BS 25999 – Overview Business Continuity Management ...ciclo pdca applicato ... 02 co nti co rrenti...

BS 25999 – OverviewBusiness Continuity Management

Mantenere la Continuità Operativa anche in condizioni avverseTorino, 8 ottobre 2009

Tiziana SpreaficoGiuseppe Ferrua

2BS 25999 Overview - Torino, 8 ottobre 2009

SCENARIO: Mantenere la Continuità Operativa

► Le economie globalizzate diventano ogni giorno sempre più complesse e interdipendenti.

►Gli incidenti, che possono accadere in singoli settori industriali e dei servizi, possono rallentare, se non addirittura bloccare le attività, con un diretto impatto su clienti e risultati.

►Queste situazioni possono verificarsi negli ambiti delle utilities, dei servizi IT, della sanità, della Pubblica Amministrazione e della finanza, ma anche nelle attività manifatturiere.

►Anticipare le interruzioni e avere in atto un buon piano d’emergenza risulta quindi essenziale per mantenere la continuità operativa del business sotto tutte le condizioni più avverse.


LA SOLUZIONE

►Business Continuity Management è una metodologia costituita da un insieme di prassi e procedure volte al mantenimento della continuitàoperativa sotto avverse condizioni, minimizzando l’impatto di potenziali incidenti su clienti, stakeholder e sull’intero “ecosistema aziendale”.

►E’ un metodo efficiente per mantenere la sicurezza, garantendo un buon livello di gestione aziendale e conformità, proteggendo l’immagine e la reputazione e creando un clima di fiducia per fornitori, portatori di interessi e clienti.

►Attraverso l’introduzione di una adeguata strategia di "resistenza flessibile" (resilienza), costituita da obiettivi di ripristino, piani di gestione della continuità operativa e degli incidenti, che siano coordinati tra loro e facenti parte di un approccio integrato di gestione del rischio, è possibile garantire alla struttura aziendale la possibilità di operare con continuitàanche in condizioni avverse.

►Da questo sistema di gestione possono derivare benefici concreti nell'evitare perdite di proprietà o di profitto, sanzioni, flussi di cassa, conti clienti/fornitori, rappresentanza legale, risorse umane, etica, immagine aziendale, ecc.


Lo Standard - Highlights

► BS 25999-1:2006Business Continuity Management - Part 1: Code of practice(emissione November 2006)

► BS 25999-2:2007Business Continuity Management - Part 2: Specification(emissione November 2007)

► Focus sul processo di Business Continuity, attraverso l’analisi dei rischi e l’impatto di questi sul Business

► Completamente integrata con ISO 9001, ISO 27001, ISO 14001 (es: procedure di gestione della documentazione comuni,…)

► Riferimenti a ISO 20000 (certificazione livelli di servizio) e ISO 13335 (aspetti inerenti la sicurezza informatica )

► Ciclo PDCA applicato► Applicabile a tutti i tipi di organizzazione


Lo Standard - Contenuti

1. Scope2. Terms and definitions3. Planning the Business Continuity Management System (BCMS)

[PLAN]4. Implementing and operating the BCMS [DO]5. Monitoring and reviewing the BCMS [CHECK]6. Maintaining and improving the BCMS [ACT]


Il Business Continuity Management lifecycle

UNDERSTANDING THE

ORGANIZATION

DEVELOPING AND IMPLEMENTING BCM RESPONSE

EXERCISING, MAINTAINING AND

REVIEWING

DETERMINING BCM STRATEGY

BCM PROGRAMME MANAGEMENT

© BSI 2006


Lo sviluppo temporale di un incidente

© BSI 2006


Perché

è necessario assicurare

la continuità dei processi…?

•


►Insieme alle migliaia di vite umane, è stato colpito anche il simbolo del sistema finanziario internazionale, con danni stimati in 83.000.000.000 $

L’ESPERIENZA DELL’11 SETTEMBRE 2001

Il crollo ha anche tranciato cavi telefonici interrompendo 4.000.000 di linee ad alta velocità

7 giorni dopo si è diffuso l’Internet worm “Nimda” che ha infettato 8.300.000 computer, con danni stimati in 650.000.000 $


►

Evoluzione della rete Internet e complessità delle connessioni

1990

1969 1971

OGGI


LA COMPLESSITÀ: CONOSCERLA E GESTIRLA


RISCHI AMBIENTALI


FULMINI

In un solo giorno, il 14 luglio 2002 ne sono caduti: 83.094.

