Orbit Openday Carlo Loveri 23 Nov 2011

© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo

elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.

ORBIT® - Open Day

Milano23 novembre 2011

Carlo Loveri



Agenda

14.30 Benvenuto

14.45 Business Continuity & Disaster Recovery Management:

Cenni; Standards di riferimento; Best practices.

BC & DR Management: Considerazioni sul ROI;

ORBIT® – la governance del processo di Business Continuity;

ORBIT®: Benchmarketing e Compliance aglistandards.

ORBIT – Mobile Crisis Management

Carlo LoveriCEO eSolutions Europe

15.45 ORBIT® – Demo. Edoardo MauriSoftware Factory Manager eSolutions Europe

17.45 Domande e risposte.

18.00 Aperitivo e chiusura.



• Società di consulenza fondata nel 2000:• Con una crescita continua di fatturato • Con importanti clienti e progetti• 25 persone (partners, dipendenti e collaboratori esterni)

• da febbraio 2011 fa parte di• Circa 300 collaboratori• 2 sedi (Milano e Roma)• Circa 12 M€ fatturato

eSolutions Europe

Associata al Consorzio ABILab

IBM Business Partner

Certificazioni BS25999

Certificazioni ITIL

Certificazioni CISM /CISA

Certificazioni CBCP DRI



ORBIT® - Open Day

Introduzione alla Business Continuity

This document cannot be reproduced or utilized without a written authorization by eSolutions Europe S.r.l.



Business Continuity – Qualche definizione

Per business continuity si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi catastrofici che possono colpirla ……. Il Piano di continuità del business (BCP) contiene informazioni riguardo le azioni da intraprendere in caso di incidente, chi è coinvolto nell’attività e come deve essere contattato. Il piano riflette la posizione dell’organizzazione e degli

stakeholders

Business Continuity Management is an holistic management process that identifies potential impacts that threaten an organization and provides a

framework for building resilience and the capability for an effective response that safeguards

Processo olistico di management che individua le potenziali minacce alle quali è esposta l’organizzazione e gli impatti che esse possono causare sul business nel

caso in cui si manifestassero; fornisce un framework per la costruzione della resilienza dell’organizzazione che abbia capacità di un’effettiva risposta per la

salvaguardia degli interessi dei suoi stakeholder chiave, della reputazionedell’organizzazione, del brand e delle attività con le quali crea valore.



• E’ sufficiente avere dei piani di disaster recovery per avere una copertura dei rischi?

• … per rispondere a questa domanda bisogna capire quali sono le risorse critiche da considerare per definire i piani di emergenza

Business Continuity vs Disaster Recovery

Disaster Recovery

Management

Disaster Recovery

Management

Business Continuity

Management

Business Continuity

Management




SitiSiti

Risorse UmaneRisorse Umane

Sis. InformativiSis. Informativi

InfrastrutturaInfrastruttura

Altri ServiziAltri Servizi

DocumentazioneDocumentazione

Blocco Applicazioni

Blocco Applicazioni

Rischi Meteorologici


Rischi di incendioRischi di incendio

Rischi idrogeologici


Rischi vulcaniciRischi

vulcaniciRischi di mancanza

del personaleRischi di mancanza

del personale

Rischi ambientalie sanitari


Rischi trasportiRischi

trasporti

Malfunzionamento grave Sist. e Reti


Perdita o corruzione dei dati


Attacchi esterni tramite reti telemAttacchi esterni tramite reti telem

Interruzione Telecomunicazioni


Interruzione erogazione gas


Interruzione erogazione acqua


Razionamento Combustibili


Interruzione Condizionamento


Interruzione energia elettrica


Interruzionetrasporto valori


Interruzione servizi amministrativi


Interruzione apparati (non S. I.)


