Business Impact Analysis per ISO 27001, NIS2 e DORA
La domanda di audit che fa emergere la vera lacuna di continuità
È lunedì mattina e Maria, CISO di una FinTech in rapida crescita, si sta preparando per una riunione del comitato rischi dell’organo di amministrazione. L’oggetto è breve: “Preparazione DORA e NIS2: riesame della BIA”.
Il suo team ha predisposto ciò che la maggior parte dei dirigenti si aspetta di vedere. Esistono un SGSI ISO/IEC 27001:2022 certificato, playbook di risposta agli incidenti, screenshot dei backup, report sulle vulnerabilità, questionari per i fornitori, diagrammi dell’architettura cloud e un registro dei rischi aggiornato. I clienti enterprise inviano questionari NIS2. I clienti del settore finanziario inseriscono clausole DORA nei contratti. L’audit di sorveglianza ISO/IEC 27001:2022 è previsto tra un mese.
Poi l’auditor esterno pone la domanda che cambia il tono della riunione:
“Se la vostra piattaforma di onboarding dei clienti non è disponibile per 18 ore, quali servizi regolamentati sono interessati, quali fornitori sono coinvolti, qual è la priorità di ripristino approvata e dove si trova l’evidenza che l’organizzazione ha accettato RTO e RPO?”
La stanza resta in silenzio.
Il piano di backup dice una cosa. Il piano di Disaster Recovery ne dice un’altra. Il contratto con il fornitore include uno SLA di disponibilità, ma non contiene evidenze di test di ripristino. Il registro dei rischi menziona la disponibilità, ma non spiega perché un servizio debba essere ripristinato più rapidamente di un altro. L’alta direzione ha approvato la politica di sicurezza, ma non l’impatto aziendale dell’indisponibilità.
Questo è il problema della Business Impact Analysis nel 2026.
Una Business Impact Analysis, o BIA, non è più un foglio di calcolo allegato a un piano di continuità. È il ponte di evidenze tra servizi aziendali, asset ICT, fornitori, priorità di ripristino, RTO/RPO, soglie di incidente, test di resilienza e responsabilità dell’organo di amministrazione. Per le organizzazioni che allineano ISO/IEC 27001:2022 alla continuità richiesta da NIS2 e alla resilienza ICT richiesta da DORA, la BIA è il punto in cui la conformità diventa operativa.
Le organizzazioni più mature dispongono già di molti controlli corretti. La loro debolezza è la tracciabilità. La BIA trasforma evidenze sparse in una narrazione pronta per l’audit: che cosa è rilevante, perché lo è, entro quanto tempo deve essere ripristinato, quali dipendenze lo supportano, che cosa è stato testato, che cosa non ha funzionato, che cosa è stato migliorato e chi ha approvato il rischio residuo.
Perché i vecchi fogli di calcolo BIA sono ormai un rischio
NIS2 e DORA hanno cambiato il tono della conformità in materia di continuità. Non considerano continuità operativa, Disaster Recovery, risposta agli incidenti, resilienza dei fornitori e governance come documenti separati. Si aspettano che funzionino come un unico sistema.
Per i soggetti NIS2, Article 21 richiede misure tecniche, operative e organizzative per gestire i rischi per i sistemi informativi e di rete e per prevenire o minimizzare l’impatto degli incidenti sui destinatari dei servizi e su altri servizi. Le misure minime includono analisi dei rischi, gestione degli incidenti, continuità operativa inclusa la gestione dei backup, Disaster Recovery e gestione delle crisi, sicurezza della catena di fornitura, gestione delle vulnerabilità, valutazione dell’efficacia dei controlli, formazione, crittografia, sicurezza delle risorse umane, controllo degli accessi, gestione degli asset, MFA e comunicazioni sicure.
NIS2 Article 20 porta il tema nella sala dell’organo di amministrazione. Gli organi di gestione devono approvare le misure di gestione dei rischi di cybersecurity, vigilare sulla loro attuazione e possono essere ritenuti responsabili in caso di violazioni. Questo significa che un RTO di quattro ore non supportato da evidenze non è solo un’incoerenza tecnica. È una debolezza di governance.
DORA si applica dal 17 gennaio 2025 e crea un quadro di riferimento uniforme dell’UE per la gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza operativa digitale, la gestione del rischio ICT di terze parti, i requisiti contrattuali e la vigilanza sui fornitori terzi critici di servizi ICT. Per gli enti finanziari, e per i fornitori tecnologici che li supportano tramite contratti, DORA trasforma la resilienza operativa in un requisito strutturato di evidenze.