Sul territorio italiano ne cadono 1.000.000 l’anno.

29 settembre 2002, domenica, le conseguenze di un fulmine privarono l’Italia della corrente elettrica.

Alcune aziende non erogarono servizi per giorni.

Un lampo:

dura 2 decimi di secondo,

convoglia una corrente di 30.000 Ampere,

sviluppa una temperatura di 30.000 °C

alcune scariche hanno differenza di potenziale fino a 4.000.000 di Volt.


FULMINI

•Fonte: CESI SIRF

frequenza,

luoghi,

impatto,

conseguenze,

sono analizzate

quotidianamente

da enti specializzati

in tutto il mondo.


TERREMOTO

Oltre 30.000 eventi sismici di media e forte intensitàa partire dall’anno 1000 d.C. ad oggi.

200 disastri120.000 vittime nell’ultimo secolo120.000 miliardi di danni negli ultimi 20 anni


GRANDI ALLUVIONI IN ITALIA

1951, Calabria 1951, Polesine 1963, Longarone, diga del Vaiont 1966, Firenze 1968, Biellese e Astigiano 1970, Genova 1985, Val di Fiemme, Stava e Prestavel 1987, l'Adda travolge 60 comuni

1992, Genova 1994, Piemonte1997, Quindici, Campania

2002, Lombardia

2004, Piemonte

2.606 vittime umane

+ Lombardia 2002

•Inondazioni Esondazioni Tracimazioni Allagamenti Infiltrazioni


DA DOVE PARTIRE?

IL PUNTO DI PARTENZA

PER LA REALIZZAZIONE

DEL PIANO DI

CONTINUITA’ OPERATIVA

E’ LA

MAPPATURA DEI PROCESSI sulla quale applicare la MAPPATURA DEI RISCHI


Evoluzione nella percezione della Continuità Operativa

►Per gestire la continuità operativa, già si sono spese risorse negli anni ottanta e ancor più negli anni novanta.

►Quindi l’argomento non dovrebbe rappresentare una novità, anzi dovrebbe già essere molto consolidato.

► Il cambio di millennio (Y2K) ha permesso di “far pratica” sul tema; in particolare sul metodo della “prevenzione” anche se in modo molto settoriale e mirato ad un singolo evento. Idem dicasi, per il passaggio all’Euro.


Evoluzione nella percezione della Continuità Operativa

► I primi anni del nuovo secolo si ha avuto evidenza di come nell’ambito di una filiera produttiva il rischio generato da un soggetto che sta al di fuori dei parametri e/o del perimetro della Continuità Operativa può essere a carico di tutti.

►Da una iniziale analisi dei soli rischi correlati ad eventi esterni si èpassati a comprendere nella Continuità Operativa anche i rischi correlati ad attività facenti parte dei processi interni.

►Analisi realizzata operando sui processi di lavoro e sui rischi ad essi correlati.


RISK ASSESSMENT


MATRICE RISCHI/PROCESSI

Ass

egni

ban

cari

nego

ziat

iA

sseg

ni b

anca

ri tr

atti

Del

eghe

di

paga

men

to

Pens

ioni

Pred

ispo

sizi

one

del b

ilanc

io

Teso

reria

Ent

i /

Ges

tione

ord

inar

iaA

cqui

sizi

one

ed

Impl

emen

tazi

one

ID S

cena

rio d

i Cris

i

Evento base Scenario di crisi Num

ero

di p

roce

ssi i

nter

essa

ti da

lla

risor

sa13

- 02

FIN

AN

ZA V

END

ITA

PR

OD

OTT

I R

ETA

IL13

- 03

FIN

AN

ZA A

TTIV

ITA

' IN

DER

IVA

TI03

- 02

CO

NC

ESSI

ON

E, M

OD

IFIC

A,

ESTI

NZI

ON

E A

FFID

AM

ENTI

03 -

12 V

END

ITA

PR

OD

OTT

I CR

EDIT

IZI D

ITE

RZI

03 -

08 P

ERFE

ZIO

NA

MEN

TO E

RIL

ASC

IO

CR

EDIT

I DI F

IRM

A (g

iò F

IDEJ

USS

ION

I PA

SSIV

E)03

- 10

PER

FEZI

ON

AM

ENTO

ED

A

TTIV

AZI

ON

E C

RED

ITI R

OTA

TIVI

03 -

11 P

ERFE

ZIO

NA

MEN

TO E

D

ERO

GA

ZIO

NE

CR

EDIT

I RA

TEA

LI03

-13

LEA

SIN

G03

- 14

AN

TIC

IPI C

RED

ITI F

UTU

RI E

C

ERTI

FIC

ATI

DI C

ON

FOR

MIT

A'