Perdita di doc. per allagamento-incendio


Perdita di doc. per frode internaPerdita di doc.

per frode interna

Perdita di doc. per furto


Rischi di Ordine Pubblico


Rischi ambientali

Rischi ambientali

Frode grave conperdita di dati


Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio)




SitiSiti

Risorse UmaneRisorse Umane

Sis. InformativiSis. Informativi

InfrastrutturaInfrastruttura

Altri ServiziAltri Servizi

DocumentazioneDocumentazione



Rischi di incendioRischi di incendio



Rischi vulcaniciRischi

vulcaniciRischi di mancanza

del personaleRischi di mancanza

del personale



Rischi trasportiRischi

trasporti





















Perdita di doc. per frode internaPerdita di doc.

per frode interna





Rischi ambientali

Rischi ambientali

Blocco Applicazioni

Blocco Applicazioni





Attacchi esterni tramite reti telemAttacchi esterni tramite reti telem



????

Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio)Quali sono i rischi coperti da un Piano di Disaster Recovery?

…Quindi un progetto di Business Continuity e’ molto piu’ vasto e articolato di un

progetto di disaster recovery, anzi il piano di disaster recovery e’

un sottoinsieme del progetto di business continuity

…Quindi un progetto di Business Continuity e’ molto piu’ vasto e articolato di un

progetto di disaster recovery, anzi il piano di disaster recovery e’

un sottoinsieme del progetto di business continuity



L’evoluzione storica del concetto di Business Continuity

Processi Disaster Recovery Business Continuity Crisis Management

ATTIVITA’

Back up dati/mirroring on line

Trading room attrezzate

Recovery desks

IT Back up

Il Business partecipa più attivamente ai test, riflette sui processi critici e sulle risorse più a rischio

Ogni linea di business incestenella Business Continuity

Durante la crisi il Managementsegue un preciso protocollo coordinato dal gruppo di «Crisis Management»

Le decisioni di invocare le procedure di Business Continuity vengono prese più rapidamente. Focus su sicurezza delle persone

METODOLO

GIE

Duplicazione CED – grandiaziende

Affitto locali CED –piccole/medie

Archiviazione nastri in luoghi remoti

Investimenti in telecomunicazioni

Business Impact Analysis

Definizione di RTO (Recovery Time Objective)

Definizione di RPO (Recovery Point Objective)

Piani di Business Continuity

«Calling Trees» e piani di evacuazione

Piani di crisi con distribuzione delle attività di management

Test con simulazione di scenari di crisi

Crisi di zona

TECNOLOGIA BUSINESS EXECUTIVE MANAGEMENT



ORBIT® - Open Day

Business ContinuityRiferimenti Normativi

StandardsBest Practices




Riferimenti normativi ‐ Italia

Finanza

Assic

urazioni

Indu

stria

Banche

Basilea 2Basilea 3•Business Continuity & Operational RiskNormativa Banca d’Italia 2004•Business Continuity Plan•Disaster Recovery Plan•Testing & Exercising•Fornitori critici•Crisis Management

ISVAPRegolamento n.20 2005Gestione dei controlli interni•Controllo dei rischi•Salvaguarda del patrimonioSolvency 2•Written policies in relation to at least risk management•Ensure continuity and regularity•Development of contingency plans

CONSOBComunicazione Maggio 2007•Business Continuity per gli intermediari finanziari

Confindustria(Raccomandazione)•Linee guida BCP•Linee guida DRP



E’ obbligatorio per le Pubbliche Amministrazioni italiane la definizione di :

• UN PIANO DI CONTINUITÀ OPERATIVA• che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

• UN PIANO DI DISASTER RECOVERY• che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disasterrecovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.






Il nuovo CADarticolo 50-bis

entro 15 mesi dalla data di entrata in vigore del D. Lgs 235/2010 (Gazzetta Ufficiale N. 6 del 10 Gennaio 2011)



Riferimenti normativi - Italia

D.Lgs. n. 196

D.Lgs. 81/2008

D.Lgs. 231/01Responsabilità

amministrativa delle persone giuridiche Sicurezza sul

posto di lavoro

Codice in materia di protezione dei dati personali

Richiedo

no

una analisi dei rischi, una analisi degli impatti e opportuni piani di mitigazione e di continuità dei processi correlati



Riferimenti normativi – Europa

Direttiva Europea 2008/114/CE Protezione delle infrastrutture critiche

•MACROAREE• il sistema elettrico ed energetico, • Le reti di comunicazione, • le reti le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale), • il sistema sanitario, • i circuiti economico finanziari, • le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze,

• SERVIZI ESSENZIALI PER• il benessere della popolazione• la sicurezza nazionale,• il buon funzionamento del Paese e • la sua crescita economica.