DORA Articles 5 e 6 richiedono governance e un quadro documentato di gestione del rischio ICT. Articles 7 to 14 riguardano sistemi ICT affidabili e resilienti, identificazione di asset e dipendenze, protezione, rilevazione, continuità operativa ICT, backup, ripristino, recupero, apprendimento post-incidente, sensibilizzazione, formazione e comunicazione di crisi. Articles 24 to 26 richiedono test di resilienza operativa digitale per gli enti finanziari che non sono microimprese. Articles 28 to 30 formalizzano il rischio ICT di terze parti, i registri dei contratti di servizi ICT, le strategie di uscita, i livelli di servizio, i diritti di audit e i requisiti di continuità.
ISO/IEC 27001:2022 fornisce l’ossatura del sistema di gestione. Le sue clausole richiedono all’organizzazione di definire contesto, parti interessate, obblighi legali e contrattuali, ambito di applicazione, leadership, politica, ruoli, valutazione del rischio, trattamento del rischio, Dichiarazione di Applicabilità, pianificazione operativa, valutazione delle prestazioni e miglioramento continuo.
L’anello mancante è spesso la BIA. Senza BIA, i piani di continuità non sono chiaramente basati sul rischio, gli obiettivi di backup non sono approvati dal business, i fornitori non sono mappati sui servizi critici e l’alta direzione non può dimostrare in modo affidabile che le decisioni di resilienza siano state informate dall’impatto aziendale.
La BIA come piano di controllo per le evidenze di resilienza
Una BIA difendibile risponde a sette domande che auditor, autorità di regolamentazione, clienti e organi di amministrazione pongono sempre più spesso:
- Quali servizi aziendali sono critici?
- Quali asset ICT, archivi dati, persone, fornitori e servizi essenziali supportano ciascun servizio?
- Qual è l’impatto operativo, finanziario, legale, contrattuale, sui clienti, sulla sicurezza fisica e reputazionale di un’interruzione nel tempo?
- Qual è il Maximum Tolerable Downtime, o MTD?
- Quali sono i Recovery Time Objective, o RTO, e i Recovery Point Objective, o RPO, approvati?
- Le disposizioni relative a backup, ridondanza, cloud, fornitori, personale e comunicazioni rendono tali obiettivi raggiungibili?
- L’organizzazione ha testato il percorso di ripristino e riesaminato i risultati?
La Politica di continuità operativa e disaster recovery per grandi organizzazioni di Clarysec P32 Politica di continuità operativa e disaster recovery definisce chiaramente il requisito:
La Business Impact Analysis (BIA) deve essere eseguita almeno annualmente per tutte le unità aziendali critiche e riesaminata in caso di modifiche significative a sistemi, processi o dipendenze. Gli output della BIA devono definire: 5.2.1. Maximum Tolerable Downtime (MTD) 5.2.2. Recovery Time Objectives (RTOs) 5.2.3. Recovery Point Objectives (RPOs) 5.2.4. Dipendenze critiche (sistemi, fornitori, personale)
Questa clausola offre agli auditor un punto di partenza pratico. Previene inoltre la carenza frequente per cui il piano di continuità operativa, il piano di Disaster Recovery, il piano di backup, il registro dei fornitori e il processo di risposta agli incidenti utilizzano ciascuno una definizione diversa di “critico”.
La stessa politica richiede un approccio di gestione integrato:
L’organizzazione deve mantenere un Business Continuity Management System (BCMS) integrato, allineato a ISO 22301 e ISO/IEC 27001, assicurando l’integrazione di: 5.1.1. Business Impact Analysis (BIA) 5.1.2. Valutazione del rischio di sicurezza per le minacce alla continuità operativa 5.1.3. Piani di continuità operativa (BCP) 5.1.4. Piani di Disaster Recovery ICT (DRP) 5.1.5. Programmi di test ed esercitazione 5.1.6. Documentazione e miglioramento continuo
Questa è la differenza tra conformità da checklist e resilienza pronta per l’audit. La BIA non è un documento una tantum. Diventa parte della catena di evidenze del SGSI e del BCMS.
In che modo ISO/IEC 27001:2022 trasforma la BIA in evidenze verificabili in audit
ISO/IEC 27001:2022 non richiede a ogni organizzazione di utilizzare l’espressione “Business Impact Analysis” in ogni clausola, ma i suoi requisiti rendono le evidenze BIA estremamente utili.
Le clausole 4.1 to 4.4 richiedono all’organizzazione di comprendere fattori interni ed esterni, parti interessate, obblighi legali e normativi, requisiti contrattuali, interfacce, dipendenze e campo di applicazione del SGSI. Una BIA è spesso l’evidenza più pratica per tali interfacce e dipendenze. Mostra quale servizio cloud, processore di pagamento, provider di identità, operatore di telecomunicazioni, servizio di sicurezza gestito, data center o team di supporto esternalizzato abilita un servizio critico.
