MODULO 28 –> La Business Continuity Management

51
Insegnamento di Informatica – a.a. 2015-16 La Business Continuity Management INSEGNAMENTO DI INFORMATICA – A.A. 2015-16 Francesco Ciclosi Macerata, 18 dicembre 2015

Transcript of MODULO 28 –> La Business Continuity Management

Page 1: MODULO 28 –> La Business Continuity Management

Insegnamento di Informatica – a.a. 2015-16

La Business Continuity Management

INSEGNAMENTO DI INFORMATICA – A.A. 2015-16

Francesco Ciclosi

Macerata, 18 dicembre 2015

Page 2: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

La Business Continuity Management

1. Scopo

2. Componenti

3. Fasi

4. Indirizzi strategici

5. Domini d’intervento

Page 3: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

1. Scopo

Lo scopo di un sistema di Business Continuity

Management consiste nel garantire la

continuità dei processi dell’organizzazione

prevenendo e minimizzando:

• l’impatto derivante da incidenti intenzionali o

accidentali

• gli eventuali danni che potrebbero scaturire dal

verificarsi degli incidenti

Page 4: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Metodologie Il metodo utilizzato deve essere funzionale a:

• il valore associato ai processi da proteggere

• la qualità dei servizi erogati tramite il supporto offerto

dall’infrastruttura di ICT

Il sistema di BCM va implementato considerando

la necessità di garantire la continuità del supporto

delle tecnologie ICT a quei processi che

consentono l’erogazione dei servizi core

dell’organizzazione

Page 5: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Eventi che potrebbero inficiare la CO (1/2)

Eventi imprevisti atti a compromettere l’operatività dei sistemi • Es: incendi, allagamenti, interruzione nell’erogazione

dell’energia elettrica

Malfunzionamenti dei componenti hardware e software • Es: guasto delle memorie di massa, crash del sistema

operativo o di un applicativo

Introduzione involontaria di componenti dannosi per il sistema informativo automatizzato • Es: virus, worm, trojan horse, ransomware, malware

Page 6: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Eventi che potrebbero inficiare la CO (2/2)

Errori operativi effettuati dal personale incaricato della gestione e/o dagli utenti finali • Es: errato inserimento dei dati, cancellazione accidentale

dei dati

Atti dolosi volti a ridurre la disponibilità delle informazioni • Es: cyber crime, sabotaggio, frode, interruzione dei

collegamenti, diffusioni di virus, furto di identità elettronica, accesso non autorizzato, diffusione di dati riservati

Page 7: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

2. Componenti (1/2)

crisis ed incident management (dominio delle emergenze contingenti) • si preoccupa di assicurare la gestione dello stato di crisi,

nonché la risposta agli incidenti, nel caso si concretizzi il verificarsi di un evento atto a compromettere la continuità operativa

continuity management (dominio delle emergenze) • si preoccupa di assicurare la continuità dei processi,

durante e a seguito del verificarsi di un emergenza, mediante la predisposizione di apposite procedure atte a sostituire temporaneamente quelle normalmente supportate dall’infrastruttura tecnologica ICT

Page 8: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

2. Componenti (2/2)

disaster recovery management (dominio delle emergenze) • si preoccupa di assicurare il ripristino delle infrastrutture

tecnologiche a supporto dei processi di business dell’organizzazione

business recovery management (dominio delle emergenze) • si preoccupa di assicurare il ripristino dei processi di

business dell’organizzazione a seguito del verificarsi di un emergenza, nonché il susseguente ritorno alla normalità

Page 9: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

3. Fasi (1/2)

Progettazione del sistema di BCM • prevede la pianificazione e il disegno degli aspetti

organizzativo-tecnologici dell’intero sistema

Implementazione del sistema di BCM • prevede l’implementazione del sistema

precedentemente progettato

• richiede particolare attenzione alle problematiche inerenti la formazione specifica sulle procedure e sui piani