Direttiva Europea 2008/114/CE Protezione delle infrastrutture critiche







Riferimenti normativi – iternazionali

Sarbanes‐Oxley Act

• RICHIEDE• una analisi ed una comprensione dei rischi che possono impattare il processo di «Reporting Finnanziario»

• SUGGERISCE• ma non impone la redazione di un opportuno BCP che rifletta tali rischi e ne gestisca la

mitigazione

Sarbanes‐Oxley Act



mitigazione



mitigazione



Standards

BS25999

• BS25999‐1 «Code of practice for BCM» (2006)• BS25999‐2 «Specification for BCM» (2007) (PDCA)• Sostituisce PAS56• Definisce il BCM Lifecycle

• Focus on BCM management• Understanding the organization• Determining BCM Strategies• Developing and implementing a BCM response• Exercising, maintenance, audit and self assessment of the BCM

BS25999







Standard – BS 25999



Standards

Altri standards

• NFPA (National Fire Protection Agency) (agg. 2007)• In cooperazione con la FEMA (Federal Emergency Management Agency e IAEM

(International Association of Emergency Managers)• Focus su gestione integrata della gestione delle emergenze e dei disastri dal punto di

vista «governativo» e «territoriale»

• NIST SP 800‐34 (National Institute of Standards and Technologies)• «Good Practice»• Focus sui sistemi IT e non sui processi di business

Altri standards











Altri standards

• ISO/IEC 27031 e BS 25777• Focus su «plan and implement an ICT continuity strategy”

• PAS 77• Focus su «IT Service Continuity Management”

• ISO 22301 ‐ Societal security• Preparedness and Continuity Management Systems ‐‐ Requirements• Focus su «Societal Continuity»• Sostiuirà BS25999‐2

Altri standards









Standards

Altri standards




Altri standards









Best Practices

Altri standards

• BCI – Business Continuity Institute

• DRI – Disaster Recovery Institute

• Certificazioni professionali• Code of Professional Practice• Essenzialmente simili• Presenti in Italia direttamente o tramite partner che erogano corsi ed esami di

certificazione

Altri standards




certificazione




certificazione



Il Processodi

Business Continuity

Management



Processo BCMgli step principali

Mappatura dei processi aziendali

Definizionedel

perimetro(valutazioneiniziialeimpatti)


Creazione dei Piani

Operativi di Continuità

per i Processi di Business e

per le Componenti Tecnologiche

Redazione del BCP e del

DRP

Gestione del Piano dei

Test

Gestione della Crisi e

degli Incidenti



Quanto spesso cambia l’azienda?



Processo BCMLa gestione degli aggiornamenti


Definizionedel



Creazione dei Piani





DRP


Test


degli Incidenti

Aggiornamenti continui “endogeni” al processo di Business Continuity

Aggiornamenti continui “esogeni” al processo di Business Continuity



Processo BCM: i punti di attenzione

Essere sicuri che a fronte di un evento critico il BCP sia l’immagine efficace delle azioni da intraprendere

Gestire gli aggiornamenti BCP

Avere un efficace piano dei test

Gestire gli eventuali EFFETTI DOMINO

Avere gli strumenti e le procedure adeguate per la gestione della crisi e dei test



• Processi end to end• Processi in input ad altri processiMappatura

• Analisi della criticità degli input ad un processo e del tempo massimo di “resistenza” in assenza di tali input

BIA

• Indisponibilità risorse critiche• Indisponibilità di input critico

Piani operativi

• Azioni dei piani operativi di ripristino• Tempo trascorso VS RTO• Alerting su processi dipendenti all’approssimarsi del RTO

Monitoring

• Estensione del perimetro in funzione del tempo• Innalzamento del livello di crisi•Messaging integrato

Perimetro

L'effetto dominogli oggetti logici



ORBIT® - Open Day

Business Continuity e

considerazioni sul ROI




• Chi si occupa di Business Continuity deve spesso rispondere alla fatidica domanda: • Quale è il ROI di un progetto di Business Continuity e Disaster Recovery? E come si calcola?