Le clausole 5.1 to 5.3 richiedono leadership dell’alta direzione, risorse, comunicazione, assegnazione dei ruoli e reporting. Una BIA fornisce alla leadership una base di business per gli investimenti in continuità. Senza BIA, gli obiettivi RTO e RPO sono auspici tecnici, non requisiti aziendali approvati.
Le clausole 6.1.1 to 6.1.3 richiedono una valutazione e un trattamento ripetibili dei rischi per la sicurezza delle informazioni. L’organizzazione deve identificare i rischi per riservatezza, integrità e disponibilità, analizzare conseguenze e probabilità, determinare i livelli di rischio, assegnare priorità al trattamento, selezionare i controlli, confrontare i controlli selezionati con l’Annex A, produrre una Dichiarazione di Applicabilità, creare un Piano di trattamento del rischio e ottenere l’approvazione del titolare del rischio. Una BIA rafforza la componente “conseguenze” della valutazione del rischio. Spiega perché un’interruzione di due ore di un sistema è tollerabile, mentre un’interruzione di due ore di un altro sistema provoca danni ai clienti, esposizione regolatoria, violazione contrattuale o grave impatto sui ricavi.
L’Annex A fornisce il catalogo dei controlli. Per BIA e continuità, i controlli più rilevanti dell’ISO/IEC 27001:2022 Annex A includono:
| Controllo ISO/IEC 27001:2022 Annex A | Nome corretto del controllo | Rilevanza per la BIA |
|---|---|---|
| A.5.29 | Sicurezza delle informazioni durante le interruzioni | Assicura che i controlli di riservatezza, integrità e disponibilità restino efficaci durante operazioni degradate |
| A.5.30 | Prontezza ICT per la continuità operativa | Assicura che le capacità ICT supportino gli obiettivi di continuità operativa approvati |
| A.8.13 | Backup delle informazioni | Supporta il ripristino e il conseguimento dell’RPO mediante processi di backup protetti |
| A.8.14 | Ridondanza delle strutture di elaborazione delle informazioni | Supporta obiettivi di ripristino che non possono essere soddisfatti dal solo ripristino da backup |
| A.8.15 | Registrazione | Preserva visibilità, capacità di indagine ed evidenze durante l’interruzione |
| A.8.16 | Attività di monitoraggio | Rileva degrado, incidenti e stato del ripristino |
| A.5.19 | Sicurezza delle informazioni nei rapporti con i fornitori | Collega il rischio dei fornitori alle dipendenze dei servizi critici |
| A.5.20 | Gestione della sicurezza delle informazioni negli accordi con i fornitori | Assicura che i contratti includano aspettative di sicurezza e continuità |
| A.5.21 | Gestione della sicurezza delle informazioni nella catena di fornitura ICT | Gestisce il rischio della catena di fornitura ICT per i servizi critici |
| A.5.22 | Monitoraggio, riesame e gestione delle modifiche dei servizi dei fornitori | Mantiene aggiornate le dipendenze dai fornitori al variare dei servizi |
| A.5.23 | Sicurezza delle informazioni per l’uso dei servizi cloud | Assicura la gestione dei requisiti di dipendenza cloud, uscita e resilienza |
| A.5.24 | Pianificazione e preparazione della gestione degli incidenti di sicurezza delle informazioni | Collega gli scenari di interruzione alla capacità di risposta pianificata |
| A.5.25 | Valutazione e decisione sugli eventi di sicurezza delle informazioni | Supporta la valutazione della gravità dell’incidente utilizzando l’impatto sul servizio |
| A.5.26 | Risposta agli incidenti di sicurezza delle informazioni | Guida le azioni di risposta in base alla criticità aziendale |
| A.5.27 | Apprendimento dagli incidenti di sicurezza delle informazioni | Alimenta le lezioni apprese in BIA, BCP, DRP e trattamento del rischio |
| A.5.28 | Raccolta delle evidenze | Preserva le evidenze durante incidenti e operazioni di ripristino |
| A.5.31 | Requisiti legali, statutari, normativi e contrattuali | Collega gli obiettivi di resilienza a obblighi quali NIS2, DORA, GDPR e contratti con i clienti |
In Zenith Controls: guida alla conformità trasversale Zenith Controls, Clarysec profila il controllo ISO/IEC 27002:2022 5.30, prontezza ICT per la continuità operativa, come controllo correttivo focalizzato sulla disponibilità, mappato al concetto di cybersecurity Respond, alla capacità operativa di continuità e al dominio di sicurezza della resilienza. Il controllo 5.29, sicurezza delle informazioni durante le interruzioni, è profilato come preventivo e correttivo, a protezione di riservatezza, integrità e disponibilità. Il controllo 8.13, backup delle informazioni, è profilato come correttivo, a supporto di integrità e disponibilità tramite il ripristino.