Page 10: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

3. Fasi (2/2) Monitoraggio del sistema di BCM

• prevede la realizzazione di test e simulazioni dei piani

• prevede l’esecuzione di specifici audit periodici

• con lo scopo di monitorare l’efficacia del sistema precedentemente implementato

Mantenimento e ottimizzazione • prevede l’analisi dei feed-back derivanti dalla fase di

monitoraggio

• prevede l’esame di ulteriori requisiti interni e esterni sopraggiunti nel frattempo

• al fine di avviare un nuovo ciclo progettuale volto a garantire l’evoluzione del sistema

Page 11: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

4. Indirizzi strategici (1/2)

Nel corso di ogni singola fase del sistema di BCM bisogna attenersi ad alcuni indirizzi di tipo strategico: a) considerazione delle logiche di gestione della continuità

quale parte integrante della gestione delle attività di cui ciascuna organizzazione è titolare

b) sviluppo di un processo di gestione della continuità sulla base degli impatti che i processi e le infrastrutture di supporto hanno sulle attività dell’organizzazione

c) garanzia di un adeguato insieme d’interventi tecnologico-organizzativi sulla base di un approccio che tenga in debita considerazione il rapporto costi/benefici

Page 12: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

4. Indirizzi strategici (2/2) d) disegno di un’idonea struttura di responsabilità, con

attribuzione esplicita delle responsabilità addizionali ai ruoli già esistenti, o a altri definiti appositamente

e) garanzia del coordinamento e dell’integrazione tra le attività di analisi e gestione dei rischi operativi e quella di gestione dell’emergenza

f) garanzia del recepimento delle nuove logiche di gestione della continuità come patrimonio dell’organizzazione, nonché come parte integrante della cultura organizzativa;

g) valutazione della possibilità di delegare in outsourcing, previa corretta definizione e gestione dei livelli di servizio, una porzione dell’infrastruttura tecnologica

Page 13: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

È FONDAMENTALE

adottare la soluzione che risulti più equilibrata,

valutando tutte le possibili alternative

in particolare

quelle correlate ai tempi di ripartenza e di

ripristino

Page 14: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

5. Domini d’intervento (1/2)

Un sistema di sicurezza delle informazioni può

essere suddiviso in tre macro aree, o domini,

che riflettono le tipologie di intervento

necessarie a fronte delle categorie di minacce

(naturali, umane, tecnologiche) che possono

realizzarsi

Page 15: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

5. Domini d’intervento (2/2)

Analizzando le correlazioni occorse tra i domini e

gli ambiti d’intervento è possibile osservare che:

• le variabili relative alla probabilità degli eventi e alla

severità del danno sono stimate durante lo svolgimento

del processo di analisi dei rischi

• nell’ambito della successiva fase di gestione dei rischi

sono fornite le indicazioni inerenti l’approccio adottato,

ovvero se e come gli stessi rischi andranno affrontati

Page 16: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Modus Operandi dei tre domini (1/2)

Realizzazione di un sistema di protezione

• nel caso in cui l’evento sia altamente probabile, ma

non distruttivo

Dotazione di idonei strumenti organizzativi e

tecnologici atti a garantire il processo di

gestione degli incidenti

• nel caso in cui siano paventate delle violazioni alla

sicurezza

Page 17: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Modus Operandi dei tre domini (2/2)

Creazione di una struttura organizzativa,

tecnologica e logistica dedicata al Disaster

Recovery e alla Business Continuity

• per le sole emergenze derivanti da eventi disastrosi

Page 18: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Page 19: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Dominio della prevenzione

In tale ambito rientrano tutte quelle misure di

protezione contro eventuali attacchi o violazioni

alle informazioni

Coincide con il dominio d’intervento delle

misure di sicurezza generali

Page 20: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Dominio delle emergenze contingenti

In tale ambito rientrano tutte quelle misure di

protezione tecnologiche, amministrative e

organizzative atte a garantire la reazione ai

malfunzionamenti e alle violazioni della sicurezza

Coincide con il dominio d’intervento per la

gestione dei guasti e per la gestione degli

incidenti

Page 21: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Dominio dell’emergenza

