Cosa fa#
Ogni piano operativo risponde a una domanda diversa su come l'organizzazione gestisce crisi, incidenti e modifiche. Confonderli è il trabocchetto classico dell'esame.
TL;DR#
DRP → come ripristino i sistemi dopo un disastro
IRP → come gestisco un attacco/incidente in corso
BCP → come continuo il business durante una crisi
CM → come approvo e documento modifiche ai sistemiI quattro piani a confronto#
| Piano | Nome completo | Quando si attiva | Focus |
|---|---|---|---|
| DRP | Disaster Recovery Plan | Dopo un disastro (flood, fire, outage) | Ripristinare i sistemi IT |
| IRP | Incident Response Plan | Durante/dopo un attacco informatico | Gestire l'incidente di sicurezza |
| BCP | Business Continuity Plan | Durante qualsiasi crisi | Mantenere il business operativo |
| CM | Change Management | Prima di modificare sistemi in produzione | Approvare e documentare modifiche |
Distinzioni chiave per l'esame#
DRP vs BCP:
- BCP è più ampio — include DRP. Il BCP dice "il business deve continuare". Il DRP dice "ecco come ripristiniamo i sistemi IT".
- BCP = visione business. DRP = esecuzione tecnica.
IRP vs DRP:
- IRP = risposta a un attacco informatico (chi fa cosa, quando, come).
- DRP = ripristino dopo un disastro fisico o tecnico.
- Un ransomware attiva entrambi: IRP per l'incidente, DRP per il restore dei backup.
Change Management:
- Non è un piano di crisi — è un processo preventivo.
- Prima di modificare regole firewall, aggiornare server, cambiare configurazioni → change management.
- Contiene: documentazione della modifica, approvazione, test, backout plan.
Important
Exam anchor: "administrator should adhere to when modifying a production system" → Change Management, non DRP o IRP.
Metriche collegate#
| Metrica | Significato | Piano |
|---|---|---|
| RTO — Recovery Time Objective | Tempo massimo accettabile per ripristinare | DRP |
| RPO — Recovery Point Objective | Quanti dati possiamo perdere (finestra backup) | DRP |
| MTTR — Mean Time To Repair | Tempo medio per risolvere un guasto | DRP |
| MTBF — Mean Time Between Failures | Tempo medio tra un guasto e il successivo | DRP |
Scenario Reale#
Ransomware colpisce un ospedale:
- IRP → attivato subito: chi contiene, chi indaga, chi comunica
- BCP → mantenere le operazioni critiche (surgery, ER) durante l'incidente
- DRP → ripristinare i sistemi IT dai backup dopo l'eradicazione
Tutti e tre si attivano insieme — livelli diversi dello stesso problema.
Collegato a#
- dfir — IRP come parte dell'incident response
- incident-response-lifecycle — PICERL come operativizzazione dell'IRP
- risk-management-terms — i piani nascono dal risk register