• La formula classica per il calcolo:• ROI% = ((Benefits – Costs) / Costs) X 100

Business Continuity e ROI



La formula è applicabile

• Purtroppo la risposta non può essere positiva. • Posso quantificare i COSTI• NON posso quantificare i BENEFITS anche perché difficilmente ho a disposizioni serie storiche

• Un effettivo ritorno lo si può misurare EVENTUALMENTE solo come "saving" dopo un eventuale impatto.

• In alternativa il ROI può essere quantificato pari alrisparmio delle eventuali coperture assicurative.



• Processo di Business Continuity Management come un tool "marketing".

• Come un una "suprema" garanzia della resilienza e della affidabilità dell'azienda nei confronti dei propri clienti ed in generale di tutti i propri stakeholders.

Un approccio innovativo



• In ogni caso una governance• Efficiente• Efficace

• Di tutto il processo di BCM è determinante affinché il progetto abbia una aspettativa di ROI positivo.

• Un tool integrato è quindi sostanziale al raggiungimento di un tale obiettivo.

Efficienza ed efficacia



Uso di un toolEffetti sul processo BCM

NON DISGIUNTO

• un tool BCM facilita il flusso di lavoro e il livello di collaborazione fra le risorse potenzialmente convolte in una situazione di crisi che, altrimenti, potrebbe risultare difficile da gestire in modo efficiente.

STRUTTURATO

• un tool BCM costituisce un eccellente supporto alla costruzione di template operativi per i piani di Business Continuity e Disaster Recovery. Ciò consente di standardizzare i vari elementi del piano di BC/DR garantendo nel contempo la flessibilità dei contenuti di dettaglio.

NON RIDONDANTE

• gli “oggetti” creati con un tool BCM sono riutilizzabili e replicabili. Il Business Continuity Plan ne risulterà snello e privo di ridondanze inutili.



FLESSIBILE

• Un tool BCM è in grado di fornire una vista multidimensionale delle relazioni fra gli elementi e le entità (business e tecnologiche) di una organizzazione aziendale evidenziandone i rischi interdipendenti e gli eventuali effetti domino a seguito di un impatto.

AUTOMATIZZATO

• L’uso di un database relazionale assicura che la modifica e l’aggiornamento di un singolo elemento (es. numero di telefono) venga propagata direttamente e automaticamente in tutte le parti del piano che fanno riferimento a quell’elemento. Ciò elimina il rischio di avere un piano di Business Continuity e Disaster Recovery non coerente.

NON SOGGETTIVO

• Un tool BCM può contribuire a creare e monitorare il processo di Governance della gestione della Business Continuity e Disaster Recovery aziendale (incluso, ad esempio, i modelli di BCP, BIA, raccolta dei dati, generazione di Piano, autorizzazioni di accesso, etc.).




PRODUTTIVO

• Un tool BCM può supportare l’esecuzione dei test e delle simulazioni di un piano di BC/DR riducendo sensibilmente i costi di pianificazione, esecuzione e analisi post‐test.

ECONOMICO

• Un tool BCM consente risparmi tangibili e quantificabili riducendo l’impegno di risorse necessarie per la logistica, amministrazione e gestione del programma di BC/DR con effetti estremamente positivi sul ROI complessivo.




BIA – BCPTradizionale vs ORBIT

Interviste di persona con questionari ai responsabili di processo

Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo

Riordino, assemblaggio, verifica dei dati e loro immissione su supporto

I dati sono già stati immessi nella fase precedente

Revisione/redazione nuovi questionari per catturare le eventuali variazioni Rilettura dei questionari. Immissione dei dati.

Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo

Redazione manuale analizzando direttamente i dati BIA a video o su report cartaceo

Redazione guidata sulla scorta dei dati BIA resi automaticamente disponibili dall’applicativo

Scrittura manuale delle diverse parti del BCP: risultanze BIA, misure di continuità, procedure, liste di contatto, etc.

Redazione automatica del Piano sulla base dei dati disponibili nella BIA e nella sezione di Design (Piani Operativi)

Tradizionale ORBIT

Raccolta dati per la BIA

Immissione dati

Aggiornamento dati della BIA

Redazione dei Piani Operativi

Redazione BCP

ReportisticaAlta Direzione

Redazione manuale dei report da presentare all’Alta Direzione.