Questa distinzione è rilevante. Una BIA non deve chiedere solo: “Possiamo ripristinare?”. Deve chiedere anche: “Possiamo restare sicuri durante l’interruzione?”. Durante un evento ransomware, un’indisponibilità cloud, un fallimento del fornitore o un incidente nel data center, l’organizzazione ha comunque bisogno di controllo degli accessi, registrazione, monitoraggio, conservazione delle evidenze, comunicazioni sicure e misure di tutela della privacy.
Il modello pratico delle evidenze BIA
Una BIA solida collega il linguaggio del business alle prove tecniche. Clarysec struttura normalmente il modello di evidenze in cinque livelli.
| Livello di evidenza | Che cosa dimostra | Evidenze tipiche |
|---|---|---|
| Criticità del servizio aziendale | L’organizzazione comprende quali servizi sono più importanti e perché | Catalogo dei servizi, note dei workshop BIA, punteggio dell’impatto, approvazione dell’alta direzione |
| Mappatura delle dipendenze | I servizi critici sono collegati ad asset ICT, dati, fornitori, persone e servizi essenziali | CMDB, registro degli asset, mappa applicativa, registro dei fornitori, mappa dei flussi di dati |
| Obiettivi di ripristino | MTD, RTO e RPO sono approvati e realistici | Registro BIA, BCP, DRP, piano di backup, mappatura degli SLA dei fornitori |
| Attuazione dei controlli | I controlli tecnici e organizzativi supportano gli obiettivi di ripristino | Configurazione dei backup, progettazione della ridondanza, monitoraggio, controllo degli accessi, playbook di gestione degli incidenti |
| Convalida e miglioramento | La capacità di ripristino è stata testata e le lacune sono tracciate | Test di ripristino, report di failover, esercitazione tabletop, registro delle azioni correttive, piano di audit |
Questo modello di evidenze funziona perché segue il modo di ragionare degli auditor. Prima chiedono che cosa è critico. Poi chiedono che cosa lo supporta. Poi chiedono chi ha approvato l’obiettivo di ripristino. Poi chiedono se le disposizioni tecniche e dei fornitori possono rispettare l’obiettivo. Infine chiedono se l’organizzazione ha testato e migliorato la capacità.
NIST CSF 2.0 è utile come livello di comunicazione. Il suo metodo CSF Profiles incoraggia le organizzazioni a definire l’ambito di applicazione, raccogliere input quali politiche, priorità di rischio aziendale, registri BIA, requisiti di cybersecurity, norme, procedure, misure di sicurezza e ruoli lavorativi, creare profili attuali e target, analizzare le lacune, produrre un piano d’azione con priorità, attuare tale piano e aggiornare il profilo. È quasi esattamente il modo in cui una BIA dovrebbe alimentare una roadmap di conformità trasversale.
Un esercizio BIA di una settimana che produce evidenze reali
Supponiamo che un fornitore SaaS supporti clienti dei servizi finanziari. La sua piattaforma supporta l’onboarding dei clienti, la verifica documentale e le notifiche ai clienti. Non è una banca, ma i suoi clienti inviano richieste contrattuali guidate da DORA e questionari fornitori NIS2.
Un esercizio mirato di una settimana può produrre rapidamente evidenze utili.
Giorno 1: identificare servizi critici e finestre di impatto
Partire dai servizi, non dai server. Coinvolgere responsabili di business, IT, sicurezza, funzione legale, supporto, privacy e gestione dei fornitori.
| Servizio aziendale | Impatto dopo 4 ore | Impatto dopo 24 ore | Potenziale attivazione di obblighi normativi o contrattuali |
|---|---|---|---|
| Portale di onboarding dei clienti | Ritardo nell’apertura di nuovi account, aumento dei ticket di supporto | Impatto sui ricavi, violazione SLA, escalation del cliente | Richiesta di continuità del cliente DORA, possibile comunicazione di incidente al cliente |
| Flusso di verifica dell’identità | Necessarie soluzioni alternative manuali | Arretrato, ritardi nella revisione antifrode, impatto reputazionale | Preoccupazione GDPR per disponibilità e integrità dei dati personali |
| Servizio di notifica ai clienti | Comunicazioni degradate | Mancata notifica agli utenti durante un incidente | Aspettativa NIS2 di comunicazione ai destinatari del servizio |
| API amministrativa per clienti enterprise | Interruzione operativa per i clienti | Violazione contrattuale, sovraccarico del service desk | Riesame del fornitore da parte di clienti NIS2 o DORA |
Questo inquadramento è importante. Autorità e clienti riconoscono servizi e funzioni. Le applicazioni contano perché supportano tali servizi.
