Business Continuity Management. Gli standard ISO 22301 e ... · OK! MTPD e RTO (A) Time Service...

1

Business Continuity Management. Gli standard ISO 22301 e ISO

22313

Workshop formativo

Padova, 28 aprile 2016

2ISACA VENICE Chapter

Agenda

◆TERMINOLOGIA, QUALI SONO I TERMINI UTILIZZATI E IL LORO SIGNIFICATO

◆INTRODUZIONE ALLA NORMA, IL SISTEMA DI GESTIONE DELLA CONTINUITÀ OPERATIVA

◆COSA DEVE FARE UNA ORGANIZZAZIONE PER CERTIFICARSI; GLI ELEMENTI PRINCIPALI CHE DEVONO ESSERE PREDISPOSTI

28/04/2016

3

La continuità operativa rappresenta la capacità di una organizzazione di continuare a fornire i servizi strategici in conformità a livelli accettabili e predefiniti, a seguito di un evento destabilizzante.

Business Continuity: social security

Il fatto di inserire la gestione della continuità operativa (BCM) nel quadro e nelle discipline di un sistema di gestione crea unsistema di gestione per la continuità operativa (BCMS) che consente al BCM di esserecontrollato, valutato e continuamente migliorato.

ISO 22300 (Terminologia)ISO 22301 (Requisiti)ISO 22313 (Guida applicativa)

4

Le attività possono essere destabilizzate da una grande varietà di eventi, molti dei quali sono difficili da prevedere o analizzare.

Concentrando l’attenzione sull’impatto dell’evento destabilizzante, piuttosto che sulla causa, la continuità operativa

identifica quelle attività e risorse sulle quali l’organizzazione si basa per la propria sopravvivenza e consente all’organizzazione di determinare cosa sia necessario per continuare a soddisfare i suoi impegni.

•processi operativi •persone, siti, tecnologie e informazioni•catena di fornitura•parti interessate•reputazione

Business Continuity: social security

La resilienza è la capacità di un sistema di adattarsi al

cambiamento

❑ in ingegneria, la resilienza è la capacità di un materiale di

assorbire energia di deformazione elastica

❑ in informatica, la resilienza è la capacità di un sistema di

adattarsi alle condizioni d'uso e di resistere all'usura in modo

da garantire la disponibilità dei servizi erogati

❑ in ecologia e biologia, la resilienza è la capacità di una

materia vivente di autoripararsi dopo un danno, o quella di

una comunità o di un sistema ecologico di ritornare al suo

stato iniziale, dopo essere stata sottoposta a una

perturbazione che ha modificato quello stato

5

Resilienza

La norma ISO 22301:2012

PLAN

4 Contesto dell’organizzazione

5 Guida e direzione (Leadership)

6 Pianificazione

7 Supporto

DO

8 Attività operative CHECK

9 Valutazione delle prestazioni ACT

10 Miglioramento

0 Introduzione

1 Campo di Applicazione

2 Riferimenti Normativi

3 termini e Definizioni

0 Introduzione

PLAN



6 Pianificazione

7 Supporto

DO



10 Miglioramento

0 Introduzione




Poiché si parla di requisiti la norma è certificabile, come

precisato al paragrafo 1 punto d).

La norma si riferisce all'attività di prevenzione-contrasto-

recupero da mettere in atto in un qualsiasi settore di attività:

ambiti produttivi, servizi in genere …

La norma si pone l'obiettivo di specificare i requisiti per

istituire, mettere in opera e gestire un efficace Sistema di

Gestione della Continuità Operativa (BCMS – Business

Continuity Management System).

ISO 22301:2012

8


PLAN



6 Pianificazione

7 Supporto

DO



10 Miglioramento

0 Introduzione




Campo di applicazione

la norma è orientata a tutte le organizzazioni

indipendentemente dalla dimensione, settore

commerciale o tipologia e fornisce le specifiche ai

responsabili di gestione del programma della Continuità

Operativa (Business Continuity)

Approccio

L'approccio della norma si basa sull' analisi del contesto

dell'organizzazione con l'obiettivo di capire quali sono i

processi i/servizi critici e quali sono le esigenze di

continuità da parte degli stakeholder principali

ISO 22301:2012

10


PLAN



6 Pianificazione

7 Supporto

DO



10 Miglioramento

0 Introduzione




12

Requisiti legali e regolamentari

Tutti i sistemi di gestione dovrebbero operare nel quadro dell’ambiente legale e regolamentare, in cui l’organizzazione opera.