In tale ambito rientrano tutte quelle misure e

attività atte a ripristinare la normalità operativa a

seguito di eventi disastrosi

Coincide con il dominio d’intervento della

Business Continuity Management

• (della quale fanno parte sia il Business Continuity

Plan – BCP che il Disaster Recovery Plan – DRP)

Page 22: MODULO 28 –> La Business Continuity Management

Insegnamento di Informatica – a.a. 2015-16

Raccomandazioni per la redazione del

Business Continuity Plan

Page 23: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Le fasi operative della realizzazione del BCP

1. Definizione degli obbiettivi e delle ipotesi

2. Definizione della Business Impact Analysis

3. Definizione del progetto del piano e suo sviluppo

4. Realizzazione del piano

5. Test del piano

6. Manutenzione del piano

7. Esecuzione del piano nell’ambito del dominio dell’emergenza

Page 24: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Business Continuity Plan: definizione

Il business continuity plan può essere definito

come l’insieme delle misure e dei controlli di

tipo organizzativo-procedurale atti a

garantire, seppur in forma ancora minimale, la

continuità nonché il ripristino dei processi

ritenuti chiave per l’organizzazione

Page 25: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

BCP Vs DRP

Il Disaster Recovery Plan (DRP) si configura

come una «semplice» appendice del BCP avente la

funzionalità e lo scopo di assicurare il sostegno a

quei processi ritenuti vitali per l’organizzazione

• nei momenti coincidenti con l’accadimento dell’evento

disastroso atto che ha determinato lo stato

d’emergenza

• in quelli successivi e comunque fino al completo

ripristino di una situazione di normalità

Page 26: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

1. Definizione degli obbiettivi e delle ipotesi

Si compone di tutte quelle attività atte a definire

correttamente gli obbiettivi che il costituente

piano si prefigge di raggiungere

In tale fase verrà costituito un apposito Comitato

• che fungerà da riferimento nella realizzazione

dell’opera

• che provvederà alla soddisfazione di vari

adempimenti

Page 27: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

2. Definizione della business impact analysis

Si compone di tutte quelle attività atte alla corretta

identificazione di:

• processi ritenuti critici per l’organizzazione

• dipendenze tra i processi critici

• tecnologie utilizzate a supporto dei processi critici

• informazioni vitali per l’organizzazione da registrare

• risorse umane da coinvolgere

• valorizzazione degli impatti che un evento disastroso

può avere sull’organizzazione

Page 28: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

3. Definizione del progetto e suo sviluppo

Si compone di tutte quelle attività atte alla

corretta definizione delle strategie operative

specifiche per ogni tipo di possibile

accadimento disastroso

• La strategia tecnico/organizzativa scelta dovrebbe

garantire il più rapido ripristino operativo dei

processi critici per minimizzare le conseguenze

dell’evento disastroso

Page 29: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

4. Realizzazione del piano

Si compone di tutte quelle attività atte al

corretto sviluppo e alla corrispondente

documentazione di tutti i processi di ripristino

atti a garantire la Business Continuity

I processi devono essere formulati secondo

modalità tali da consentirne la regolare

esecuzione in situazioni di estrema emergenza

dell’accadimento disastroso

Page 30: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

5. Test del piano

Si compone delle attività per garantire la corretta

progettazione e implementazione di test e

esercitazioni atte a verificare che il BCP funzioni

così come è stato progettato

Qualora il test del piano di BCP non sia eseguito su

base regolare, non è possibile sapere se in caso di

emergenza lo stesso sia in grado di operare come

previsto e garantire la sopravvivenza

dell’organizzazione al disastro

Page 31: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

6. Manutenzione del piano

Si compone di tutte quelle attività atte al

corretto mantenimento del livello di

aggiornamento del piano, anche in base ai

feedback derivanti dalla precedente fase di test

Page 32: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

7. Esecuzione del piano in emergenza

Si compone di tutte quelle attività atte alla

corretta realizzazione della gestione della crisi in

corso

Page 33: MODULO 28 –> La Business Continuity Management

Insegnamento di Informatica – a.a. 2015-16

Raccomandazioni per la realizzazione

del Disaster Recovery Plan

Page 34: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Disaster Recovery Plan: definizione