Giorno 2: mappare le dipendenze
Per ciascun servizio, mappare applicazioni, banche dati, infrastruttura, servizi cloud, provider di identità, monitoraggio, strumenti di backup, persone, fornitori e servizi essenziali di supporto.
| Servizio | Asset ICT | Dati | Fornitore | Responsabile interno | Problema di continuità |
|---|---|---|---|---|---|
| Flusso di verifica dell’identità | API di verifica e archivio documentale | Documenti di identità, log di audit | Fornitore IDV SaaS, archiviazione di oggetti cloud | Responsabile della piattaforma | Lo SLA del fornitore prevede un obiettivo di disponibilità, ma nessuna evidenza di test di ripristino |
| Servizio di notifica ai clienti | Piattaforma e-mail/SMS | Recapiti, modelli di messaggio | Fornitore di messaggistica | Operazioni clienti | Nessun fornitore alternativo configurato |
| API amministrativa | Cluster Kubernetes, banca dati, API gateway | Configurazione cliente, log | Fornitore cloud, provider DNS | Responsabile dell’ingegneria | Il test di ripristino copre la banca dati ma non la configurazione dell’API gateway |
È qui che la BIA inizia a produrre valore. Rivela il percorso di ripristino non visibile, incluse le dipendenze spesso trascurate in un piano DR tecnico.
Giorno 3: approvare MTD, RTO e RPO
Il responsabile di business propone l’MTD. IT e sicurezza validano se gli RTO e RPO proposti sono tecnicamente raggiungibili. L’alta direzione approva gli obiettivi finali.
Per le organizzazioni più piccole, la Politica di continuità operativa e disaster recovery - PMI di Clarysec P32S Politica di continuità operativa e disaster recovery - PMI applica la stessa disciplina con un linguaggio più semplice. Richiede piani BCP/DR che definiscano l’approccio al ripristino delle funzioni essenziali:
Il Direttore generale (GM) deve approvare e mantenere Piani di continuità operativa e Disaster Recovery (BCP/DRP) che definiscano chiaramente l’approccio dell’organizzazione al ripristino delle funzioni essenziali.
Richiede inoltre che il piano includa:
servizi e sistemi prioritizzati (funzioni aziendali critiche)
E:
Recovery Time Objectives (RTOs) e Recovery Point Objectives (RPOs) per ciascun sistema
L’elemento chiave non è l’eccesso di documentazione. L’elemento chiave è la tracciabilità, l’approvazione e l’evidenza che gli obiettivi di ripristino si basino su un reale impatto aziendale.
Giorno 4: riconciliare il backup con l’impatto aziendale
Molte organizzazioni falliscono qui. La BIA può stabilire un RPO di quattro ore, mentre i backup vengono eseguiti ogni 24 ore. Oppure lo strumento di backup protegge le banche dati di produzione, ma non configurazione, segreti, repository infrastructure-as-code, archiviazione di oggetti, record DNS, impostazioni di identità o configurazione dell’API gateway.
La Politica di backup e ripristino di Clarysec P15 Politica di backup e ripristino richiede un Piano generale di backup collegato agli esiti della BIA:
Deve essere mantenuto e riesaminato annualmente un Piano generale dei backup. Deve specificare: 5.1.1 Frequenza dei backup (ad esempio, backup incrementali giornalieri e backup completi settimanali) 5.1.2 Periodi di conservazione per sistema o tipo di dati 5.1.3 Requisiti di cifratura e dettagli della posizione di archiviazione 5.1.4 Obiettivi RTO/RPO collegati agli esiti della valutazione dell’impatto aziendale
Questa clausola è particolarmente preziosa in audit. Costringe la progettazione dei backup a riflettere l’impatto aziendale, non la comodità di archiviazione.
Giorno 5: testare un percorso di ripristino e aprire azioni correttive
Non testare tutto in una volta. Scegliere un servizio critico ed eseguire un test di ripristino mirato. Ripristinare la banca dati. Ricostruire la configurazione applicativa. Validare l’autenticazione. Confermare che i log siano disponibili. Verificare la capacità di notifica ai clienti. Registrare tempo impiegato, perdita di dati, difetti, decisioni e azioni correttive.
In Zenith Blueprint: roadmap in 30 passaggi per auditor Zenith Blueprint, la fase Controlli in azione, passaggio 23, tratta i controlli organizzativi inclusa la prontezza ICT per la continuità operativa. Pone la domanda che ogni team di audit dovrebbe porre:
I vostri sistemi possono supportare gli obiettivi di continuità operativa quando le luci tremolano, quando le reti si interrompono, quando si verifica un disastro?
Lo stesso passaggio fornisce un’istruzione pratica:
Verificare che gli obiettivi di tempo di ripristino (RTO) e gli obiettivi di punto di ripristino (RPO) per i sistemi critici siano allineati alle aspettative di continuità operativa (5.30). Condurre almeno un test tecnico di ripristino o una simulazione di failover e documentarne i risultati.
Questa è la differenza tra avere una BIA e avere evidenze BIA difendibili. L’obiettivo non è solo documentato. È testato.
