La sécurité des informations consiste à protéger l'intégrité, la confidentialité et la disponibilité des informations. Ne pas être en mesure de protéger les informations et de les mettre à la disposition de ceux qui en ont besoin, même lors d'une catastrophe naturelle, pourrait signifier la fin d'une entreprise.
J'ai aidé à développer des plans de continuité des activités où l'une des exigences essentielles était que certaines informations devaient être (par la loi) disponibles 24 heures sur 24, 7 jours sur 7, 365 jours par an. Il n'y avait pas de temps d'arrêt autorisé, même lors d'une catastrophe naturelle telle qu'un terrible tremblement de terre.
Il n'y avait pas de solution simple - une analyse d'impact sur les activités devait être menée. Les informations ne sont pas seulement stockées sur des ordinateurs. Il est souvent dispersé et ne se trouve pas seulement dans un seul endroit centralisé. Identifier les informations critiques nécessaires au bon fonctionnement de l'entreprise est très délicat. Une fois que l'identification des systèmes et composants critiques est terminée et revue. Une évaluation des risques supplémentaire doit avoir lieu.
Lors de grandes catastrophes naturelles, telles que des tremblements de terre ou de grandes tornades, il y a une forte probabilité que les locaux physiques soient hors service pendant un certain temps. Il y avait même des exemples où il n'y avait plus de bâtiment ou où l'équipe avait un accès limité (15 à 20 minutes) pour rassembler ce qui était nécessaire avant que personne ne soit jamais autorisé à revenir dans le bâtiment. De plus, vous pourriez prévoir des retards, car il fallait déterminer que les bâtiments étaient suffisamment solides pour que quiconque puisse y accéder.
S'il s'agit d'une catastrophe majeure, où allez-vous ou comment la continuité des opérations est-elle assurée. Les employés locaux seront certainement également affectés par la catastrophe. Cela pourrait prendre des semaines avant qu'ils ne soient en mesure de retourner au travail. Dans le cas d'un PCA sur lequel j'ai travaillé, les employés étaient également confrontés à la destruction totale de leur maison ou ils n'avaient que quelques minutes pour entrer chez eux et rassembler leurs affaires. Beaucoup m'ont dit qu'ils avaient attrapé des vêtements, des brosses à dents et des papiers d'identité et qu'ils avaient dû laisser d'autres objets personnels derrière eux.
Une partie de la stratégie technique peut donc être de développer une multitude d'options en fonction de l'évaluation des risques. Il peut y avoir des plans pour les sites froids, les sites chauds et les sites chauds en fonction du budget. Stratégies de protection des serveurs et du matériel critiques identifiés avec RAID, clustering et équilibrage de charge, en se concentrant sur la tolérance aux pannes. Bien sûr, il existe une protection des données grâce à des sauvegardes et des plans pour restaurer les données critiques et les rendre disponibles pour être utilisées par les sites froids, les sites chauds et les sites chauds, garantissant que les documents confidentiels sont protégés et disponibles pour ceux qui ont besoin des informations sur chaque fois.
Une fois en place, toutes ces stratégies, plans et politiques doivent être revus, maintenus et vérifiés. Il faut beaucoup de personnel pour être impliqué et conscient. La seule chose constante est le changement. De nouvelles solutions matérielles et logicielles sont mises en œuvre. Les exigences commerciales et les lois sont en cours de modification. Je peux certainement comprendre pourquoi il est mentionné. La sécurité des informations consiste à protéger l'intégrité, la confidentialité et la disponibilité des informations.