DRP si riferisce a un piano focalizzato sull’ICT per

ripristinare l’operatività di un sistema, di

un’applicazione o di un centro elaborativo in un sito

alternativo dopo un emergenza

In particolare non si riferisce quindi a interruzioni

minori che non richiedono rilocazione di sito

DEFINIZIONE tratta dal documento “Proposte concernenti le strategie in materia di sicurezza informatica e delle

telecomunicazioni (ICT) per la Pubblica Amministrazione” redatto dal “Comitato tecnico nazionale sulla sicurezza informatica

e delle telecomunicazioni nelle pubbliche amministrazioni”

Page 35: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

DRP – Momenti fondamentali

Esistono alcuni momenti fondamentali che

andrebbero assolutamente vagliati nella

realizzazione di un disaster recovery plan:

1. classificazione dei livelli di disastro

2. classificazione dei sistemi e delle applicazioni in

termini di criticità

3. valutazione delle strategie di ripristino

Page 36: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

1. Classificazione dei livelli di disastro (1/2) Esistono tre distinti livelli di un accadimento

disastroso sulla base degli effetti da questo generati e degli sforzi a cui l’organizzazione è chiamata per garantire il ripristino di una situazione di normalità: • primo livello – riferito a un accadimento disastroso che

coinvolge una singola locazione e che in alcuni casi potrebbe comportare la parziale distruzione delle operazioni quotidianamente svolte

o Si può procedere al ripristino di una situazione di normalità utilizzando personale del sito ed effettuando localmente delle attività di ripristino

o È possibile prevedere la possibile rilocazione di alcune funzioni o di alcune risorse umane

Page 37: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

1. Classificazione dei livelli di disastro (2/2) • secondo livello – riferito a un accadimento disastroso

che coinvolga più locazioni (o aree operative) e che potrebbe comportare la distruzione delle operazioni svolte giornalmente con conseguente necessità di eseguire off-site i processi critici

o È possibile che il personale dell’organizzazione cerchi assistenza all’esterno

o Il coordinamento di tutte le operazioni di ripristino dovrà necessariamente essere coordinato dall’interno

• terzo livello – riferito a un accadimento disastroso che coinvolga un territorio molto vasto

o È necessario l’utilizzo di risorse e assistenza esterna

o Il completo ripristino potrebbe essere molto lungo

Page 38: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

2. Classificazione dei sistemi e delle

applicazioni in termini di criticità

Esistono 4 distinte tipologie di sistemi a seconda del

loro livello di criticità, nonché della tolleranza in

caso d’interruzione; in ordine crescente di sensibilità

sono:

a) sistemi non critici

b) sistemi delicati

c) sistemi vitali

d) sistemi critici

Page 39: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Sistemi non critici

Sono caratterizzati dalla possibilità

d’interromperne le relative funzioni con un

costo pressoché nullo per l’organizzazione

In tal caso anche il costo di ripartenza associato

risulterà trascurabile

Page 40: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Sistemi delicati

Sono caratterizzati dalla possibilità di eseguirne

le relative funzioni manualmente per un lungo

lasso temporale e a costi ritenuti accettabili

Sebbene tali funzioni possano essere espletate

anche manualmente il loro svolgimento

richiederà un numero maggiore di risorse

umane e risulterà più difficoltoso rispetto a

quanto previsto in condizioni ritenute normali

Page 41: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Sistemi vitali (1/2)

