Le operazioni aziendali a supporto della security richiedono azioni e interazioni tra parti diverse, sia all’interno che all’esterno di una organizzazione. Parti che devono lavorare garantendo il pieno rispetto a leggi, regole e regolamenti.
Tali azioni comportano una suddivisione di quelle che sono le responsabilità e le aspettative dei soggetti in gioco per il perseguimento degli obiettivi aziendali, nonché del contesto al quale e per il quale si rivolgono.
Il presente articolo ha lo scopo di presentare, in forma riassuntiva, proprio alcune di queste azioni che si traducono in documenti che diverse figure adoperano a supporto degli interessi cyber e del business.
Indice degli argomenti
Risk Assessment e Statement of Applicability
Il Risk Assessment (RA) rappresenta un processo documentato che ha tra i suoi scopi, quello di determinare quali controlli di sicurezza sono necessari, definendo le priorità di risposta alle minacce a cui i vari asset possono essere soggetti.
Un documento di questo tipo può includere, tra le varie informazioni, la lista degli asset, delle minacce, delle vulnerabilità, l’impatto di un dato rischio e il suo grado di verosimiglianza.
Lo Statement of Applicability (SOA), invece, fornisce un riassunto delle decisioni relative al trattamento del rischio, dimostrando, per ciascun controllo, la sua relazione con i risultati del Risk Assessment e del Risk Treatment, con la politica e con gli obiettivi.
Il SOA si pone quindi come collegamento tra la valutazione del rischio e il trattamento dello stesso, rappresentando un obiettivo centrale ISO 27001.
Business Impact Analysis
La Business Impact Analysis (BIA) rappresenta una parte centrale del processo di disaster recovery e business continuity aziendale.
Questa attività rappresenta un processo sistematico atto a determinare e valutare i potenziali effetti di un’interruzione delle operazioni aziendali critiche a seguito di un disastro, incidente o emergenza.
Gli obiettivi generali che si prefigge sono, oltre che una comprensione approfondita dei processi di business per individuare i più critici, identificare l’impatto potenziale di un disastro attraverso un’analisi quantitativa e qualitativa dei processi, e individuare così priorità e tempi di ripristino basandosi sulle dipendenze fra i sistemi o le risorse necessarie per lo svolgimento di processi critici di business.
Output della BIA è quello di avere un documento che faccia capire come l’organizzazione eroghi/riceva prodotti e servizi critici e avere informazioni sul costo di un’interruzione dell’attività nel tempo, chiarendo così due importanti parametri quali Recovery Time Objective (RTO) e Recovery Point Objective (RPO).
Interoperability Agreement
Gli Interoperability Agreement (IA) rappresentano un’ampia categoria di accordi che includono requisiti di data, technology e communication sharing tra due o più organizzazioni. Alcuni di questi accordi (illustrati di seguito in questo articolo) sono:
- Interconnection security agreement (ISA)
- Memorandum of understanding (MOU)
- Service level agreement (SLA)
- Business partnership agreement (BPA)
Interconnection Security Agreement
Un Interconnection Security Agreement (ISA) è un particolare accordo stipulato tra organizzazioni che possiedono e gestiscono sistemi informatici interconnessi.
Il documento, oltre a specificare i requisiti per la connessione dei sistemi e delle reti, descrive in dettaglio quali controlli di sicurezza devono essere utilizzati per proteggere i sistemi e i dati sensibili.
Un ISA può essere infatti parte di un Memorandum of Understanding (MOU), dettagliando gli aspetti tecnici di sicurezza per quello che riguarda l’interconnessione dei dati.
Memorandum of Understanding
Un memorandum of Understanding (MOU) è un documento legale usato per descrivere un accordo bilaterale o multilaterale tra le parti, che delinea ciò di cui ogni parte è responsabile e ciò che ogni parte deve fornire o produrre.
Per essere vincolante, il MOU deve essere firmato da un rappresentante di ogni organizzazione coinvolta, con l’autorità per la firma di questo tipo di accordi.
In questo tipo di documenti, dove possono essere descritti processi, attività e altre informazioni fonte del valore aziendale, la confidenzialità è requisito fondamentale, che, se assente, porta a importanti ripercussioni per le parti coinvolte.
