Piano di contingenza

Da Wikipedia, l'enciclopedia libera.

Il piano di contingenza (o piano emergenziale) è un programma operativo che delinea preventivamente le azioni di determinati soggetti od enti per il caso che si verifichi un evento dannoso o comunque pericoloso per la collettività. Il piano, cioè, prevede in genere linee guida più o meno dettagliate su cosa ciascuno dei soggetti od enti che devono dargli esecuzione debba fare al verificarsi dell'evento.

I piani di contingenza civili[modifica | modifica sorgente]

Piani di contingenza civili sono stati elaborati in previsione di numerose possibili emergenze, ad esempio, in tempi recenti, per il rischio che il cosiddetto Millennium bug potesse portare al caos organizzativo istituzioni ed aziende che fondavano la loro capacità operativa sui computer. Più in generale un'organizzazione (Ente o Azienda) attenta alla sua gestione dell'informazione dovrebbe avere un #Piano_di_contingenza_informatico

Altri piani sono ordinariamente redatti per fronteggiare i rischi da eventualità di tipo sanitario, [1] [2] sismico, idrogeologico e simili.

I piani di contingenza militari[modifica | modifica sorgente]

I piani di contingenza militari (e quelli simili redatti per esigenze di polizia) sono in genere elaborati per l'ipotesi di eventi pericolosi per la sicurezza politico-militare dello stato. Prendono perciò in considerazione le eventualità di insurrezione, sovversione, colpo di stato, azioni terroristiche e, ovviamente, attacchi armati da parte di potenze straniere. Contengono istruzioni sull'impiego e sul dispiegamento delle forze, nonché l'indicazione di obiettivi sensibili interni da presidiare o conquistare, oppure di obiettivi esterni da attaccare o espugnare. La loro redazione è competenza di esperti di strategia militare muniti dell'opportuna legittimazione.

Le ipotesi di lavoro comprendono l'eventuale impossibilità di coordinamento strategico delle forze, sia per impedimento o "annullamento" dei vertici, sia per mera interruzione dei canali di comunicazione, pertanto i piani emergenziali militari rispondono anche a questa esigenza.

In Italia alcuni di questi piani, ordinariamente coperti da segreto militare o segreto di stato, sono emersi in occasione di inchieste giudiziarie; così fu ad esempio per il Piano Solo e per il piano Esigenza Triangolo. Ad un riordino e coordinamento dei piani emergenziali provvide negli anni cinquanta l'allora capo della polizia, prefetto Angelo Vicari.

Piano di contingenza informatico[modifica | modifica sorgente]

Il piano di contingenza informatico si articola su quattro filoni di analisi:

  • Impatto sul business (business impact analysis)
  • Pianificazione della risposta all'incidente (incidente response plannig)
  • Pianificazione del recupero del disastro (Disaster Recovery Planning)
  • Pianificazione della continuità del Business (Business Continuity Planning)

Impatto sul business (business impact analysis)[modifica | modifica sorgente]

Individua i processi che devono essere funzionanti per garantire il business e quali possono essere sospesi per un certo periodo di tempo. Questo porta alla definizione di una strategia di recupero[3].

Pianificazione della risposta all'incidente (incident response plannig)[modifica | modifica sorgente]

È un insieme dettagliato di processi e procedure che prevengono, scoprono e mitigano l'impatto di un evento che possa compromettere le risorse e i beni correlati.

È costituito da sei fasi[4]:

  1. Preparazione. Pianificazione e preparazione nell'evento di un incidente di sicurezza
  2. Identificazione. Per scoprire un insieme di eventi che hanno un impatto negativo sul business e possono essere considerati un incidente di sicurezza
  3. Contenimento. Per contenere e mitigare i danni
  4. Estirpazione. Per essere sicuri di avere rimosso i suoi effetti e i suoi agenti dai sistemi
  5. Recupero. Per riportare il business ed i beni al loro stato normale
  6. Lezioni apprese (Lessons Learned): come applicare quello che si appreso dall'accaduto al sistema

Una minaccia diviene un attacco valido e viene considerata come un incidente di sicurezza informativa se:

  • è diretto verso i beni informatici
  • ha una probabilità realistica di riuscire
  • minaccia la riservatezza, integrità o la disponibilità delle informazioni

Pianificazione del recupero del disastro (Disaster Recovery Planning)[modifica | modifica sorgente]

Vedi Disaster_recovery

Pianificazione della continuità del Business (Business Continuity Planning)[modifica | modifica sorgente]

Il BCP è attivato di solito insieme al Disater recovery planning dal CEO. Esso tende a far continuare il business anche con mezzi alternativi (altro sito, procedure manuali, outsourcing) mentre il DRP si focalizza a ripristinare il sito principale o meglio le operazioni come di solito sono portate avanti.

Altri significati[modifica | modifica sorgente]

Nella programmazione aziendale, ad esempio per la redazione di studi di fattibilità, i piani di contingenza sono le analisi dei problemi potenzialmente ostanti al corretto raggiungimento degli obiettivi di impresa (generali o specifici) e comprendono le soluzioni operative che si prevede di voler applicare in simili eventualità.

Note[modifica | modifica sorgente]

  1. ^ Linee guida per la pianificazione di contingenza per emergenze sanitarie
  2. ^ Linee guida per la pianificazione di contingenza per la gestione di un laboratorio
  3. ^ Michael E. Whitman, Herbert J. Mattord, Management of Information Security, 2/E ISBN 1-4239-0130-4
  4. ^ NIST IT Contingency Planning Guide

Voci correlate[modifica | modifica sorgente]