18 -

04 E

STER

O: F

INA

NZI

AM

ENTI

18 -

07 E

STER

O: G

AR

AN

ZIE

BA

NC

AR

IE

INTE

RN

AZI

ON

ALI

03 -

03 R

INN

OVO

OR

DIN

AR

IO

AFF

IDA

MEN

TI A

REV

OC

A03

- 04

RIN

NO

VO S

EMPL

IFIC

ATO

A

FFID

AM

ENTI

A R

EVO

CA

01 -

13 C

ON

TRO

LLO

SU

LLA

GES

TIO

NE

DEI

RIS

CH

I03

- 05

GES

TIO

NE

DEL

L'A

FFID

AM

ENTO

03 -

07 G

ESTI

ON

E D

ELLE

GA

RA

NZI

E

11 -

02 B

ON

IFIC

I IN

PA

RTE

NZA

17 -

10 S

ERVI

ZI D

OM

ICIL

IAR

I ALL

A

CLI

ENTE

LA17

- 01

AN

AG

RA

FE G

ENER

ALE

11 -

01 B

ON

IFIC

I IN

AR

RIV

O12

- 08

BA

NC

AM

ULT

ICA

NA

LE: S

ERVI

ZI

ATT

IVI

12 -

09 B

AN

CA

MU

LTIC

AN

ALE

: SER

VIZI

PA

SSIV

I17

- 02

ASS

EGN

I BA

NC

AR

I

15 -

14 A

SSEG

NI D

I TR

AEN

ZA17

- 11

GES

TIO

NE

MA

TER

IALI

TA' V

ALO

RIN

BIA

NC

O17

- 13

GES

TIO

NE

VALO

RI

11 -

04 IN

CA

SSI E

PA

GA

MEN

TI D

IVER

SI11

- 05

INC

ASS

O C

ERTI

FIC

ATI

DI

CO

NFO

RM

ITA

'15

- 07

PO

RTA

FOG

LIO

: GES

TIO

NE

CA

MB

IALI

15 -

08 P

OR

TAFO

GLI

O: G

ESTI

ON

E A

NTI

CIP

O F

ATT

UR

E15

- 09

PO

RTA

FOG

LIO

: GES

TIO

NE

CA

MB

IALE

AG

RA

RIA

18 -

03 E

STER

O: I

NC

ASS

I

15 -

04 P

OR

TAFO

GLI

O: G

ESTI

ON

E R

I.BA

15 -

05 P

OR

TAFO

GLI

O: G

ESTI

ON

E R

ID

(Inse

rito

in 1

5-15

)15

- 06

PO

RTA

FOG

LIO

: GES

TIO

NE

MA

V,

RA

V , B

OLL

ETTI

NI B

AN

CA

RI

15 -

12 U

TEN

ZE E

RIA

(Ins

erito

in 1

5-15

tr

anne

fasi

04

e 05

inse

rite

in 1

1-04

)15

- 15

PO

RTA

FOG

LIO

: GES

TIO

NE

RID

, R

IA E

D U

TEN

ZE18

- 08

EST

ERO

: PA

GA

MEN

TI11

- 03

DEL

EGH

E E

DIC

HIA

RA

ZIO

NI

FISC

ALI

12 -

02 C

AR

TE D

I CR

EDIT

O

12 -

03 C

AR

TE D

I DEB

ITO

12 -

03 P

.O.S

.

