Riconoscere la domanda!

Dl rischi associati all'uso crescente di risorse IT in qualsiasi azienda sono molto spesso sottovalutati. Questo è dovuto in gran parte al potere dell'IT, che opera in gran parte in background senza che gli utenti se ne accorgano.

Operazioni IT ininterrotte?

Uno dei compiti più importanti è assicurare che i sistemi e le applicazioni possano funzionare senza interruzioni e che i dati in essi contenuti possano essere accessibili senza perdita di dati.

Tutto sotto controllo senza interruzioni

disponibile nel rispetto della legge. È proprio in questi punti importanti che c'è spesso una mancanza di chiarezza su quali siano i requisiti concreti di backup e archiviazione che l'organizzazione pone sulle risorse IT. I requisiti di processo grezzi per l'IT possono essere ancora familiari ai dipendenti delle piccole aziende gestibili. Nelle organizzazioni di medie e grandi dimensioni, la situazione è spesso molto diversa a causa della divisione del lavoro: gli utenti assumono requisiti di disponibilità utopici. Non si è mai verificato un fallimento della stazione di lavoro del computer o di una singola applicazione importante. La ragione si vede nel fatto che l'IT ha completamente escluso tali scenari attraverso la progettazione del sistema e la selezione del prodotto.

Conoscere i rischi

Se l'IT vuole minimizzare i rischi di fallimento in modo mirato e allinearsi con le esigenze dell'azienda, allora bisogna conoscere i requisiti dei processi e le applicazioni e le risorse IT utilizzate in essi. Specialmente nelle grandi aziende o amministrazioni, dove la gamma di diverse applicazioni e dati è molto grande, è importante conoscere i requisiti relativi alle dimensioni della sicurezza. Le cifre chiave sulla disponibilità, l'esistenza dei dati, l'integrità e la riservatezza dovrebbero essere registrate sistematicamente e riproducibili dal dipartimento IT. Questo permette loro di adattare i sistemi, i processi e gli scenari di emergenza dell'IT alle esigenze.

Identificazione mirata dei rischi di default

dell'organizzazione di conseguenza. I rischi sono così minimizzati in modo mirato e i requisiti legali possono essere implementati meglio. Infine, l'obiettivo è quello di conoscere i requisiti di backup e archiviazione per l'organizzazione, quantificare le conseguenze dei guasti e i loro effetti temporali, e di conseguenza offrire servizi IT adeguati alle esigenze di protezione.

Definire la procedura

Il bisogno di protezione può essere procurato in vari modi e con diverse qualità. Il consolidato e collaudato dialogo sui rischi sotto forma di interviste è il modo migliore per ottenere i parametri chiave. I rischi individuali possono essere specificamente filtrati sulla base delle domande e delle reazioni delle persone intervistate. Le variabili rilevanti per l'IT sono sistematicamente determinate con le domande.

Ci sono molti ostacoli nella procedura durante questo dialogo sui rischi. Se, per esempio, agli intervistati vengono chiesti solo gli indicatori chiave della sicurezza e della conservazione senza una conoscenza di base più dettagliata, i risultati ottenuti non possono essere facilmente compresi. Non si possono identificare fattori critici per il business che giustifichino l'implementazione del requisito esaminato. Il dialogo sui rischi non deve quindi essere rivolto direttamente agli indicatori di performance, ma deve essere condotto con domande basate sul principio "cosa succede se? Devono essere affrontate le questioni relative alle conseguenze di fallimenti o errori volti a compromettere le prestazioni dei compiti, la reputazione pubblica o le conseguenze legali. A tal fine, è vantaggioso se vengono usati specificamente come esempi scenari di danno comprensibili

Considerare l'ambiente

Nelle piccole e medie imprese, i requisiti possono essere soddisfatti direttamente con il dialogo sui rischi descritto. Nel caso di meno di sette dipartimenti, si consiglia di tenere discussioni personali con i responsabili e i dipendenti coinvolti. Se si devono fare centinaia di analisi in organizzazioni grandi ed eterogenee, questo non può più essere fatto con dialoghi personali sui rischi.