Service Level Agreement
Un’altra importante risorsa da considerare al momento della firma di un accordo ISA o MOU è data dal Service Level Agreement (SLA).
Accordo tra le parti che specifica in dettaglio le metriche di servizio che devono essere rispettate da un service provider nei confronti dei propri clienti/utenti, rappresentando quindi un punto di contatto tra le esigenze dell’azienda cliente e quello che il fornitore di impegna a garantire.
Il documento deve comprendere una estesa parte dedicata alla gestione operativa degli obblighi sottoscritti da azienda cliente e fornitore, definendo precisamente cosa e come misurare per verificare il rispetto dello SLA, le procedure di escalation in caso di necessità, come si esegue il reporting “ufficiale” delle metriche e con che periodicità, tenendo sempre presente che quello che non è definito con chiarezza potrebbe essere, un giorno, motivo di discussione.
Operating Level Agreement
Un Operating Level Agreement (OLA) è un documento interno all’organizzazione che definisce le relazioni fra le parti interne a questa, allo scopo di supportare le attività di business.
Questo tipo di accordo lavora in combinazione al Service level agreement (SLA), definendo le aspettative per il business allo scopo di supportare gli overall business goal stabiliti nello SLA.
Pertanto, mentre lo SLA potrebbe promettere non più di cinque minuti di inattività, l’OLA definisce quali gruppi e risorse vengono utilizzate per raggiungere l’obiettivo specificato.
Uptime Agreement
Un Uptime Agreement (UA) è uno dei tipi più noti di SLA che dettaglia quanto espresso tra le parti relativamente al tempo o percentuale di tempo in cui il servizio è attivo e operativo.
Gli UA possono essere, ad esempio, utilizzati per servizi di rete come WAN link o per apparecchiature come i server.
Nondisclosure Agreement
Un Nondisclosure Agreement (NDA) è progettato per proteggere le informazioni riservate, così da garantire che informazioni confidenziali che devono essere condivise rimangano riservate e non siano utilizzate per scopi diversi da quello concordato tra le parti.
Per informazioni riservate si intendono ad esempio know-how, tecnologie, idee brevettabili, rapporti finanziari o commerciali, business plan, piani di sviluppo commerciale, studi, rapporti eccetera che hanno un loro valore economico o che se diffuse possono danneggiare la parte che le ha comunicate.
Seppur l’impostazione di questi documenti può variare a seconda di diverse ragioni, è possibile individuare alcuni requisiti minimi di contenuto, tra cui:
- definizione delle informazioni oggetto di trasmissione e di impegno alla non divulgazione;
- validità temporale dell’impegno;
- determinazione della sanzione, intesa come definizione forfetaria dei danni subiti;
- individuazione del giudice competente ed eventuale legge applicabile.
Al divieto di disclosure delle informazioni riservate, possono essere poste alcune eccezioni a favore di determinati soggetti (dipendenti e consulenti esterni) ai quali si riconosce un need to know relativamente a tali informazioni, ossia una conoscenza che è loro indispensabile per svolgere le proprie mansioni o incarichi, prevedendo in questi casi che le informazioni possano essere oggetto di disclosure “on a need to know basis”.
Business Partnership Security Agreement
Un Business Partnership Security Agreement (BPA) è un altro esempio di documento giuridicamente vincolante, progettato per fornire garanzie tra i partner commerciali in relazione a specifiche attività relative alla sicurezza.
Master Service Agreement (MSA)
Un Master Service Agreement (MSA) è un documento contrattuale che specifica gli obiettivi di prestazione e delinea le responsabilità delle parti coinvolte, elencando inoltre, i servizi attuali e potenziali ai quali si applica l’accordo.
Lo scopo è quello di stabilire i limiti del rapporto contrattuale, stabilire una serie di azioni per eseguire il lavoro che deve essere svolto e fornire un modo efficace per risolvere eventuali controversie che possono sorgere durante il corso del progetto, passo importante per le organizzazioni che prevedono di avere rapporti duraturi con le parti coinvolte.