12 -

14 T

ELEP

ASS

FA

MIL

Y E

VIA

CA

RD

15 -

03 P

ENSI

ON

I

04 -

01 C

ERTI

FIC

ATI

DI D

EPO

SITO

04 -

02 C

ON

TI C

OR

REN

TI

04 -

05 D

EPO

SITI

A R

ISPA

RM

IO

10 -

04 P

RO

DO

TTI A

SSIC

UR

ATI

VI

15 -

01 C

ASS

ETTE

DI S

ICU

REZ

ZA18

- 02

CER

TIFI

CA

TI D

I DEP

OSI

TO IN

D

IVIS

A E

STER

A18

- 05

EST

ERO

: RA

CC

OLT

A

02 -

03 C

ON

TAB

ILIT

A' G

ENER

ALE

02 -

04 C

ON

TI D

EBIT

OR

I E C

RED

ITO

RI

DIV

ERSI

02 -

05 C

ON

TRO

LLI D

I CO

NTA

BIL

ITA

' G

ENER

ALE

02 -

06 C

ON

TI R

END

ITE

E SP

ESE

02 -

07 G

ESTI

ON

E C

ON

TAB

ILE

CO

NTI

B

AN

CH

E02

- 08

QU

AD

RA

TUR

E D

I CO

NTA

BIL

ITA

' SE

TTO

RIA

LE02

- 09

CO

NTI

D'O

RD

INE

02 -

11 B

ILA

NC

IO S

OC

IETA

' C

ON

TRO

LLA

TE02

- 12

BIL

AN

CIO

CO

NSO

LID

ATO

02 -

13 B

ILA

NC

IO S

OC

IALE

17 -

12 G

ESTI

ON

E C

ON

TI T

RA

NSI

TOR

I DI

FILI

ALE

02 -

02 B

ILA

NC

IO D

'ESE

RC

IZIO

E

DIC

HIA

RA

ZIO

NI

01 -

05 S

EGN

ALA

ZIO

NI A

CO

NSO

B01

- 11

SEG

NA

LAZI

ON

I A B

AN

CA

D

'ITA

LIA

01 -

12 C

ENTR

ALE

DEI

RIS

CH

I E C

.R. D

I IM

POR

TO C

ON

TEN

UTO

15 -

13 R

ICER

CH

E D

OC

UM

ENTA

ZIO

NE

16 -

02 C

OR

RIS

PON

DEN

ZA IN

EN

TRA

TA

ED U

SCIT

A14

- 02

TES

OR

ERIA

EN

TI

16 -

14 A

BIL

ITA

ZIO

NI T

ECN

ICH

E

12 -

01 A

.T.M

.

12 -

15 S

POR

TELL

O S

ELF-

SER

VIC

E

16 -

09 H

ELP

DES

K E

D A

SSIS

TEN

ZA16

- 19

SM

ISTA

MEN

TO M

ESSA

GG

I DI

RET

E

S1

- Disastri ambientali (tromba d’aria, uragano, tempesta di neve, gelo, eruzioni vulcaniche, terremoto , inondazione, smottamento o frana)- Incendio

- Contaminazione ambientale

- Guerra / Sommossa

- Atti di terro rismo / di sabo taggio

- Interdizione dell’area per motivi di sicurezza / di o rdine pubblico

46 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x X X X X

S2 - Disastri ambientali 33 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x- Azioni sindacali (sciopero) 23 x x x x x x x x x x x x x x x x x x x x x x x- Licenziamento 2 x x- Atti vandalici/di violenza sul posto di lavoro

2 x x

- Epidemia, malattia 2 x x

- Blocco dei trasporti 1 x

S3 - Disastri ambientali 38 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x- Interruzione reti interbancarie 74 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

- Interruzione mercati f inanziari 6 x x x x x x

- Interruzione clearing house 20 x x x x x x x x x x x x x x x x x x x x

- Qualunque evento base che si verif ichi presso i fornitori / outsourcer

19 x x x x x x x x x x x x x x x x x x x

S4

- Qualunque evento base che si verif ichi presso l'outsourcer informatico

Indisponibilità delle procedure informatiche

74 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X

S5

- Disastri ambientali - A tti vandalici / di terrorismo / di sabo taggio

S6 - Disastri ambientali

- Tempesta elettromagnetica


S7 - Disastri ambientali 74- Tempesta elettromagnetica


Istr

utto

ria

x

Matrice Eventi base – Scenari di crisi – MicroScenari di crisi – Processi critici

