La ISO/IEC 27031 "Guidelines for information and communication technology
readiness for business continuity" è ora allo stadio di final draft.
Si tratta di linee guida (quindi non "certificabili") che riprendono i
concetti espressi dalla BS 25777 sulla relazione tra IT e Business
Continuity.
Alcune cose interessanti:
- viene detto che bisogna segnalare quando i sistemi IT non possono
soddisfare i requisiti di business in materia di tempi e metodi di
ripristino, in modo da valutare se accettare la situazione attuale o
intraprendere opportune azioni; troppo spesso si vede come il business
stabilisca invece i propri obiettivi sulla base delle prestazioni dell'IT e
come non siano evidenziati eventuali disallineamenti affinché siano
consapevolmente accettati
- sono ben descritte le varie tipologie di test praticabili
- vi sono utili esempi di misurazioni quantitative (ve ne sono anche sulle
misurazioni qualitative che non mi convincono)
Punto debole è l'eccessiva considerazione degli RTO a scapito di altri
requisiti come gli RPO e altri controlli di sicurezza, oltre all'assenza del
parametro relativo alle prestazioni (spesso ridotte rispetto a quelle normali)
previste in caso di emergenza.
Alessandro Cerasoli (NIS - Network Integration and Solutions), durante le discussioni in seno all'Uninfo, ha fatto anche notare la mancanza del concetto di MTPoD (Maximum Tolerable Period of Distruption), ossia il limite massimo degli RTOs.
Aggiornamento del 23 marzo 2011:
http://blog.cesaregallotti.it/2011/03/isoiec-27031-e-bs-25777.html
Nessun commento:
Posta un commento