L’organizzazione dovrebbe identificare e tenere in considerazione tutti i requisiti rilevanti ed applicabili di tipo legale e regolamentare, ai quali essa aderisce, e le esigenze di soggetti interessati.

Le informazioni che riguardano questi requisiti dovrebbero essere documentate e tenute aggiornate.

Quando si stabilisce, attua e mantiene un BCMS, l’organizzazione dovrebbe tenere conto e documentare tutti i requisiti applicabili di tipo legale, nonché altri requisiti ai quali l’organizzazione aderisce, e le esigenze di parti interessate.

3 Termini e Definizioni

PLAN



6 Pianificazione

7 Supporto

DO



10 Miglioramento

0 Introduzione




I due indicatori più noti della Continuità Operativa sono:

•RTO (Recovery Time Objective): esprime l'arco temporale massimo entro cui il ripristino delle risorse minime deve essere garantito, al fine di contenere gli impatti, legati all'indisponibilità, a livelli sopportabili.

• E' assunto come obiettivo e si determina in base al tempo di fermo accettabile in caso di disastro o di interruzione.

• Indica il momento più lontano nel tempo (in avanti e dopo il disastro) in cui occorre far ripartire le attività di business.

•RPO (Recovery Point Objective): rappresenta l'intervallo temporale massimo a cui far riferimento per individuare il punto di ripristino dei dati e/o del sistema (dall'ultimo salvataggio delle informazioni disponibili).

• E' assunto come obiettivo e si determina in funzione della perdita di dati ammissibile in caso di interruzione delle attività operative.

• Indica il momento più lontano nel tempo (all'indietro e prima del disastro) fino al quale occorre poter recuperare i dati. Può essere indicato come “massima perdita di dati”.

14

TERMINOLOGIA

Attività di Valutazione

Ultimo

Back-Up

Disastro

Crisi

RPO RTO

Attività di Ripristino

Ripartenza Fine Crisi

Fase di Rientro

RientroFase di Riattivazione

ISO 22301:2012 Terminologia

Maximum acceptable outage (MAO) - Massima interruzione accettabile

Maximum tolerable period of disruption (MTPD) – Massimo periodo di interruzione (del servizio) tollerabile

Minimum business continuity objective (MBCO) – Livello minimo di operatività accettabile durante la crisi

Terminologia: qualche altro termine particolarmente interessante

16

Terminologia: il senso del BCMS

17

Time

Servicelevel

Normal level of serviceMTPD

Incident

RTO

18

Minimum level of service

OK!

MTPD e RTO (A)

Time

Servicelevel


Incident

RTO

19


OK! ma non è la situazione

ideale

MTPD e RTO (B)

Time

Servicelevel


Incident

RTO

20


Disastro!

MTPD e RTO (C)

BCMS efficace a fronte di un improvviso eventodestabilizzante

BCMS efficace a fronte di un evento destabilizzante graduale, per esempio una pandemia

23

PLAN


Comprendere l’organizzazione e il suo contesto

Comprendere le necessità e le aspettative delle parti interessate

Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa


Leadership e impegno

Politica

Ruoli, responsabilità e autorità nell’organizzazione

6 Pianificazione

Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli

7 Supporto

Risorse

Competenze

Consapevolezza

ComunicazioneInformazioni documentate

DO

8 Attività operative

• Pianificazione e controlli operativi

• Analisi dell’Impatto sul Business e Valutazione del rischio

• Strategia di continuità operativa• Progettare e realizzare le procedure della BC

• Esercizio e Test

CHECK

9 Valutazione delle prestazioni

• Monitoraggio, misurazione, analisi e valutazione

• Audit interno

• Riesame di Direzione

ACT

10 Miglioramento

• Non conformità e azioni correttive

• Miglioramento continuo

Struttura della norma: capitoli dal 4 al 10

24

PLAN







Politica


6 Pianificazione


7 Supporto

Risorse

Competenze

Consapevolezza


DO






CHECK



• Audit interno


ACT

10 Miglioramento




4.1 Capire l'organizzazione ed il suo contesto

Finalità aziendali e definizione dei fattori (interni-esterni)

rilevanti per il business e la continuità

4.2 Esigenze e requisiti

Definizione delle Parti interessate ed analisi delle

esigenze di ciascuna compresi gli obblighi di legge

4.3 Il sistema di gestione e l'ambito

Definizione dell'ambito della gestione e del perimetro del

sistema. Individuazione delle criticità in ambito

4.4 Sistema di gestione della Continuità Operativa

Il sistema BCMS deve rispettare i requisiti della norma

(non sono previste esclusioni).

