Gestion des urgences dans les TI: Gestion de la continuité des activités - Êtes-vous prêt à faire face à une urgence?

Anonim
Haben Sie alle Risiken im Blick?
Surveillez-vous tous les risques?
Photo: Images commerciales de singe - shutterstock.com

Une stratégie de BCM a deux objectifs: premièrement, les processus métier critiques ne doivent pas être altérés en cas de perturbation, et deuxièmement, en cas de perturbation, leur reprise rapide doit être assurée. Pour pouvoir remplir ces deux tâches, les entreprises doivent effectuer des travaux préliminaires. Une première étape consiste à identifier les processus métier critiques: quels périphériques ont le temps d'indisponibilité le moins tolérable? Quelles données ne doivent jamais être falsifiées? Ces questions doivent être clarifiées dans une analyse de risque.

Traquer les processus critiques n’est que la moitié de la bataille. Parce que sans le soutien de la direction, il sera difficile de construire un BCM. Cela prend du temps, de l'argent et peut-être du nouveau personnel. Une direction obstinée peut peut-être convaincre des risques de responsabilité qu’elle prend en cas de dommage. Les agents de sécurité, qui ont besoin de plus d'arguments, peuvent également entreprendre une analyse d'impact sur l'entreprise. Ce faisant, ils mettent en œuvre des scénarios de dommages potentiels au sein de l'entreprise pour souligner l'importance de la préparation aux situations d'urgence. Les processus critiques susceptibles de causer des dommages devraient déjà être connus dans le cadre de l'analyse des risques.

Neben Zeit und Geld stellt Personal die dritte tragende Säule dar.
En plus du temps et de l'argent, le personnel est le troisième pilier.
Photo: Stanislav Wittmann

Plan-Do-Check-Act

Der PDCA-Zyklus - Fundament eines jeden Qualitätsmanagementzyklus. Nur durch Einhaltung des Kreislaufes kann ein kontinuierlicher Verbesserungsprozess (KVP) gewährleistet werden.
Le cycle PDCA - la base de chaque cycle de gestion de la qualité. Ce n'est qu'en adhérant au cycle qu'un processus d'amélioration continue (CIP) peut être garanti.
Photo: Stanislav Wittmann

Dans tous les cas, une BIA a du sens pour trouver des solutions ciblées pour un BCM. Si la direction ne croit toujours pas que cela soit convaincant, l'argument selon lequel une (re) certification selon ISO 27001 peut échouer peut peut-être aider. Le cycle Deming Circle (cycle Plan-Do-Check-Act) dans le sens du processus d'amélioration continue est également un impératif à la BCM.

Si la direction est convaincue, il est temps de mettre en place un BCM. Un support peut être trouvé, par exemple, dans la documentation de la série ISO 2700 +. Par exemple, l’annexe A14 de la norme ISO 27001 énumère les exigences d’un BCM. La norme ISO 27002, qui décrit plus précisément le guide pour un système de gestion de la sécurité de l’information (ISMS) et du BCM, est plus spécifique. L'Office fédéral des technologies de l'information et de la sécurité (BSI) fournit également des informations gratuites sur la gestion des urgences, y compris dans le catalogue de protection de base 100-4.

"Différentes normes pour le BCM sont actuellement en phase de développement", a déclaré Ernst Döbbeling, professeur en ingénierie de sécurité à l'Université des sciences appliquées de Furtwangen et président du comité du miroir DIN concerné. Le développement affirme que le sujet deviendra plus pertinent à l'avenir. D'autant plus que non seulement les grandes entreprises, mais de plus en plus les PME sont convaincues de la portée de la BCM.

La question demeure: à quoi ressemble une gestion opérationnelle de la continuité des activités? Vous trouverez ci-dessous quelques exemples de scénarios pouvant servir de liste de contrôle, en particulier pour le service informatique de l'entreprise - en fonction de la question "Êtes-vous prêt à faire face à une urgence?"

salles de serveurs

Là où un service informatique existe, une salle de serveurs n'est pas loin. Même une panne de serveur de quelques minutes peut être fatale ici. Il existe plusieurs moyens de prévenir ou de compenser les temps d'arrêt. La mise en place d’une deuxième salle, c’est-à-dire une salle de serveur redondante, est une option, mais pas la moins chère. Une assurance perte de vie est envisageable, mais même cela ne paie que les dommages monétaires. Les clients et les commandes subséquentes ne sont pas affectés par la couverture d'assurance. Mais un BCM peut également être inclus dans la phase de planification des salles de serveurs, en particulier dans le domaine de la protection contre les incendies. La protection préventive contre les incendies - comprenant une protection incendie structurelle, technique et organisationnelle - doit constituer une chaîne complète de sécurité. Le choix du moyen d'extinction ou du moyen d'extinction est déjà crucial. De mauvais outils d'extinction peuvent limiter les utilisateurs dans leur travail, voire avoir des conséquences destructrices.

