Bezpieczeństwo informacji polega na ochronie integralności, poufności i dostępności informacji. Brak możliwości ochrony informacji i udostępnienia ich tym, którzy ich potrzebują, nawet podczas klęski żywiołowej może oznaczać koniec biznesu.
Pomogłem w opracowaniu planów ciągłości działania, w których jednym z krytycznych wymagań było to, że określone informacje muszą być (zgodnie z prawem) dostępne 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku. Nie było dopuszczalnych przestojów, nawet podczas klęski żywiołowej, takiej jak przerażające trzęsienie ziemi.
Nie było prostego rozwiązania - trzeba było przeprowadzić analizę wpływu na biznes. Informacje są przechowywane nie tylko na komputerach. Często jest rozproszony i nie znajduje się tylko w jednej scentralizowanej lokalizacji. Identyfikacja krytycznych informacji, które są niezbędne do utrzymania funkcjonowania firmy, jest bardzo trudna. Po zakończeniu i przejrzeniu identyfikacji krytycznych systemów i komponentów. Konieczna jest dodatkowa ocena ryzyka.
Podczas dużych klęsk żywiołowych, takich jak trzęsienia ziemi lub duże tornada, istnieje duże prawdopodobieństwo, że obiekt fizyczny nie będzie działał przez jakiś czas. Były nawet przykłady, w których nie było już żadnego budynku lub zespół miał ograniczony dostęp (15 do 20 minut), aby zebrać to, co było potrzebne, zanim nikt nigdy nie zostanie wpuszczony z powrotem do budynku. Można też zaplanować pewne opóźnienia, ponieważ trzeba było ustalić, że budynki są wystarczająco solidne, aby każdy mógł do nich dotrzeć.
Jeśli jest to duża katastrofa, dokąd się wybierasz lub w jaki sposób osiągnięto ciągłość działań. Katastrofa z pewnością dotknie również lokalnych pracowników. Mogą minąć tygodnie, zanim będą mogli wrócić do pracy. W przypadku jednego BCP, nad którym pracowałem, pracownicy mieli również do czynienia z całkowitym zniszczeniem domów lub mieli tylko kilka minut na wejście do swoich domów i zebranie rzeczy. Wielu powiedziało mi, że chwycili ubrania, szczoteczki do zębów oraz dokumenty tożsamości i musieli zostawić inne rzeczy osobiste.
Dlatego częścią strategii technicznej może być opracowanie wielu opcji w zależności od oceny ryzyka. W zależności od budżetu mogą istnieć plany dotyczące witryn zimnych, ciepłych i gorących. Strategie ochrony zidentyfikowanych krytycznych serwerów i sprzętu za pomocą macierzy RAID, klastrów i równoważenia obciążenia, koncentrując się na odporności na uszkodzenia. Oczywiście istnieje ochrona danych poprzez tworzenie kopii zapasowych i plany przywracania danych krytycznych i udostępnienia ich do wykorzystania w witrynach zimnych, ciepłych i gorących, zapewniając ochronę poufnych dokumentów i dostępność dla tych, którzy potrzebują informacji pod adresem cały czas.
Po wdrożeniu wszystkie te strategie, plany i zasady wymagają przeglądu, utrzymywania i weryfikacji. Wymaga to zaangażowania i świadomości wielu pracowników. Jedyną stałą rzeczą jest zmiana. Wdrażane są nowe rozwiązania sprzętowe i programowe. Wymagania biznesowe i przepisy są modyfikowane. Z pewnością rozumiem, dlaczego o tym wspomniano. Bezpieczeństwo informacji polega na ochronie integralności, poufności i dostępności informacji.