Requisito 4 Requisiti generali

25

Determinare i problemi interni ed esterni che sono rilevanti dell'ambito e che possono

influenzare la capacità di raggiungere i risultati attesi del Sistema di Gestione della

Buisness Continuity (BCMS) come:

– le attività dell'organizzazione, le funzioni, i servizi, i prodotti, le partnership, le catene di fornitura, i rapporti con le parti interessate e il potenziale impatto

legato ad un avvenimento dirompente;

– collegamenti tra la politica di continuità aziendale e gli obiettivi

dell'organizzazione e di altre policies, compresa la strategia generale di

gestione del rischio;– propensione al rischio dell'organizzazione (risk appetite);

– le esigenze e le aspettative delle parti interessate pertinenti;

– legislazione applicabile, regolamentazione e altri requisiti sottoscritti

dall'organizzazione.

Individuare l'ambito del Sistema di Gestione della Business Continuity (BCMS),

tenendo conto degli obiettivi strategici dell'organizzazione, i principali prodotti e

servizi, la tolleranza al rischio, e qualsiasi normative, contratti o obblighi con gli

stakeholder (parti interessate).

26

Requisito 4 : Contesto dell'organizzazione

L’organizzazione dovrebbe determinare il campo di applicazione del BCMS e assicurarsi che esso sia stato correttamente comunicato alle parti interessate.

Il campo di applicazione determina i prodotti e i servizi, i siti, le funzioni, i processi e le attività cui il BCMS si applica. Da ciò consegue che tutte le dipendenze saranno comprese nel campo di applicazione, anche se non sono state esplicitamente identificate nella dichiarazione di campo di applicazione.

Per esempio, se “salari dei dipendenti” è specificato nel campo di applicazione, per default la disponibilità di fondi, l’approvazione della direzione e le istruzioni alle istituzioni finanziarie per effettuare i pagamenti rientrano entro il campo di applicazione.

27

Requisito 4 : Campo di Applicazione

28

Esempio di “parti interessate”

29

PLAN







Politica


6 Pianificazione


7 Supporto

Risorse

Competenze

Consapevolezza


DO






CHECK



• Audit interno


ACT

10 Miglioramento




Requisito 5 Leadership

Il top management deve dimostrare un impegno continuo per il Sistema di

Gestione della Business Continuity (BCMS).

La responsabilità avviene:– assicurando la compatibilità del BCMS con la direzione strategica

dell'organizzazione

– integrando i requisiti del BCMS nei processi di business dell'organizzazione

– fornendo le risorse necessarie per il BCMS

– comunicando l'importanza della gestione della continuità aziendale efficace– assicurando che il BCMS raggiunga i risultati attesi

– gestendo e sostenendo il miglioramento continuo;

– stabilendo e comunicando una politica di continuità aziendale;

– assicurando che siano stabiliti obiettivi e piani del BCMS

– assicurando l'assegnazione delle responsabilità e autorità per ruoli rilevanti

30

ISO 22301:2012

Requisito 5 Leadership

5.1 Generalità sulla capacità della Direzione

Orientare – pianificare - controllare la gestione

Mantenere allineati i comportamenti individuali e la strategia

delle operazioni e della continuità

5.2 Impegno della Direzione

Sviluppare organicamente la Strategia del business e politica

della continuità

Mettere a disposizione risorse adeguate alla strategia

5.3 Politica del BCMS

5.4 Ruoli, strutture, responsabilità autorità

31

ISO 22301:2012

a) Principi generali circa lo scopo del BCM

b) Criteri di finanziamento del progetto BCM

c) Principi, linee guida

d) Standard di riferimento

e) Prodotti/servizi esclusi, ubicazioni non incluse

f) Responsabilità per outsourcers

5.3 Politica del BCMS

32

ISO 22301:2012

Un Modello utilizzato per aiutare a definire i Ruoli e le Responsabilità.

33

RUOLI E RESPONSABILITÀ: MODELLO RACI

REGOLE DI COMPILAZIONE:

•Solo un A (accountable)•Deve esserci sempre un A (che può essere definito anche a livello di processo)•Posso attribuire + R…le responsabilità possono essere condivise solo se i ruoli sono sufficientemente chiari•Devo attribuire almeno un R•C e I solo se necessari…è necessario consultare altre persone? Sono stati identificati dei canali di comunicazione con altre persone?

