mission Critical Activities). Sono quei processi aziendali insopprimibili, senza i quali l’organizzazione non potrebbe raggiungere suoi obiettivi di business. Vanno ovviamente presi in esame anche i relativi asset o gruppo di asset di supporto (personale, infrastrutture, soluzioni tecnologiche etc.).

Scopo della BIA è proprio correlare questi asset con i processi critici e, sulla base di tali informazioni, caratterizzare le conseguenze di un’interruzione dei processi stessi. In sintesi, bisogna valutare il periodo di tempo entro il quale ogni asset o gruppo di asset necessario allo sviluppo delle MCA può rimanere non utilizzato con danno nullo, basso o comunque accettabile.

Le tre fasi della BIA

Ottime indicazioni per predisporre una BIA possono essere estrapolate dalla Best Practice NIST 800-34. Questo importante documento suggerisce di suddividere la BIA in 3 fasi.

Prima fase

Nella prima fase occorre determinare i processi critici per il Business e valutare l’impatto di un’interruzione del sistema su tali processi insieme agli impatti delle interruzioni e ai tempi di inattività stimati. Il tempo di inattività dovrebbe riflettere il tempo massimo che un’organizzazione può tollerare pur mantenendo la missione.

Seconda fase

Nella seconda fase bisogna identificare i requisiti delle risorse. Gli sforzi di recupero realistici richiedono una valutazione approfondita delle risorse necessarie per riattivare, dopo l’interruzione, i processi critici e le relative interdipendenze, il più rapidamente possibile. Esempi di risorse che dovrebbero essere identificate includono strutture, personale, attrezzature, software, file di dati, componenti di sistema e record vitali.

Terza fase

Nella terza ed ultima fase dovranno essere identificate le priorità di ripristino delle risorse di sistema. Sulla base dei risultati delle attività precedenti, le risorse di sistema possono essere collegate in modo più chiaro ai processi critici per il business.

Formazione ed esercitazione

La “politica generale di continuità operativa” dovrà poi essere oggetto di specifica formazione per tutto il personale dell’organizzazione interessata ed anche di periodiche esercitazioni per testarne l’efficacia.

Ogni esercitazione darà così la possibilità di misurare il tempo effettivo impiegato per recuperare ciascuna risorsa ciascun sistema, ciascun servizio e ciascuna funzione.

Solo così si potrà comprendere se le linee di azione definite nella politica siano adeguate o se sia necessario modificare o integrare i requisiti di continuità operativa per mantenere sempre elevata la soglia di efficienza della Smart Cit.

Giuseppe Alverone

chiudi
Indietro
Preferiti