Sono caratterizzati dalla possibilità di eseguirne

le relative funzioni manualmente seppur per un

lasso temporale molto ristretto

Il livello di tolleranza all’interruzione è maggiore

di quello previsto per i sistemi classificati come

critici, anche in conseguenza della possibilità di

riattivare le funzioni previste in un intervallo

temporale relativamente breve (meno di una

settimana)

Page 42: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Sistemi vitali (2/2)

Il costo previsto per un’interruzione è

sicuramente inferiore a quello associato ai

sistemi critici

Page 43: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Sistemi critici Sono caratterizzati dall’impossibilità di eseguirne

le relative funzioni senza che questi vengano

sostituiti da strumenti aventi identiche

caratteristiche

Le applicazioni classificate come critiche non

possono essere eseguite manualmente

Il livello di tolleranza in caso di interruzione è

notevolmente basso, con un conseguente costo

molto alto per un eventuale blocco

Page 44: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

3. Valutazione delle strategie di ripristino

Il costo d’indisponibilità per le applicazioni e i sistemi classificati come critici è estremamente alto per l’organizzazione e vanno ripristinati in via prioritaria rispetto agli altri asset

Il DRP va definito valutando le strategie di ripristino più opportune in merito ai seguenti aspetti: • siti alternativi

• metodologie di back-up

• sostituzione degli equipaggiamenti

• ruoli e responsabilità dei team di ripristino

Page 45: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Siti alternativi (1/3)

La strategia di ripristino che prevede l’utilizzo di un sito alternativo deve considerare i seguenti aspetti: • Interoperabilità – ovvero la scelta di utilizzare

piattaforme e configurazioni standard per velocizzare le procedure di ripristino e di diminuirne il costo complessivo

• Offsite storage – ovvero la scelta di implementare una regolare strategia

o di backup

o di archiviazione in luogo protetto dei dati presenti sui sistemi

o di archiviazione in luogo protetto delle altre informazioni vitali (licenze, configurazioni, ecc…)

Page 46: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Siti alternativi (2/3)

• Ridondanza – ovvero la scelta di garantire la ridondanza delle componenti tecnologiche di un sistema al fine di ridurne le possibilità di blocco

• Alternativa – ovvero la scelta di garantire l’esistenza di un differente sito attrezzato, atto a ospitare, in brevissimo tempo, le componenti tecnologiche di un sistema nel caso in cui il sito originale diventi impraticabile o indisponibile

Page 47: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Siti alternativi (3/3)

Esistono varie tipologie di siti alternativi a seconda delle loro caratteristiche e del loro utilizzo: • siti caldi (hot sites)

• siti tiepidi (warm sites)

• siti freddi (cold sites)

• siti mobili (mobile sites)

• mirrored sites

Page 48: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Metodologie di backup

Il DRP deve assolutamente prevedere al suo

interno delle adeguate procedure di backup e di

ripristino

È possibile identificare i tre seguenti momenti:

• salvataggio dei supporti e della documentazione

• procedure di salvataggio periodiche

• procedure di ripristino delle reti di

telecomunicazioni

Page 49: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Sostituzione degli equipaggiamenti

Un buon piano definire le modalità di approvvigionamento delle apparecchiature alternative

Si può procedere con accordi di fornitura da terze parti o con l’immagazzinamento preventivo

Page 50: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

Ruoli e responsabilità

Per gestire la crisi con successo è richiesta un’azione di coordinamento complessivo della risposta organizzativa

La risposta deve avvenire in modo efficace e tempestivo affinché siano minimizzati i danni • all’immagine dell’organizzazione

• alla capacità di operare dell’organizzazione

• al profitto dell’organizzazione

Verranno utilizzati dei team specifici

Page 51: MODULO 28 –> La Business Continuity Management

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code

Insegnamento di Informatica – a.a. 2015-16

I miei contatti linkedin

http://it.linkedin.com/pub/francesco-ciclosi/62/680/a06/

facebook

https://www.facebook.com/francesco.ciclosi

twitter

@francyciclosi

www

http://www.francescociclosi.it