34

RUOLI E RESPONSABILITÀ: MODELLO RACI

35

PLAN







Politica


6 Pianificazione


7 Supporto

Risorse

Competenze

Consapevolezza


DO






CHECK



• Audit interno


ACT

10 Miglioramento




Requisito 6 - Pianificazione della realizzazione del BCMS

In coerenza con il quadro strategico e culturale si definiscono gli

obiettivi a lungo, medio e breve termine.

6.1 Azioni di indirizzamento del rischio ed opportunità - Rischi di

progetto

Fattori inibitori

Criteri per assicurare il miglioramento continuo

6.2 Obiettivi di BC e piani per il raggiungimento - Piani organici e

completi

Obiettivi definiti e misurabili, derivati dalla policy

Individuazione dei prodotti e servizi critici in ambito

Assegnazione obiettivi ai responsabili aziendali

Macro piano attività, risorse e criteri di completamento

36

ISO 22301:2012

Azioni indirizzate a rischi e opportunità

Obiettivi della continuità operativa

Obiettivi della continuità operativa: esempi

40

PLAN







Politica


6 Pianificazione


7 Supporto

Risorse

Competenze

Consapevolezza


DO






CHECK



• Audit interno


ACT

10 Miglioramento




Nel requisito 7 sono dettagliati gli elementi essenziali per sostenere la definizione , l'implementazione , l'esercizio ed il mantenimento del Sistema di Gestione della Business Continuity (BCMS)

Tra questi:•I requisiti delle risorse coinvolte/utilizzate•Le competenze del personale coinvolto•Consapevolezza•La sensibilizzazione e le caratteristiche relative alla comunicazione con gli stakeholders•I requisiti per la gestione della documentazione

La gestione quotidiana di un efficace business continuity management system (BCMS) si basa sull'utilizzo di risorse appropriate per ogni attività.

Requisito 7 – Elementi chiave di Supporto

41

ISO 22301:2012

Per eseguire con successo i piani è necessario il supporto dell'organizzazione in termini di:

7.1 Risorse Finanziarie, di conoscenza e di altro tipoQueste includono personale competente con rilevante (e dimostrabile) formazione e supporto ai servizi, consapevolezza e comunicazione.

7.2 Competenze,Analisi dei fabbisogni e dei gap, obiettivi formativi

7.3 Consapevolezza7.4 Sistema di comunicazioni interne/esterne

Comunicazioni interne ed esterne dell'organizzazione devono essere trattate in questo requisito, incluso il formato, il contenuto e la corretta tempistica di tali comunicazioni.

7.5 Sistema documentaleIl tutto deve essere supportato da informazioni documentate adeguatamente gestite.

Requisito 7 - Supporto

42

ISO 22301:2012

Requisito 7 – Supporto

7.5 Sistema documentale

Necessità di gestire la documentazione con un sistema controllato (7.5) come previsto per le altre norme ISO, che assicuri la presenza dei documenti minimi specificati nei vari capitoli/paragrafi della norma. I principali documenti sono stati indicati in apertura di questo capitolo. L'estensione della documentazione può variare in funzione della complessità dell'organizzazione

Nota: secondo le indicazione della ISO Guide 83 non si parla più di procedure documentate o registrazioni, ma di informazioni documentate.

Nella ISO 22313 è proposto un elenco esaustivo della documentazione da prevedere.

43

ISO 22301:2012

Requisito 7 – Supporto Documentazione richiestaSi deve definire per ogni rischio collegabile alla Gestione della Business Continuity una serie di documenti relativi a:

• Politica di BC • Modello di funzionamento dell'organizzazione a cui si applica il sistema BC. • Processo per garantire la conformità a requisiti legali e regolamentari• Ambito dell'organizzazione a cui si applica il sistema BC• Piano della comunicazione• Obiettivi del sistema (scritti e quantificabili)• Business Impact Analysis (BIA): analisi dell'organizzazione ed individuazione dei

prodotti/servizi/processi critici e loro priorità in funzione dell'impatto e dei vari scenari di rischio

• Risk assessment: definizione di quali prodotti/servizi/processi saranno oggetto di soluzioni BC

• Strategie di progettazione della soluzione BC e dimensionamento risorse• Piano di gestione incidenti (per minimizzare l'evento), • Piano per il ripristino di servizi/processi• Piano per il ritorno alla normalità• Evidenza dei test dei piani BC• Evidenza del monitoraggio del sistema, degli audit, dei riesami di direzione, del ciclo di

miglioramento44

ISO 22301:2012

45

PLAN







Politica


6 Pianificazione


7 Supporto

Risorse

Competenze

Consapevolezza


DO






CHECK



• Audit interno


ACT

10 Miglioramento




Un BCM comprende i seguenti elementi

46

ISO 22301:2012 – L’operatività

8.1 Pianificazione e controlli operativi

L’efficacia della pianificazione e dei controlli operativi rappresenta il punto focale della gestione per la continuità operativa. Questa attività dovrebbe essere guidata da un responsabile individuato dall’alta direzione.