Port

afog

lio -

Doc

umen

ti pa

ssiv

i

Erog

azio

ne

Indisponibilità della documentazione

fondamentale

Prod

uz. e

ges

t. al

tre

info

rmat

ive

Erog

azio

ne e

su

ppor

to

Rev

isio

ne

Mon

itora

ggio

Bon

ifici

in p

arte

nza

Ges

tione

Fin

anza

R

etai

l

x

PROCESSI CRITICI

Car

te d

i cre

dito

e

debi

to

C/C

, Dep

ositi

a

rispa

rmio

, Cd,

Pct

Con

solid

amen

to

dati

in c

oge

Segn

alaz

ioni

di

vigi

lanz

a

Bon

ifici

in a

rriv

o

Ass

egni

circ

olar

i da

em

ette

re

Port

afog

lio -

Doc

umen

ti at

tivi

x

x

x

x

xx

x

x

x

x

x

x

x

x

x

x x

x

x

x

x

x

x

x

x

x

x

x x

x x

x x

x x

X

x

x

X

x

x

X

x

x

X

x

x

x

x

x

x

x x x x x x

x x x x

x x x x x

x x x x x

x

x x x x x x x x x x

x

x

x

x

x

x

x

x

x

x

xx

x

x

x

x

x

x x

x x x

x x

x x x x

xx x

x x

x xx x x x

x x xx x x x x x xxx x x x x x x x xxxInterruzione funzionamento delle infrastrutture: reti di telecomunicazione

x xx xxx

x xx x x xx x x xx x xx x xx x x x

x

x x xx x x x

x

x

xx x x x xx

Indisponibilità dei servizi di fornitori/outsourcer

x

Indisponibilità del personale essenziale

x

x

x

Interruzione funzionamento delle infrastrutture: energia

elettrica

xx x x x

x x

xx x x xx x xIndisponibilità o inaccessibilità dei locali

66 xx x x xx x


PERCHE’ LA MAPPATURA DEI PROCESSI

La mappatura dei processi é

► la condivisione formalizzata, controllata, utilizzata nel quotidiano e migliorata nel continuo del “CHI fa COSA”.

Unità Organizzativa 1 Unità Organizzativa 2 Unità Organizzativa 3 Unità Organizzativa 4

Responsabile di unità Organizzativa Responsabile di unità Organizzativa Responsabile di unità Organizzativa Responsabile di unità Organizzativa

Attività A

Reportistica

Attività B Attività C

Reportistica

Attività D

EOP

Attività E

Attività F Attività G

Attività H Attività I

Mappatura per processo

ILPROCESSOWNER

COORDINAIL PROCESSO

IL SOTTOPROCESSO

A1e i relativi

COLLABORATORI/ESECUTORI

IL SOTTOPROCESSO

A2e i relativi


IL SOTTOPROCESSO

A3e i relativi



PERCHE’ LA MAPPATURA DEI PROCESSI

La mappatura dei processi …

► consente di effettuare l’analisi partendo da un punto concreto;

► dà la certezza che il punto di partenza (su cui sono calcolati i rischi) coincide con quanto avviene in azienda,

… a condizione che

► sia attuata attraverso l’applicazione di specifiche tecnologie a supporto e guida nell’esecuzione dell’attività quotidiana e dell’attività richiesta in situazione di continuità operativa;

► sia attuata mediante l’individuazione di soluzioni “preventive”;

► sia a poco a poco ridotto il gap esistente tra l’operatività ordinaria e l’operatività in continuità operativa.


GESTIONE DEL RISCHIO RESIDUO

► Facendo parte di una filiera produttiva il rischio residuo è diventato un “rumore” non sempre tollerabile (idem dicasi per l’imprevedibilità degli eventi).

►Da qui l’esigenza di comunque “coprire” il rischio residuo attraverso, ad esempio, specifiche coperture assicurative.

► Le coperture assicurative, per essere correttamente prezzate, necessitano a loro volta di altrettanto specifiche “certificazioni”:

BS 25999 (accompagnata dalla ISO 27001)


COME PROCEDERE …….

Per ogni processo ci si interroga: “Se un evento indesiderato rendesse indisponibile il servizio, il bene, l’attività svolta ….?”

Qual è il danno sostenibile ?

Cosa ?

Come ?

Quanti e quali soggetti potrebbe interessare ?

Quanti danni potrebbe provocare ?

Qual è il massimo danno possibile ?

Quali danni potrebbe provocare ?

Quante e quali infrastrutture potrebbe interessare ?

Dove ?Quando ?

Qual è il massimo danno probabile ?

Perché ?

Potrebbe accadere ?