Redazione automatica dei report per l’Alta Direzione.



2 EU

1 EU 0 EU

6 EU 2 EU

4 EU 2 EU

6 EU 1 EU

2 EU 1 EU

25 EU 8 EU

6 EURaccolta dati per la BIA


Immissione datiImmissione dati



Redazione dei Piani OperativiRedazione dei Piani Operativi

Redazione BCPRedazione BCP

ReportisticaAlta DirezioneReportisticaAlta Direzione

Costi di ProgettoBIA + BCP

Tradizionale ORBIT

EU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€



Testimonianzadel Cliente

Queste fasi di implementazione del BCP, sviluppate e gestite con l’ausilio di una soluzione informatica innovativa risultano sensibilmente più efficienti.

I tempi di redazione del BCP e di implementazione della reportistica

sono notevolmente ridotti rispetto ad un progetto senza questi strumenti



Immissione datiImmissione dati



Redazione dei Piani OperativiRedazione dei Piani Operativi

Redazione BCPRedazione BCP

ReportisticaAlta DirezioneReportisticaAlta Direzione

Tradizionale ORBIT



Test & ExercisingTradizionale vs ORBIT

Redazione manuale su supporti diversi (fogli word, excel, etc.) di tutte le specifiche necessarie per il test

Redazione guidata, effettuata mediante specifico applicativo delle specifiche di predisposizione del test

Fasi che richiedono il monitoraggio sul posto di ciascuna attività e la loro registrazione/descrizione con supporti diversi.

Fasi che possono essere seguite anche a distanza. Gli attori coinvolti nella prova, all’avvio/fine di ogni attività attivano una “check list” sulla intranet

La documentazione prodotta in fase di monitoraggio necessita di essere decodificata, e analizzata, per produrre i report e le relazioni finali.

La documentazione è già disponibile sotto forma di “log” delle attività svolte dai vari attori, come risultato delle check list (chi ha fatto che cosa, dove, a che ora, etc.)

Sulla scorta delle analisi vengono redatti manualmente i report e le relazioni conclusive

Sulla scorta della documentazione disponibile vengono redatti, solo in parte manualmente, i report e le relazioni conclusive

Preparazione del test

Sviluppo/ Monitoraggio del test

Raccolta e analisi documenti

Redazione verbali e relazioni

Tradizionale ORBIT



Costi di ProgettoGestione dei Test

1 EU

2 EU 1 EU

2 EU 1 EU

4 EU 1 EU

10 EU 4 EU

2 EU

Tradizionale ORBIT

Preparazione del test

Sviluppo/ Monitoraggio del test

Raccolta e analisi documenti

Redazione verbali e relazioni

EU: Effort UnitEU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€



Costi Totali di Progetto BIA + BCP + Test

120 30

25 EU 8 EU

10 EU 4 EU

35 EU 12 EU

circa 1/3 delle risorse

ExcelDBAccess ORBIT

Costi di progettoBIA / BCP

Costi di progettoGestione dei test

Totale

EU: Effort UnitEU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€



Costi totali del progetto

25 23 23

84 4

108 8

4

3 2

0

5

10

15

20

25

30

35

40

1° anno(Trad.)

2° anno(Trad.)

3° anno(Trad.)

1° anno(ORBIT)

2° anno(ORBIT)

3° anno(ORBIT)

BIA/BCP TEST

EU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€



Processo BCM: la «governance»


Definizionedel


Scegliereuno

strumentodedicatoper la

gestionedel

processoBCM


Creazione dei Piani

Operativi di Continuità per i Processi di

Business e per le

Componenti Tecnologiche

Redazione del BCP e del DRP

Gestione del Piano dei Test


degli Incidenti



Business Continuity Governance: ORBIT®




Il Prodotto



Disaster RecoveryPlanning

Disaster RecoveryPlanning

Risk Assessment

Risk Assessment

EmergencyManagementEmergencyManagement

IncidentManagement

IncidentManagement

Crisis Management

Crisis Management

Business Continuity Planning

Business Continuity Planning

• ORBIT è la soluzione leader in Italia di GRC (Governance, Risk and Compliance) per la gestione completa del processo di Business Continuity (BCM)e Disaster RecoveryPlanning (DRP):