-La gestione dell’ambiente BCM (obiettivi, ruoli, costi, documenti, ecc.)-Mantenimento e aggiornamento; programmi di esercitazioni; riesame, …-Misurazione dell’efficacia, monitoraggio, audit, …

8.1 Pianificazione e controlli operativi: audit (8.1.5)

Quali elementi di efficacia dovrebbe riscontrare un’audit?

a) la garanzia che l’obiettivo, i ruoli e le responsabilità per la gestione per la continuità abbiano una costante rilevanza;b) la promozione e l’inserimento dell’operatività in tutte le aree dell’organizzazione e altre parti interessate, laddove appropriato;c) la gestione dei costi associati con la continuità operativa;d) lo stabilire e tenere sotto controllo la gestione del cambiamento e i regimi successivi di gestione, all’interno del sistema di del BCMS;e) l’allestimento o la somministrazione di appropriato addestramento per il personale, inclusa la sensibilizzazione; ef) il mantenimento della documentazione del programma, in modo che sia appropriata alla dimensione e alla complessità dell’organizzazione.

8.2 Analisi dell’impatto sull’operatività e valutazione del rischio

È possibile giungere a una comprensione delle priorità e dei requisiti della continuità operativa, grazie a un’analisi dell’impatto sull’operatività (business impact analysis - BIA) e una valutazione del rischio. L’analisi dell’impatto sull’operatività consente all’organizzazione di stabilire delle priorità nella ripresa, legata alle attività che supportano i suoi prodotti e servizi.

La valutazione del rischio facilita la comprensione dei rischi connessi alle attività primarie e le interconnessioni con le conseguenze anche potenziali di un evento destabilizzante. Questa comprensione permette all’organizzazione di individuare le appropriate strategie di continuità operativa.


L’obiettivo di un’analisi dell’impatto sull’operatività è:

- comprendere quali sono i prodotti e servizi principali dell’organizzazione e le attività che permettono di fornirli;- determinare le priorità e i tempi necessari per riprendere l’attività (RTO);- identificare le risorse principali che sono probabilmente necessarie per la ripresa della operatività;- identificare le dipendenze, le correlazioni tra attività sia interne sia esterne (inclusi i fornitori);- la stima del tempo necessario perché l’impatto associato con la destabilizzazione sull’attività dell’organizzazione possa diventare inaccettabile (MAO, MTPD);- il minimo livello di servizi o prodotti accettabile (MBCO);- valutare gli impatti.

Requisito 8.2.2 Business Impact Analysis (BIA)

Focus on risk reduction

Balancedcontinuityapproach

Critical

High

Medium

Low

1 week 2 weeks 3 weeks 4 weeks 5 weeks

Time

Im pa ct

Focus on recovery

BIA – Grafico di impatto sul

Business

Un output dell'attività della BIA può

identificarsi in un grafo che prevede

gli impatti causati dalla perdita di un

processo o di un servizio nel corso

del tempo

Con la BIA si identificano le funzioni di business vitali e le loro dipendenze. Queste

dipendenze possono includere fornitori, persone, processi altre aziende, servizi, ecc. La

Business Impact Analysis definisce i requisiti di ripristino. Questi requisiti includono

obiettivi dei tempi di recupero, gli obiettivi di recupero e punti di obiettivi minimi livelli di

servizio per ciascun servizio.

51

ALTO IMPATTO

BASSO IMPATTO

Impatti: spesso l’unico risultato della BIA

BIA e valutazione del rischio per comprendere chi siamo


Cosa dire del rischio che già non sia stato detto.

Il problema non è cosa si dice o si ascolta, il problema è capire che senza una attento, continuo e gestito processo di governo dei rischi non si può organizzare una risposta efficace ed efficiente.

Anche se a volte può funzionare, la fortuna non è una misura di sicurezza.

Con la BIA identifico processi, i tempi, ecc.; con l’analisi del rischio valuto i rischi; solo attraverso questo percorso posso identificare e gestire una strategia di Business Continuity, che sia realmente utile.

8.3 Strategia di continuità operativa

Identificare azioni necessarie per tenere sotto controllo i risultati dell’analisi dell’impatto sulla continuità e della valutazione di rischio, in modo tale da soddisfare gli obiettivi di continuità operativa dell’organizzazione; in altre parole: Quale strategia adottare? Quali opzioni?