Risposte concrete



……. conseguentemente ……..

Come ?

Quanti soggetti dobbiamo interessare ?

Quante infrastrutture interessare ?

Dove ?Quando ?

In quanto tempo?

Ad opera di chi ?

Saremmo in grado di assicurare la continuità ?

Cosa ?

Quali soggetti dobbiamo interessare ?

Quali infrastrutture interessare ?

Perché ?

Risposte concrete



Esempi di soluzioni preventive:

► disponibilità da qualsiasi punto di accesso dei contratti stipulati;

► contratti quadro per l’utilizzo esteso della telefonia cellulare per le comunicazioni telefoniche;

► utilizzo periodico delle sedi di back-up (almeno per le attivitàinterne);

► attuazione dei piani di turn over.

Sono individuabili e applicabili ai processi delle soluzioni “preventive” tali da poter ridurre il gap esistente tra l’operativitàordinaria e l’operatività in continuità operativa?


METODOLOGIA

… censimento dei processi critici presenti nell’azienda, analizzando il livello di rischio di “continuità”, tenendo conto sia della struttura aziendale, sia dell’ambiente in cui l’azienda opera che del livello di esternalizzazione delle funzioni e/o interdipendenze con terze parti

Processo XProcessiProcessi

Analisi contratti di esternalizzazione

Struttura organizzativa/ambiente Processo Y ……….

Analisi di impatto

Definizione dei flussi di raccordo con i piani di BC degli outosurcer

Definizione dei flussi di raccordo con i piani di BC degli outosurcer

Contrattualizzazione livelli di servizio e

definzione standard contratti di

esternalizzazione

Contrattualizzazione livelli di servizio e

definzione standard contratti di

esternalizzazione

Fornitori critici/outsourcer

Rischio diretto

Rischio indiretto

Fornitori critici/outsourcer

Disegno delle misure (tecnico/organizzative) e del piano di continuità


IL PIANO DI LAVORO PROPOSTOIl Gruppo Interno di lavoro:1. predispone le linee guida del progetto, mediante schemi e documentazione di riferimento

personalizzati in funzione delle specificità dell’azienda (documento di progetto);2. determina i principi da seguire per la predisposizione del piano;3. definisce i contenuti;4. esamina, collauda ed omologa il lavoro svolto.

FASE 1 - Business Impact Analysis - fase ACENSIMENTO PROCESSI CRITICI sulla base della mappatura dei processi e sull’analisi dei rischi già in essere

FASE 2 - Business Impact Analysis - fase BDEFINIZIONE E CLASSIFICAZIONE DEI RISCHI, [probabilità, impatto, conseguenze) interazioni con aziende esterne (di categoria e non) e fornitori principali]

FASE 3 – StrategiaDEFINIZIONE DELLA STRATEGIA di intervento

FASE 4 – Approvazione e Autorizzazione della DirezioneDOCUMENTI DI SOSTEGNO (Delibere, elenchi di controllo, …)

FASE 5 – Realizzazione del Piano di Continuità OperativaSTESURA DEL PIANO DI CONTINUITA’ OPERATIVA

FASE 6 – Attuazione del PianoPresentazione del Piano, Formazione delle risorse, Rilascio del Piano, Test periodici, Miglioramento continuo


ANALISI DI IMPATTO – FASE A

0-8 HH 8-24 HH 1-2 GG 2-7 GG 1-4 SETT Oltre 1 Mese



Impatto Economico Impatto Normativo Impatto Reputazionale

Fasce temporali

Fascia temporale Intervallo temporale

Fascia 1 0 – 8 ore

Fascia 2 ≥ 8 – 24 ore

Fascia 3 ≥ 1 – 2 gg.

Fascia 4 ≥ 2 – 7 gg.

Fascia 5 ≥ 1 – 4 sett.

Fascia 6 ≥ 4 sett.

OUTPUT

Prima classificazione dei processi

Prima scrematura


ANALISI DI IMPATTO – FASE A

MaltempoInondazioni

FulminiTerremoto

FuocoAttentati

Guasti e Omissioni HWCadute di corrente

Virus e WormsHacking

Sabotaggi e InsiderErrori SW

Comportamenti

Valutarefrequenzae impatto

Bilanciarecosti e

frequenza

Considerareleggi e

normative

ANALISI DEI RISCHI


ANALISI DI IMPATTO – FASE B

Possibile Probabile Prevedibile Prevenibile

SI

NO

Un evento indesiderato è … ?