– raccolta, analisi e gestione della mole di dati che deve essere censita per rispondere alle esigenze di un progetto di BCMS conforme agli standard internazionali (BS 25999);

– riduzione al minimo dei costi generali di progetto;– organizzazione del modello aziendale secondo le

necessità dell'Azienda con opzioni multisocietà, multigruppo, multilingua e multigergo;

– sviluppata in ottica web, offre la possibilità di interfacciamento al Single Sign On e ad altri repository di dati delle Aziende;

– in grado di adattare la propria struttura ai rapidi cambiamenti del mondo economico e tecnologico

– personalizzabile per rispondere nel miglior modo alle diverse esigenze del business.

Cosa è ORBIT



Cosa è ORBIT




Definizionedel



Creazione dei Piani





DRP


Test


degli Incidenti

Moduli BIA/BCP, DR

ModuliPiani Operativi, Storici,

Test, Crisi, Incident, Flussi, BC Monitor,

Mobile

Un progetto di Business Continuity



Le principali referenze di ORBIT



I mod

uli



ORBITModulo DR

•Modulo per la Gestione della Crisi;•Modulo per la Gestione dei Test;•Modulo di Integrazione tra Business Continuity e Disaster Recovery

•Messaging e Backup (BC2);

ORBIT DR è totalmente compatibile ed integrabile con altri moduli di ORBIT:

• Condivisione delle configurazione tecniche delle apparecchiature e delle applicazioni IT.

• Integrazione con sistemi di Incident

ORBIT DR è interfacciabile con sistemi di Configuration Management (CMDB)



Business Continuity(BCP – Test Plan)

Disaster Recovery(DRP)

ORBIT BC – DRI vantaggi di un approccio integrato

Benefici attesi

• Informatizzare il processo di manutenzione e aggiornamento

• Omogeneizzare gli RTO / RPO dei processi e delle apparecchiature

• Gestire la mitigazione del rischio• Gestire test congiunti di BC e DR• Gestire la crisi in maniera integrata



ORBITI layers applicativi



ORBITLe piattaforme tecnologiche



Attivitàprogettuale iniziale




•Parametrizzazione•Impostazioni BIA/BCP•Look&feel•Questionari

•Normalizzazione dati•Import massivo•Verifica

•HR•Tassonomie processi•Terze parti•Sistemi Applicativi•Siti•Infrastrutture•Attrezzature specifiche

•LDAP•Active Directory•SSO•RACF•Etc.

ORBITI servizi correlati e le attività progettuali iniziali



Le certificazioni professionali



Le Certificazioni

ORBIT Foundation (OF)

ORBIT Certified Functional Analyst (OCFA)

ORBIT Certified System Analyst (OCSA)

ORBIT Master Project Manager (OMPM)



Le Certificazioni professionali

Descrizione Codice Prerequisiti Durata corso

ORBIT Foundation OF Conoscenza generale delle problematiche di BCM e DRM

2 giornate +esame (4H)

ORBIT Certified Functional Analyst OCFA Conoscenza approfondita delle problematiche di BCM e DRMConoscenza generale degli standard e delle best practices in materia di BCAlmeno 3 anni di esperienza nella BC


ORBIT Certified System Analyst OCSA Conoscenza delle piattaforme tecnologiche di riferimento per ORBIT (AS, DB, OS)Conoscenza dei linguaggi Java, JSP, Javascript, Ajax, HTMLAlmeno 3 anni di esperienza come System Analyst


ORBIT Master Project Manager OMPM Conoscenza approfondita delle problematiche di BCM e DRMConoscenza generale degli standard e delle best practices in materia di BCAlmeno 5 anni di esperienza nella BCAlmeno 3 anni di esperienza come Project Manager




ORBIT® - Open Day

Compliance e Benchmarketing




• BS25999• Tutte le clausole della norma hanno una evidenza funzionale in ORBIT (vedi Compliance Matrix)

• Il ciclo PDCA è attuato dalla sequenza dei moduli:• BIA/BCP e DR• Test & Exercising• Storici• Flussi ed interfacce

Compliance agli standards



• ABILab

• ORBIT gestisce la tassonomia ABILAB ed è conforme a tutte le linee guida ABILab in materia di BC

Compliance agli standards









Il nuovo CADarticolo 50-bis

entro 15 mesi dalla data di entrata in vigore del D. Lgs 235/2010 (Gazzetta Ufficiale N. 6 del 10 Gennaio 2011)



Le PA predispongono i piani di emergenza in grado di assicurare la

continuità delle operazioni indispensabili per il servizio e il ritorno

alla normale operatività.

