La sicurezza delle informazioni riguarda la protezione dell'integrità, della riservatezza e della disponibilità delle informazioni. Senza essere in grado di proteggere le informazioni e renderle disponibili a chi ne ha bisogno, anche in caso di calamità naturali potrebbe significare la fine di un'azienda.
Ho aiutato a sviluppare Business Continuity Plans in cui uno dei requisiti fondamentali era che alcune informazioni dovevano essere (per legge) disponibili 24 ore al giorno, 7 giorni alla settimana, 365 giorni all'anno. Non è stato consentito di fermarsi, anche in caso di calamità naturali come un terribile terremoto.
Non esisteva una soluzione semplice: l'analisi dell'impatto aziendale doveva essere condotta. Le informazioni non vengono solo memorizzate sui computer. Spesso è sparpagliato e non si trova solo in una posizione centralizzata. Identificare le informazioni critiche necessarie per mantenere il funzionamento aziendale è molto difficile. Una volta che l'identificazione dei sistemi e dei componenti critici è stata completata e revisionata. Vi è un'ulteriore valutazione del rischio che deve essere effettuata.
Durante i grandi disastri naturali, come terremoti o grandi tornado, c'è un'alta probabilità che i locali fisici siano fuori servizio per qualche tempo. C'erano anche esempi in cui non era rimasto nessun edificio o la squadra aveva un accesso limitato (da 15 a 20 minuti) per raccogliere ciò che era necessario prima che nessuno potesse mai rientrare nell'edificio. Inoltre, è possibile pianificare alcuni ritardi, perché è stato necessario determinare che gli edifici fossero abbastanza solidi da consentire a chiunque di accedervi.
Se si tratta di un grande disastro, dove vai o come viene realizzata la continuità delle operazioni. Anche i dipendenti locali saranno sicuramente colpiti dal disastro. Potrebbero essere settimane prima che siano in grado di tornare al lavoro. Nel caso di un BCP su cui lavoravo, i dipendenti dovevano anche essere completamente distrutti o avevano solo pochi minuti per entrare nelle loro case e raccogliere oggetti. Molti mi hanno detto che hanno preso vestiti e spazzolini da denti, documenti di identificazione e hanno dovuto lasciare altri oggetti personali dietro.
Quindi parte della strategia tecnica può sviluppare una moltitudine di opzioni a seconda della valutazione del rischio. Ci possono essere piani per siti freddi, siti caldi e siti caldi a seconda del budget. Strategie per proteggere server e hardware critici identificati con RAID, clustering e bilanciamento del carico, concentrandosi sulla tolleranza d'errore. Naturalmente, è garantita la protezione dei dati tramite backup e piani per il ripristino di dati critici e la disponibilità a essere utilizzati da siti freddi, siti caldi e siti caldi, garantendo la protezione dei documenti riservati e la disponibilità per coloro che richiedono le informazioni a sempre.
Una volta sul posto, tutte queste strategie, i piani e le politiche devono essere rivisti, mantenuti e verificati. Richiede molto personale per essere coinvolto e per essere consapevole. L'unica cosa costante è il cambiamento. Nuove soluzioni hardware e software sono in fase di implementazione. I requisiti e le leggi aziendali sono in fase di modifica. Posso certamente capire perché è menzionato. La sicurezza delle informazioni riguarda la protezione dell'integrità, della riservatezza e della disponibilità delle informazioni.