Andreas Koch empfiehlt, den Brandschutzexperten ins IT-Security-Team zu integrieren.
Andreas Koch recommande d'intégrer l'expert en protection incendie dans l'équipe de sécurité informatique.
Photo: Andreas Koch

"Pour réussir dans la conception de la sécurité informatique, un travail interdisciplinaire et interdisciplinaire doit être effectué", demande Andreas Koch, maître de conférence en protection technique contre les incendies à l'université de sciences appliquées Esslingen. Ceux qui recherchent des systèmes d'extinction appropriés pour leurs salles de serveurs, par exemple, doivent respecter divers critères. D’une part, il faut d’abord déterminer la sensibilité de la technologie aux fluctuations de température, à l’humidité ou aux effets sonores, a déclaré Koch. D'autre part, les conditions structurelles ont joué un rôle - telles que l'étanchéité et la résistance à la pression de la pièce. En outre, les conditions organisationnelles aux limites doivent être prises en compte: Certains groupes de personnes responsables du fonctionnement informatique, les salles de serveurs pourraient être accessibles en permanence. Koch résume: "L’expert en protection contre les incendies doit faire partie de l’équipe de sécurité informatique. Outre la protection anti-incendie structurelle et organisationnelle, il possède également de solides compétences techniques en matière de protection contre les incendies."

systèmes

Le but ultime d’une stratégie de gestion de la continuité des opérations est de protéger les systèmes critiques de manière appropriée et justifiable. Outre les serveurs, d’autres systèmes importants ne doivent pas manquer. Mentionner ici sont des éléments de contrôle importants pour les fabricants ou d’autres clients. L'alpha et l'oméga constituent une évaluation transparente des risques: les responsables doivent se demander à quel point leur système est critique et si une gestion ciblée des urgences a du sens. Après tout, de nombreuses entreprises n’ont pas les moyens financiers d’établir ou d’assurer un lien de communication redondant. Mais ce n'est pas nécessaire - un BCM n'est pas bon pour tous les systèmes.

applications

Les clients exécutent des applications. D'un côté, il s'agit d'un logiciel de contrôle des investissements, de l'autre, de ce qui est nécessaire dans le contexte des transactions commerciales quotidiennes, telles que les clients de messagerie. Pour protéger l'intégrité des données et vous protéger contre les pertes, une sauvegarde régulière des données vous aide. Le BSI Grundschutzkatalog fournit une assistance.

Der Zusammenhang von Räumen, Systemen und deren Anwendungen ist elementar, um angemessene Schutzvorkehrungen zu treffen.
Le contexte des espaces, des systèmes et de leurs applications est fondamental pour fournir des garanties adéquates.
Photo: Stanislav Wittmann

Les responsables informatiques doivent toujours garder à l’esprit le principe maximum, la vision globale des salles, des systèmes et des applications qu’ils contiennent. L'exigence de protection maximale est cruciale pour tous les facteurs sous-jacents. Des informations plus complètes sur la BSI sont également disponibles.

personnel

Thorsten Hoth warnt vor zu billigem Personal.
Thorsten Hoth met en garde contre un personnel trop bon marché.
Photo: Thorsten Hoth

Mais n'oublions pas l'humain patient permanent - le personnel interne et externe. Au minimum, les entreprises doivent être prêtes à ce que leurs employés clés fassent faillite ou quittent l’entreprise pour la compétition. Une possibilité consiste à former d’autres employés suffisamment tôt avec leur savoir-faire, qui prend toutefois beaucoup de temps et peut limiter les activités en cours. Il est préférable de faire appel à des fournisseurs de services de personnel externes. Mais cela aussi peut être un risque. Thorsten Hoth, un entrepreneur de longue date dans le secteur de la sécurité, connaît bien la menace que représentent le bas niveau de rémunération et un simple contrôle d’une journée effectué par la Chambre de commerce: "Dans la plupart des cas, nos sociétés de sécurité ne fournissent que des extras non motivés et souvent en infériorité numérique. " Ceux-ci aident à peine dans les situations d'urgence Par conséquent, il est important non seulement de regarder les coûts de personnel du facteur: "Au lieu de choisir le fournisseur le moins cher pour l'attribution du contrat, vous devez choisir le moins cher, parce que pas cher, ici, c'est de prendre le meilleur rapport qualité-prix", conseille Hoth. C’est seulement de cette façon que les entreprises ont réellement veillé à ce que des remplaçants professionnels soient disponibles en cas de pénurie de personnel et que la sécurité ne souffre pas en plus.