Mappare le evidenze BIA su NIS2, DORA, GDPR, NIST e COBIT 2019
Una BIA ben costruita diventa un asset di conformità trasversale. Un unico insieme di evidenze può rispondere a molte domande.
| Prospettiva di conformità | Che cosa supporta la BIA | Evidenze da mostrare |
|---|---|---|
| ISO/IEC 27001:2022 | Contesto, ambito di applicazione, valutazione del rischio, trattamento, controlli di continuità e dei fornitori dell’Annex A | Registro BIA, valutazione del rischio, SoA, BCP/DRP, report di test, approvazioni dell’alta direzione |
| NIS2 | Continuità operativa, gestione dei backup, Disaster Recovery, gestione delle crisi, sicurezza della catena di fornitura, gestione degli asset, impatto degli incidenti | Mappa dei servizi critici, dipendenze dai fornitori, RTO/RPO, test di continuità, soglie di incidente |
| DORA | Quadro del rischio ICT, strategia di resilienza operativa digitale, funzioni critiche o importanti, test di resilienza, rischio ICT di terze parti | Mappa degli asset e delle dipendenze ICT, programma di test, registro dei contratti ICT, strategia di uscita |
| GDPR | Disponibilità, integrità, responsabilizzazione, valutazione della violazione, protezione dei dati personali | Classificazione dell’impatto sui dati, evidenze di ripristino, criteri di escalation privacy, convalida del ripristino dei dati |
| NIST CSF 2.0 | Esiti Govern, Identify, Protect, Detect, Respond, Recover e CSF Profiles | Profilo attuale e target, analisi delle lacune, POA&M, criticità dei fornitori, esecuzione del ripristino |
| COBIT 2019 | Governance su benefici, rischio, risorse, continuità, prestazioni dei fornitori, assurance | Reporting all’organo di amministrazione, accettazione del rischio, titolarità del servizio, monitoraggio dei controlli, risultanze dell’audit |
GDPR è spesso trascurato nelle discussioni sulla BIA. Tuttavia GDPR Article 5 richiede che i dati personali siano trattati con integrità e riservatezza, inclusa la protezione contro perdita, distruzione o danno accidentali mediante misure tecniche o organizzative adeguate. La responsabilizzazione richiede al titolare del trattamento di dimostrare la conformità. Se una piattaforma di dati personali non può essere ripristinata entro un tempo approvato e testato, il rischio privacy incide su disponibilità, integrità, valutazione della violazione e fiducia dei clienti.
La segnalazione degli incidenti NIS2 aggiunge un’altra dimensione. Article 23 richiede che gli incidenti significativi siano notificati senza indebito ritardo, inclusa una pre-allerta entro 24 ore, una notifica dell’incidente entro 72 ore e una relazione finale entro un mese. Una BIA aiuta a classificare la gravità perché definisce servizi interessati, destinatari del servizio, interruzione operativa e potenziale impatto transfrontaliero.
Anche la classificazione degli incidenti DORA considera clienti o transazioni interessati, durata, diffusione geografica, perdite di dati, criticità dei servizi interessati e impatto economico. Questi sono campi della BIA. Se la BIA è debole, la classificazione degli incidenti diventa soggettiva nel momento peggiore possibile.
La continuità dei fornitori è il punto in cui la BIA incontra la realtà contrattuale
Per NIS2 e DORA, la continuità dei fornitori non è più facoltativa. NIS2 Article 21 include la sicurezza della catena di fornitura e richiede attenzione alle vulnerabilità dei fornitori, alla qualità e resilienza dei prodotti, alle pratiche di cybersecurity dei fornitori e alle procedure di sviluppo sicuro. DORA richiede che il rischio ICT di terze parti sia gestito nell’ambito del quadro del rischio ICT, inclusi registri dei contratti di servizi ICT, due diligence, rischio di concentrazione, strategie di uscita, diritti di audit e accesso, assistenza in caso di incidente, livelli di servizio e requisiti di continuità.
La Politica di continuità operativa e disaster recovery per grandi organizzazioni richiede:
Dipendenze da terze parti e dalla catena di fornitura 6.5.1. I contratti con fornitori critici devono includere obblighi di continuità e impegni sui tempi di ripristino. 6.5.2. I principali prestatori di servizi devono, su richiesta, dimostrare l’esecuzione periodica di test di continuità e la partecipazione a esercitazioni sugli incidenti.