NO NO

SI SI

POCO

MOLTO

Le 4 P



OUTPUT

Seconda classificazione dei processi

Seconda scrematura

Loca

liPe

rson

ale

Forn

itori

/ Pr

oced

ure

Doc

umen

tazi

one

Serv

izi d

i Sup

port

oA

ppar

ecch

iatu

reD

ispo

sitiv

i spe

cial

i

SCA

DEN

ZE

PER

IOD

I DI P

ICC

O

OU

TPU

T O

BB

LIG

ATO

RI

PRO

CES

SI IN

IN

GR

ESSO

RPO

(HH

)

RTO

(HH

)

RISORSE CARATTERISTICHE TEMPI DI RIPRISTINO

Elementi di analisi,scenari



MaltempoInondazioni

FulminiTerremoto

FuocoAttentati

Guasti HWOmissioni HW

Cadute di correnteVirus e Worms

HackingSabotaggi e Insider

Errori SWComportamenti

SISISISISISISISISISISISISISI



SerieGravi

GravissimeGravi

GravissimeGravissime

SerieSerie

Lievi/GraviSerieGravi

GravissimeLievi/Serie

Lievi

BassaBassaBassaBassaBassaBassaBassaBassaMediaAlta

MediaMediaAlta

Media

SISISINOSISINONOSiSISISINONO

NONOSI

NOSISI

NONOSISISISISISI

Poss

ibile

Prob

abile

Acca

duto

Casi

stic

a

Cons

egue

nze

Si è

sapu

toGiu

dizia

rie

Even

toin

desi

dera

to

Casi reali: tabella di valutazione


ANALISI DI IMPATTO – SINTESI

•Relazioni fra le attività sopra riportate


STRATEGIA

analisi

dei rischi

analisi

dell’impatto

gravità

STRATEGIA:

INDIVIDUAZIONE

CONTROMISURE

Adozione di soluzioni per NON CORRERE il rischio piuttosto che adozione di soluzioni PER GESTIRLO

= RISPARMIO


STRATEGIALa Strategia viene declinata tramite la definizione dei seguenti aspetti:•gli obiettivi della Continuità Operativa (processi e scenari: il “Cosa”);•i soggetti coinvolti nell’implementazione della Strategia (il “Chi”);•le modalità di implementazione della Strategia (interventi correttivi sui processi, fornitori, processi di back-up, attivazione del piano, gestione del piano, rientro alla normalità: il “Come”);•le macro-tempistiche di realizzazione

(archiviazione, magazzini, sito alternativo, variazione dei processi: il “Quando”);

•l’analisi del rischio, che considera sia il livello di rischio inerente la Strategia prescelta (rischio accettato) sia le modalità di gestione del rischio (verifiche interne, intervento di figure esterne).

Cosa (Obiettivi di CO)

Chi (Progetto / Processo)

Come (Linee guida) Quando

(Tempistiche)


STRATEGIA

Relazioni fra le attività sopra riportate

Cosa

ChiCome

Quando

L’analisi del rischio


CONDIVISIONE, APPROVAZIONE e

AUTORIZZAZIONE

DELLA STRATEGIA?

SI e coinvolgendo per competenza

TUTTI LIVELLI(per non sprecare tempo e denaro)


PIANO DI CONTINUITA’ OPERATIVA - DEFINIZIONE

Specificita’ (Probabilità di catastrofe)Eventi naturali, insediamenti pericolosi vicini,Valori simbolici vicini.

Concentrazione geografiche(pluralità di operatori vicini)

Complessità dell’attività tipica eGrado di automazione

Dimensioni aziendali e articolazioneTerritoriale dell’attività

Livello di esternalizzazionedi funzioni rilevanti

Assetto organizzativo(accentramento/decentr. Processi critici)

Vincoli da Interdipendenze(fornitori, clienti, altri intermediari)

AMBITO DEL PIANO DI CONTINUITA’ OPERATIVA

STRUTTURE (distruzione /inacessibilità) dove sono allocate unità operativa o apparecchiature critiche

INFRASTRUTTURE (interruzione del funzionamento)Elettricità, Tlc, interbancario, ..