Qui si determinano le scelte concrete di BC. Ad esempio:

•suddividere le linee di produzione e fabbricazione in due diversi siti;•installare un generatore elettrico;•trasferire l’attività a un soggetto terzo (anche se la responsabilità rimane all’organizzazione delegante);•creare una capacità di riserva nei magazzini;•temporanea modifica dei cicli di lavoro: alcune attività possono adottare un modo diverso di lavorare che permette di ottenere risultati accettabili per un tempo limitato.

8.3.1.5 La continuità operativa dei fornitori

L’organizzazione deve accertarsi che i fornitori abbiano valutato la loro capacità dicontinuità operativa.L’organizzazione può concentrare i suoi sforzi sui fornitori che, nonessendo in grado di fornire, potrebbero causare più rapidamente una destabilizzazionedelle attività prioritarie.

Le tecniche possono includere:- una specifica dei requisiti da inserire in bandi di gara e contratti;- audit periodici dei piani del fornitore;- degli esercizi di continuità operativa congiunti.

Esclusioni

Prima di proseguire è bene chiarire una cosa:

Le opzioni strategiche di continuità operativa per stabilizzare, continuare, riprendere o recuperare un’attività prioritaria possono talvolta essere estremamente costose.

Quando l’organizzazione ritiene che possa verificarsi questo caso, dovrebbe scegliere o strategie alternative che siano economicamente accettabili e soddisfino gli obiettivi di continuità operativa, oppure indicare che i prodotti e servizi coinvolti sono esclusi dall’obiettivo del BCMS.

8.3.2 La definizione delle risorse

• Una volta decise le azioni (quali strategie attuare) si devono determinare con chi e con cosa dare seguito a queste azioni.

• Persone, squadre di intervento o singoli individui

• Informazioni e dati ( →RPO)

• Edifici, ambienti di lavoro e apprestamenti associati

• Locali, attrezzature, materiale di consumo

• Sistemi tecnologici (ICT)

• Trasporti

• Mezzi finanziari

• Fornitori

Un breve approfondimento sulle informazioni e i dati: la distanza

Se l’informazione duplicata è archiviata in una posizione troppo vicina alla copia originale, l’eventodestabilizzante può compromettere la sua integrità e impedire l’accesso. Tuttavia, il fatto che l’informazione siaarchiviata a grande distanza può opporsi al fatto che essa sia rapidamente disponibile quando necessario.È appropriato avere a disposizione un’evidenza scritta di come questi due elementi conflittuali sono stati risolti.

8.4 Predisposizione e attuazione di procedure per la BC

Il fatto di attuare delle procedure per la continuità operativa permette di

•creare una struttura di risposta a un incidente (punto 8.4.2),•i mezzi per individuare e fronteggiare un incidente (punto 8.4.3),•i piani di continuità operativa (punto 8.4.4) e•le procedure per il ritorno alla normale operatività (punto 8.4.5).


• Molta importanza viene data alla modalità di allerta e comunicazione, sia per quanto riguarda la definizione di procedure per la comunicazione degli incidenti, sia nel merito della individuazione degli strumenti per la comunicazione degli incidenti.

• Una valutazione dei canali di comunicazione che potrebbe essere stati coinvolti nell’incidente è richiesta.

• La ISO 22313 dimostra tutta la sua validità come guida alla produzione e gestione della documentazione e alla predisposizione di procedure operative.

8.4.4 Piani di continuità operativa

L’organizzazione «dovrebbe» definire delle procedure documentate che permettano all’organizzazione di rispondere a un incidente e trattare in modo appropriato la ripresa e il recupero delle proprie attività.

Queste procedure dovrebbero prendere in considerazione tutti gli aspetti della risposta a un incidente, con particolare attenzione ai problemi di salvaguardia della vita umana, e dovrebbero prendere in considerazione i requisiti di tutti coloro che utilizzeranno questi aspetti.

Per determinare questi requisiti, può essere appropriato:

- coinvolgere coloro che utilizzeranno le procedure nello sviluppo delle stesse;- utilizzare le informazioni ottenute durante le fasi di esercitazioni e le lezioni apprese durante precedenti eventi destabilizzanti.

La scala dei tempi e i livelli di prestazioni dovrebbero essere basati sulle informazioni raccolte durante l’analisi di impatto sull’operatività (punto 8.2.2) e la strategia di continuità operativa che è stata prescelta (punto 8.3.1).