La versione PMI richiede inoltre:
punti di contatto per la continuità dei fornitori
Quel piccolo campo può essere decisivo in un incidente reale. Se il piano di ripristino dice “contattare il supporto del fornitore cloud”, ma nessuno conosce il percorso di escalation, il riferimento contrattuale, il processo di gestione della gravità o il contatto fuori orario, l’RTO è fittizio.
| Fornitore | Servizio supportato | Criticità | Impegno contrattuale di ripristino | Evidenze disponibili | Lacuna |
|---|---|---|---|---|---|
| Fornitore cloud | Hosting della piattaforma core | Critico | Disponibilità multi-zona, SLA di supporto | Diagramma architetturale, dashboard del servizio | Nessun test di failover regionale documentato |
| Provider di identità | Autenticazione amministratori e clienti | Critico | SLA di disponibilità | Report SOC del fornitore, pagina di stato | Nessuna procedura alternativa di autenticazione |
| Fornitore di messaggistica | Notifiche ai clienti | Alta | SLA di disponibilità | Contratto e contatti per incidenti | Nessun fornitore alternativo testato |
| Fornitore di sicurezza gestita | Rilevamento e risposta | Alta | SLA di monitoraggio ed escalation | Report mensile, playbook | Non incluso nell’esercitazione di continuità |
Questa tabella non sostituisce la gestione del rischio dei fornitori. Rende operativo il rischio dei fornitori.
Come gli auditor testeranno la tua BIA
Un auditor ISO/IEC 27001:2022 inizierà normalmente da ambito di applicazione, contesto, valutazione del rischio, trattamento del rischio, Dichiarazione di Applicabilità, controlli dell’Annex A, informazioni documentate, pianificazione operativa, valutazione delle prestazioni e miglioramento. Confronterà la BIA con la valutazione del rischio e la SoA. Se A.5.30, A.5.29 o A.8.13 sono inclusi, chiederà evidenze di attuazione e test.
Un revisore DORA si concentrerà su funzioni critiche o importanti, asset ICT, dipendenze ICT da terze parti, test di resilienza, classificazione degli incidenti, requisiti contrattuali, strategie di uscita e vigilanza dell’organo di gestione. Si aspetterà che la BIA sia allineata al quadro di gestione del rischio ICT, alla strategia di resilienza operativa digitale, ai piani di continuità operativa ICT, ai piani di risposta e ripristino e al programma di test.
Un supervisore NIS2 chiederà misure di continuità operativa, gestione dei backup, Disaster Recovery, gestione delle crisi, sicurezza della catena di fornitura, approvazione della governance e capacità di segnalazione degli incidenti significativi. La BIA deve dimostrare che queste misure sono basate sull’impatto sui servizi e su priorità approvate.
Un valutatore NIST CSF 2.0 chiederà in che modo la BIA informa il profilo attuale, il profilo target, l’analisi delle lacune e il piano d’azione. Esaminerà gli esiti Govern relativi a decisioni legali, normative, contrattuali, di rischio, ruoli, politiche, vigilanza e rischio dei fornitori. Esaminerà anche gli esiti Identify, Protect, Detect, Respond e Recover.
Un auditor COBIT 2019 o in stile ISACA si concentrerà normalmente sulla governance. Chi è titolare del servizio? Chi ha accettato il rischio? Gli obiettivi sono allineati agli obiettivi aziendali? I fornitori sono monitorati? Benefici, rischio e risorse sono bilanciati? Le azioni correttive sono tracciate fino alla chiusura?
La Politica di audit e monitoraggio della conformità di Clarysec Politica di audit e monitoraggio della conformità rende la BIA parte del ciclo di pianificazione degli audit:
Un Piano di audit basato sul rischio deve essere sviluppato e approvato annualmente, tenendo conto di: 5.2.1 I risultati delle più recenti valutazioni del rischio e della Business Impact Analysis (BIA) 5.2.2 Precedenti risultanze dell’audit e stato delle azioni correttive 5.2.3 Modifiche a processi, infrastruttura IT, sistemi o fornitori 5.2.4 Obblighi esterni quali DORA Article 25 o contratti con i clienti
Questo è un passo di maturità che molte organizzazioni trascurano. La BIA non deve restare fuori dall’assurance. Deve guidare il piano di audit.
Errori BIA comuni riscontrati nelle valutazioni reali
Le stesse debolezze si ripresentano di frequente.
Primo, la BIA elenca applicazioni, non servizi. Clienti e autorità di regolamentazione si preoccupano dell’interruzione dei servizi. Le applicazioni contano perché supportano quei servizi.
Secondo, gli obiettivi RTO e RPO sono copiati da modelli. Un RTO di quattro ore può sembrare ragionevole finché un test di ripristino mostra che servono nove ore per ricostruire l’integrazione delle identità, recuperare la configurazione, ripristinare i dati, validare l’integrità e riabilitare il monitoraggio.
Terzo, i backup non sono collegati all’impatto aziendale. Frequenza, conservazione, cifratura, posizione di archiviazione, priorità di ripristino e test devono riflettere gli obiettivi di ripristino approvati.
Quarto, i fornitori sono trattati come voci di questionario, non come dipendenze di ripristino. Impegni di continuità dei fornitori, contatti di escalation, evidenze di ripristino e partecipazione a esercitazioni sugli incidenti devono essere collegati ai servizi critici.