A questo scopo, per esempio, è più adatto un sondaggio elettronico. Si può definire qualsiasi numero di destinatari. Richiede molto meno tempo dei dialoghi sui rischi faccia a faccia. Una tale analisi dell'impatto aziendale copre l'intero inventario delle applicazioni. Naturalmente, ci sono anche degli svantaggi

le collegato con un questionario. A causa della mancanza di contatto personale, manca l'intuizione di verificare la pertinenza di certe affermazioni. Nel seguito dell'analisi, questo può essere

PersonalRiskDialogue

Il problema può essere contrastato cercando il dialogo in casi isolati in cui appaiono manifestazioni estreme o dove c'è il sospetto di incongruenze.

Inserire i requisiti

I requisiti di backup e conservazione sono stati registrati utilizzando un questionario a scelta multipla adattato alle linee guida sul backup, composto da 25 domande divise in tre capitoli: backup dei dati, conservazione dei dati e sicurezza delle informazioni.

1. backup dei dati - – vengono richiesti i valori più importanti per il backup. Il tempo massimo di interruzione accettabile o la massima perdita di dati tollerabile sono valori che confluiscono direttamente nella politica di backup. Questa procedura è basata su ISO 22301, il principale standard di continuità aziendale. Poiché queste affermazioni sono spesso risposte in modo distorto dagli intervistati dal loro punto di vista soggettivo, è necessario includere anche le conseguenze di guasti al sistema o la perdita di dati. Le conseguenze sono registrate sotto forma di progressione temporale della gravità. Con l'aiuto di questa progressione, i dati assoluti possono essere verificati. Questo fornisce anche all'IT il parametro più importante per la protezione dei dati: il tempo medio di recupero di un sistema. Questo è determinato dai risultati del sondaggio.

2. conservazione dei dati - In contrasto con il backup, questo mira a progettare il periodo di conservazione e quindi il tempo di conservazione dei backup. Importanti requisiti di conformità come il periodo minimo di conservazione legale sono interrogati e, come già nel capitolo sul backup dei dati, gli effetti legati al tempo sono elicitati in caso di non conformità. La conservazione dei dati richiede una grande sensibilità a causa della quantità esplosiva di dati e dei periodi di conservazione variabili ma a volte lunghi. Chiunque pensi di poter ricavare una linea guida di ritenzione 1:1 dal sondaggio rimarrà deluso. Nemmeno gli esperti IT possono dare una risposta definitiva alla domanda per quanto tempo devono essere conservati i backup - in relazione ai propri dati. Oltre ai requisiti teorici, gli aspetti economici e l'orientamento strategico dell'IT giocano sempre un ruolo nel tema della ritenzione.

3. sicurezza dei dati - Nell'ultima parte del questionario, si affrontano gli aspetti della sicurezza dei dati e, per esempio, si includono le conseguenze della fuga involontaria di informazioni. Oltre ai requisiti di protezione per i backup e gli archivi, le risposte in quest'area tematica forniscono anche informazioni su come l'IT dovrebbe gestire le informazioni delle applicazioni.

Infine, il questionario fornisce informazioni sui requisiti per il backup e l'archiviazione dal punto di vista del destinatario del servizio e sulle conseguenze del fallimento, della perdita e delle violazioni di conformità. I risultati sono utilizzati per quantificare le priorità per la sicurezza e lo stoccaggio. In questo caso specifico, i risultati sono stati utilizzati per creare una linea guida per il backup e la conservazione e un concetto di backup basato sui requisiti di oltre 100 applicazioni.

Conclusione

L'approccio di elicitazione dei requisiti descritto sopra è particolarmente attraente per le organizzazioni IT di medie e grandi dimensioni. Con uno sforzo gestibile per l'IT, si valutano i bisogni dei destinatari dei servizi per le applicazioni. Il metodo fornisce ai responsabili della sicurezza una panoramica di ciò che ci si aspetta dalla gestione delle crisi (BCM) e da una sicurezza efficiente. Il responsabile della sicurezza ha

La messa in sicurezza efficiente come obiettivo

Il CIO, a sua volta, può utilizzare queste informazioni per eseguire un'analisi di impatto ripetibile basata sugli standard ISO 27001 e ISO 22301. Il CIO, a sua volta, dispone di un'analisi d'impatto comprensibile e ripetibile basata sulle norme ISO 27001 e ISO 22301. Armato di queste conoscenze, l'IT sa cosa gli viene effettivamente richiesto in termini di sicurezza e di conservazione. Non c'è più nulla che ostacoli l'attuazione.