8.4.4 Piani di continuità operativa: dettagli puntuali

• 8.4.4.2 Contenuto dei piani di CO

• 8.4.4.3 Tipi specifici di procedure

• 8.4.4.3.1 Procedure per la gestione dell’incidente e la gestione strategica

• 8.4.4.3.2 Procedure di comunicazione• 8.4.4.3.3 Procedure di sicurezza e tutela del benessere• 8.4.4.3.4 Procedure di salvataggio e sicurezza• 8.4.4.3.5 Procedure per la ripresa dell’attività• 8.4.4.3.6 Ripristino dei sistemi ICT (ulteriori linee guida

possono essere trovate nella ISO 27031)

8.4.5 Recupero

L’organizzazione dovrebbe disporre di procedure documentate per il ripristino dell’attività operativa, passando dalle misure temporanee, adottate dopo un incidente, sino al ripristino dell’attività normale. Queste procedure dovrebbero affrontare i requisiti pertinenti per gli audit e per la governance societaria.

L’obiettivo del recupero è quello di riprendere le attività operative in grado di supportare la normale attività aziendale, a seguito di un evento destabilizzante. Il ritorno alla normalità può essere ottenuto mediante:

- la riparazione dei danni conseguenti all’incidente;- la migrazione delle attività da ubicazioni temporanee sino all’ubicazione principale della attività recuperata; o- lo spostamento in una nuova ubicazione.

Una decisione su come meglio “ritornare alla normalità” va assunta sulla base della gravità del danno causato dell’incidente e da una stima di quanto tempo ci vorrà per poter attivare le appropriate attrezzature.

Procedura di recupero: dettaglio esemplificativo

Le procedure documentate dovrebbero dare una dettagliata valutazione della situazione e del suo impatto e dovrebbero individuare i vari passi necessari per il recupero. Durante il recupero, l’organizzazione può aver bisogno di:

a) definire le risorse di recupero e relative infrastrutture;b) riprendere l’attività nelle infrastrutture di recupero;c) riparare le attrezzature danneggiate;d) assicurarsi la disponibilità di finanziamenti per le attrezzature di emergenza;e) recuperare le attrezzature che si trovano nei siti danneggiati;f) attivarsi per il recupero dei danni a fronte di esistenti polizze assicurative;g) ottenere manodopera supplementare a supporto dello sforzo di recupero;h) selezionare opzioni per il ritorno alla normalità;i) spostare le attività in siti recuperati;j) recuperare informazioni documentate eventualmente smarrite;k) comunicare con soggetti terzi coinvolti, con la frequenza appropriata;l) normalizzare le attività negli insediamenti recuperati;m) sviluppare un riesame delle attività a seguito del recupero; en) sviluppare una analisi sui propri comportamenti secondo i requisiti della governanceaziendale.

8.5 Esercitazioni e test

Le procedure di continuità operativa di un’organizzazione e le relative predisposizioni non possono essere considerate affidabili finché non vengano verificate con esercitazioni e il loro aggiornamento non sia garantito.

L’esercitazione è essenziale per garantire che le strategie, le politiche, i piani e le procedure che sono state attuate, siano adeguate e possano soddisfare gli obiettivi di continuità operativa.

Le esercitazioni sviluppano il lavoro di squadra, la competenza, la fiducia e la conoscenza e dovrebbero includere coloro che possono aver bisogno di utilizzare le procedure.

Il programma di esercitazionePer quanto le procedure sembrino essere elaborate e meditate con accuratezza, una serie di efficaci e realistiche esercitazioni potranno identificare aree di miglioramento. Un programma di esercitazioni dovrebbe essere coerente con l’obiettivo delle procedure di continuità operativa, prestando appropriata attenzione a ogni applicabile disposizioni di legge o regolamento.

8.5.3 Esercitazioni afferenti ai piani di continuità operativa

Le esercitazioni possono essere allestite in una varietà di differenti formati. La decisionecirca la idoneità del tipo di esercitazione dipende dal contesto del BCM, gli obiettividell’esercitazione, il budget, la disponibilità dei partecipanti e il livello di tolleranzadell’organizzazione a possibili sconvolgimenti operativi, causati dallo svolgimentodell’esercitazione.

I principali tipi di esercitazioni sono descritti nella ISO 22398 (Societal security -Guidelines for exercises).

Come parte dell’esercitazione, dovrebbe essere pianificato un riesame con tutti ipartecipanti, per discutere gli argomenti evidenziati e le lezioni apprese. Questainformazione dovrebbe essere documentata e dovranno essere apportati degliaggiornamenti alle procedure, secondo necessità.