PERSONALE (indisponibilità di quello essenziale)

SISTEMI (indisponibilità a seguito di attacchi esterni o attacchi tramite reti tlc)

DATI (alterazione)

DANNEGGIAMENTI (gravi provocati da dipendenti)

I Rischi residuisono documentati

e accettati

ANALISI DI IMPATTO (preliminare al piano periodicamente aggiornata)

Individua il livello di rischioper ogni processo

Evidenzia le conseguenzedell’interruzione del servizio

Considera i RISCHIOperativiAltri rischi (es.: mercato, liquisdità)

Correlazione ai rischi

PIANO DI CONTINUITA’ OPERATIVA( PIANO DI EMERGENZA )

Insieme di regole per la gestione dell’azienda

in situazioni di emergenza.

Piano focalizzato sul dopo evento.Comprende il Disaster Recovery.

Catastrofi esteseChe colpiscono

Controparti rilevanti

Prende in considerazioni scenari di crisi

Incidenti di portata settoriale

L’azienda


PIANO DI CONTINUITA’ OPERATIVA - CONTENUTO

Stabilisce il tempo massimo accettabile di ripartenza di

sistemiprocessi critici

Individua i siti alternativiprevede spazi e infrastrutture logistiche e di comunicazione adeguate

stabilisce regole di conservazione delle copie dei documenti importanti in luoghi remoti

Per i sistemi informativi centrali e periferici:

fornisce indicazioni su modalità e frequenza relativamente a:

generazione copie archivi di produzione (almeno giornalmente)procedure per il ripristino presso sistemi secondari.

Sono definite modalità e tempi di allineamento alla situazione corrente al momento dell’interruzione in caso di sistemi secondari off-line

Definisce modalità di comunicazione con:

clientelacontroparti rilevantimedia

il contenuto del piano

Gli intermediari che ricorrono a terzi per la continuità

definiscono livelli di servizio adeguati al conseguimento degli obiettivi aziendali.

Previste cautele contrattuali per evitare l’indisponibilità del servizio.

Previsione contrattuale di utilizzo del sito secondario fino al pieno ripristino del sito primario.

Documenta le modalità per:

- la dichiarazione dello stato di emergenzal’organizzazionele procedure da seguire in caso di crisil’iter per la ripresa della normale operatività


PIANO DI CONTINUITA’ OPERATIVA – VERIFICHE E MIGLIORAMENTO CONTINUO

LE VERIFICHE

- Sono correlate ai rischi- Ipotizzabili diverse frequenze e livelli di dettaglio delle prove- Può essere sufficiente la simulazione parziale dell’evento catastrofico- Per i processi più critici vanno coinvolti utenti finali, outsourcer e controparti rilevanti.

ALMENO ANNUALMENTE: verifica complessiva realistica del ripristino operatività in condizioni di emergenza con:

- attivazione dei collegamenti di rete presso il sito secondario- verifica dell’operatività on-line di almeno una succursale- esecuzione delle procedure batch - controllo delle funzionalità dei sistemi secondari- controllo delle prestazioni dei sistemi secondari- riscontro della capacità dell’organizzazione di attuare le misure del piano nei tempi previsti.

RISULTATI DELLE VERIFICHE:

- documentati per iscritto- portati all’attenzione dell’alta direzione- inviati, per la parte di competenza, alle unità operative coinvolte- inviati, per la parte di competenza, alla funzione di auditing

Azioni correttive a fronte delle eventuali carenze riscontrate.

AUDIT

- Verifica regolarmente l’approccio alla continuità operativa

- Verifica regolarmente il piano di emergenza

- Prende visione dei programmi di verifica- Assiste ai test e ne controlla i risultati

- Propone modifiche al piano sulla base delle mancanze rilevate nel corso dei test

- Controlla i piani di emergenza degli outsourcer e dei fornitori critici

- Esamina i contratti per verificare l’adegatezza del livello di tutela agli obiettivi e standard aziendali.

Considerare l’opportunità di sottoporre il piano di emergenza ad un ulteriore livello di controllo affidato a specialisti esterni indipendenti.


GRAZIE PER L’ATTENZIONEE

BUON LAVOROA TUTTI

BS 25999 – Overview Business Continuity Management ...ciclo pdca applicato ... 02 co nti co rrenti...

Documents

Transcript of BS 25999 – Overview Business Continuity Management ...ciclo pdca applicato ... 02 co nti co rrenti...