Quinto, manca l’approvazione dell’alta direzione. In NIS2 e DORA, la responsabilità della direzione è esplicita. In ISO/IEC 27001:2022, leadership, ruoli, approvazione del titolare del rischio e reporting sulle prestazioni sono requisiti fondamentali.
Sesto, i test sono troppo ristretti. Ripristinare un singolo file è utile, ma non dimostra il ripristino del servizio. Il percorso di ripristino di un servizio critico può includere DNS, identità, segreti, infrastructure-as-code, API gateway, monitoraggio, registrazione, escalation del fornitore, comunicazione al cliente e riesame privacy.
Il Zenith Blueprint, nella fase Controlli in azione, passaggio 19, sintetizza l’aspettativa di audit per i backup:
Testate i vostri backup?
La risposta deve essere “sì, con evidenze”, e tali evidenze devono collegarsi alla BIA.
Il pacchetto di evidenze BIA pronto per l’audit
Un programma BIA pratico deve produrre un pacchetto di evidenze conciso, utilizzabile per audit, due diligence dei clienti, reporting all’organo di amministrazione e miglioramento della resilienza.
| Elemento di evidenza | Finalità | Responsabile |
|---|---|---|
| Metodologia BIA e criteri di punteggio | Dimostra che il processo è ripetibile e oggettivo | Responsabile del rischio o della resilienza |
| Registro dei servizi critici | Identifica ciò che l’organizzazione deve proteggere e ripristinare per primo | Responsabili di business |
| Mappa delle dipendenze | Collega i servizi ad asset ICT, dati, fornitori, personale e servizi essenziali | IT, sicurezza, operations |
| Registrazioni di approvazione MTD, RTO e RPO | Dimostra che gli obiettivi di ripristino sono approvati dal business | Responsabili di business e alta direzione |
| Mappatura BIA-registro dei rischi | Collega l’analisi dell’impatto alla valutazione dei rischi di sicurezza | Titolare del rischio |
| Mappatura BIA-Dichiarazione di Applicabilità | Collega le esigenze di continuità ai controlli ISO/IEC 27001:2022 Annex A | Responsabile del SGSI |
| Mappatura BIA-piano di backup | Mostra che la configurazione dei backup supporta le aspettative RPO e RTO | Operazioni IT |
| Riesame della continuità dei fornitori | Conferma che i fornitori critici dispongono di impegni e contatti per il ripristino | Gestione dei fornitori |
| Registrazioni di aggiornamento BCP/DRP | Mostra che i piani riflettono servizi e dipendenze correnti | Responsabile della continuità |
| Report di test di ripristino o failover | Dimostra che la capacità di ripristino è stata convalidata | IT, sicurezza, responsabile di business |
| Piano di azioni correttive | Traccia le lacune fino alla chiusura | Responsabili dei controlli |
| Evidenze del riesame della direzione | Mostra vigilanza e approvazione da parte dell’organo di amministrazione o della leadership | Sponsor esecutivo |
Questo pacchetto racconta una storia coerente. Rende inoltre misurabile la resilienza.
Passo successivo: trasformare la tua BIA in evidenze di conformità
Maria non ha bisogno di un foglio di calcolo più grande. Ha bisogno di una catena di evidenze viva.
Parti da un servizio critico. Mappa asset ICT, dati, persone, fornitori e servizi essenziali. Approva MTD, RTO e RPO. Riconcilia il piano di backup. Verifica gli impegni di ripristino dei fornitori. Esegui un test di ripristino. Registra le lacune. Aggiorna il Piano di trattamento del rischio. Presenta il risultato all’alta direzione.
Poi ripeti.
Clarysec può aiutare ad accelerare questo processo utilizzando la Politica di continuità operativa e disaster recovery, la Politica di continuità operativa e disaster recovery - PMI, la Politica di backup e ripristino, la Politica di audit e monitoraggio della conformità, Zenith Blueprint e Zenith Controls.
La tua BIA non deve essere un documento creato per l’audit e poi dimenticato. Deve essere la prova operativa che i servizi più importanti possono resistere a un’interruzione, soddisfare le aspettative dei clienti e delle autorità di regolamentazione e ripristinarsi entro limiti che la leadership ha effettivamente approvato.
Se la tua organizzazione si sta preparando a un audit di sorveglianza ISO/IEC 27001:2022, ad attività di assurance cliente NIS2, a riesami ICT di terze parti DORA o a reporting di resilienza a livello di organo di amministrazione, inizia rendendo la BIA difendibile. Scarica le politiche Clarysec per continuità e audit, riesamina la roadmap di implementazione Zenith oppure richiedi una valutazione delle evidenze di resilienza per trasformare controlli dispersi in un’unica narrazione pronta per l’audit.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