L’organizzazione dovrebbe fissare un debriefing dopo l’esercitazione, per analizzare ilraggiungimento degli obiettivi dell’esercitazione. A seguito dell’esercitazione, dovrebbeessere elaborato un rapporto con raccomandazioni e scadenze temporali per le loroattuazione.

L’importanza di eseguire test ed esercitazioni

ISO 22398:2013Societal security — Guidelines for exercises

Relation between exercise programme, exercise projects and continual improvement

71

Possibili modalità di test

72

PLAN







Politica


6 Pianificazione


7 Supporto

Risorse

Competenze

Consapevolezza


DO






CHECK



• Audit interno


ACT

10 Miglioramento




73

PLAN







Politica


6 Pianificazione


7 Supporto

Risorse

Competenze

Consapevolezza


DO






CHECK



• Audit interno


ACT

10 Miglioramento




74

Cosa comporta il BCM …

… in altre parole, cosa ci si dovrebbe aspettare da un’organizzazione con un BCM efficacemente gestito?

chiarezza sui prodotti e servizi principali dell’organizzazione e sulle attività che permettono di fornirli (SLA management);

conoscenza delle priorità necessarie per riprendere l’attività e le risorse necessarie;

chiara comprensione delle minacce a queste attività, incluse le attività dipendenti e la conoscenza dell’impatto, ove esse non vengano riattivate;

predisposizione di piani verificati e affidabili che permettano di riprendere queste attività a seguito di un evento destabilizzante; e

certezza che questi piani siano regolarmente riesaminati ed aggiornati in maniera che possano essere effettivi a fronte di ogni circostanza.

Cosa fare per Certificarsi

gli elementi principali che devono essere predisposti:

❖Scopo, Contesto e Politica

❖BIA (Business Impact Analisys)

❖Risk Assessment

❖Piani e Test

❖Gestione Fornitori

75

Cosa DEVE fare una Organizzazione per Certificarsi

Documentazione ESSENZIALE:

gli elementi principali che devono essere predisposti:

✓Determinazione del contesto dell'organizzazione

✓Procedura per l'individuazione dei requisiti di legge e dei regolamenti

applicabili

✓Elenco dei requisiti di legge, regolamentari e di altro

✓Campo di applicazione della BCMS (Business Continuity

Management System) e la spiegazione delle esclusioni

✓Politica di business continuity

✓Obiettivi di business continuity

76



…segue:

✓Competenze del personale (destinato alla B.C.)

✓La comunicazione con le parti interessate

✓Processo per la BIA e la valutazione del rischio

✓Risultati della BIA

✓I risultati della valutazione dei rischi

✓Procedure di business continuity

✓Procedure di risposta agli incidenti

77



…segue:

✓Decisione se i rischi e gli impatti devono essere comunicati all'esterno

✓La comunicazione con le parti interessate, tra cui il sistema di allerta

rischio nazionale o regionale

✓Registrazione delle informazioni importanti circa l'incidente, le azioni

intraprese e le decisioni prese

✓Procedure di risposta agli incidenti distruttivi

✓Le procedure per il ripristino e il rientro dell'operatività dalla situazione

temporanea di emergenza

✓I risultati di interventi volti a risolvere risultati negativi o tendenze

78



…segue:

✓Dati e risultati del monitoraggio e della misurazione

✓I risultati della revisione post-incidente

✓I risultati degli audit interni

✓Risultati del riesame della direzione

✓Natura delle non conformità e delle azioni intraprese

✓Risultati delle azioni correttive

79


80

ISO 22300, Societal security — Terminology

ISO 22301, Societal security — Business continuity management systems —Requirements

ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance

ISO 22320, Societal security — Emergency management — Requirements for incident responseISO 22398:2013 Societal security -- Guidelines for exercisesISO 31000, Risk management — Principles and guidelinesISO Guide 73, Risk management — VocabularyISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuityISO 19011, Guidelines for auditing management systems

Bibliografia

iso:std:iso:22300:en




iso:std:iso:guide:73:en

iso:std:iso-iec:27031:en


81

Business Continuity Management. Gli standard ISO 22301 e ISO

22313

Workshop formativo

Padova, 28 aprile 2016

Grazie dell’attenzione

Ing. Bruno Bernardi

([email protected])

Business Continuity Management. Gli standard ISO 22301 e ... · OK! MTPD e RTO (A) Time Service...

Documents

Transcript of Business Continuity Management. Gli standard ISO 22301 e ... · OK! MTPD e RTO (A) Time Service...