Actes intentionnels

Les pirates informatiques, les cambrioleurs, les ingénieurs sociaux et même les initiés aux fausses intentions peuvent causer d’énormes maux de tête aux services informatiques. Par conséquent, ils doivent également faire partie d'une stratégie de BCM. Dans la norme ISO 27001, l’annexe A 13 répertorie le point "Traitement des incidents de sécurité de l’information" qui traite de tels risques. Parce que pratiquement aucune entreprise n’est épargnée par des actes délibérés, leur classification et la mise en place de contre-mesures appropriées sont si importantes. Si les attaques de hackers de l'extérieur prennent le relais, les employés doivent être formés en conséquence. Si cela ne suffisait pas, le problème pourrait peut-être être résolu en augmentant les effectifs (voir également le point "Personnel").

Force majeure

IL est hors de pouvoir. Et l'entreprise n'est pas préparée à cela. Le GAU. Pas le cas, si des générateurs d’urgence ou au moins une assurance perte d’affaires sont disponibles. Qu'est-ce qu'un feu, une inondation ou un tremblement de terre? Espérons que la salle des serveurs ne soit pas au sous-sol. Dans l'affirmative, quelles mesures ont été prises pour prévenir les dommages causés par les inondations?

De tels scénarios sont certainement l'exception plutôt que la règle. Et pourtant, ils devraient être inclus dans la planification de la BCM. Le facteur décisif est la question de l'acceptation du risque. Quel est le degré de mobilité du service informatique et des locaux redondants sont-ils disponibles? Bien entendu, la mise en œuvre de telles mesures au fil du temps fait également partie de la planification.

Tests réguliers du BCM

Un BCM doit non seulement être sur papier, mais aussi fonctionner dans la réalité. Les examens réguliers sont donc indispensables. Avant tout, la fonctionnalité et l'efficacité des mesures doivent être examinées. Mais il faut aussi tenir compte de l'état de la technique. Après tout, le monde tourne et avec lui le développement de la technologie de sécurité. Et surtout dans le domaine informatique, il peut rapidement arriver que vous perdiez la connexion.

Die Prüfung des BCM ist eine heikle Kiste. Nur wer diese Prüfung erfolgreich besteht, ist tatsächlich auf den Ernstfall vorbereitet.
Tester le BCM est une boîte délicate. Seuls ceux qui ont réussi ce test sont réellement préparés à l'urgence.
Photo: Stanislav Wittmann

Il n’est pas faux de faire effectuer de tels tests par des spécialistes externes tels que des auditeurs ou des testeurs de pénétration - ils réexaminent les risques possibles.

conclusion

"Les technologies de l'information se sont développées rapidement ces dernières années, et dans des processus et des structures complexes, qui reposent aujourd'hui généralement sur des systèmes assistés par ordinateur et devraient être intégrés à un système de gestion de l'information, il n'est pas toujours facile de détecter tous les points faibles à un stade précoce", explique Andreas Teuscher., Responsable de la sécurité de l’information chez SICK AG, auditeur principal ISO 27001 et président du chapitre ISACA Allemagne.

C’est exactement ce qu’est le BCM: réduire autant que possible le risque résiduel et rendre les dommages possibles transparents. Mais c’est aussi le principal obstacle à la gestion des urgences: si vous n’êtes pas honnête avec vous-même, vous perdez. Teuscher précise: "Un BCM plus axé sur le risque est une sorte de deuxième anneau de défense et permet de combler les lacunes d'une analyse de risque trop optimiste, mais l'exigence de base est qu'un BCM soit limité aux éléments essentiels, aux routines établies et à tous les scénarios de récupération."

L’objectif ultime de la gestion de la continuité des activités n’est de ne recourir à rien. Pour ce faire, il est important d’enquêter et de consigner tous les incidents de sécurité. Ce n'est qu'alors que des contre-mesures efficaces peuvent être développées.

La BCM est une question complexe et non un pilier indépendant et autonome. Ce n’est qu’intégré dans la stratégie globale de la société qu’il tient ses promesses. Outre une gestion des risques sérieuse, elle nécessite avant tout une gestion qui est elle-même derrière le BCM, même si ses avantages ne sont pas nécessairement directement visibles. En conclusion, une comparaison: pendant des siècles, seuls les cygnes blancs étaient connus en Europe, ce qui a conduit à la conclusion (inductive) que tous les cygnes sont blancs. L'existence de cygnes noirs a été exclue jusqu'à ce que cette thèse soit réfutée par la découverte de l'Australie. La question qui se pose à vous en tant qu’entreprise est la suivante: êtes-vous prêt à affronter les cygnes noirs? (Sh)