•ORBIT© è la soluzione leader in Italia di GRC (Governance, Risk and Compliance) per la gestione completa del processo di Business Continuity (BCM)e Disaster Recovery Planning (DRP).ORBIT© supporta e guida la preparazione e la gestione e la manutenzione del piano di Continuità Operativa e di Disaster Recovery, di tutte le procedure ordinarie e straordinarie per la gestione di una emergenza e per il relativo ritorno alla normalità.ORBIT© gestisce la raccolta, l’analisi e la gestione della mole di dati che deve essere censita per rispondere alle esigenze di un progetto di BC/DR.•ORBIT© è conforme ai principali standard internazionali (BS25999, ITILI, etc.) ed alle più diffuse metodologie (DRI, BCI) in materia di Business Continuity e Disaster Recovery.

Il Piano di Business Continuity fissa gli obiettivi e i principi da perseguire.

•ORBIT© consente il disegno di soluzioni e procedure standard per la definizione di linee guida e di policy da adottare nelle varie componenti della governance del processo di BC/DR.•L’utilizzo della piattaforma ORBIT© può costituire l’elemento base dell’approccio metodologico alla Business Continuity.

Descrive le procedure per la gestione della Continuità Operativa, anche

affidate a soggetti esterni.

•Le procedure operative di emergenza gestite da ORBIT© sono costituite da oggetti che possono essere utilizzati ricorsivamente (in parte o interamente) da tutti gli attori del processo di BC/DR.In particolare i soggetti esterni possono essere mappati ed inventariati nel sistema oltre che essere assegnatari o attori di procedure e piani di emergenza.•Il sottosistema inventariale costituisce la base relazionale della infrastruttura di ORBIT. In tale sottosistema gli elementi sono trattati con un concetto di “Role Based”. Un soggetto esterno è un componente del sistema inventariale con un ruolo definito e specifico.Tutti gli elementi di ORBIT© sono accessibili in funzione di un sistema ACL (Access Control List) basato sui ruoli degli utenti e sulla loro assegnazione gerarchica agli elementi stessi. Il sottosistema interno che gestisce il workflow garantisce per ogni elemento e per ogni procedura la “separation of duty” fra gli utenti.

Orbit – CAD compliancePiano di Business Continuity



Tiene conto delle potenziali criticità relative a risorse umane, a risorse strutturali. E risorse tecnologiche

•ORBIT© consente la valutazione della criticità di ogni risorsa presente nel sistema. La criticità, a seconda dell’approccio metodologico prescelto, può essere valorizzata con un metodo quantitativo o qualitativo e può essere soggetta ad una valutazione del livello di rischio e vulnerabilità.In particolare il calcolo del rischio espositivo di una generica risorsa è conforme alle classiche metodologie mediante la mappatura e l’assegnazione delle minacce, delle vulnerabilità, probabilità di accadimento e misure mitigative.•Il modulo “Risk Assessment” di ORBIT© consente una analisi dettagliata del livello di rischio aggregato e disaggregato di ogni risorsa e più in generale di tutta la struttura aziendale.ORBIT© utilizza Il concetto esteso di risorsa. Il sottosistema inventariale tratta in maniera equipollente le risorse umane, i siti, le infrastrutture, le componenti IT, la documentazione, etc.

Contiene idonee misure preventive.

•ORBIT© consente la preparazione, la redazione ed il controllo di misure preventive o di mitigazione. Una tale misura può essere assegnata d una risorsa specifica, ad un processo aziendale, ad una terza parte, etc.Le misure preventive costituiscono poi uno degli elementi del piano di Continuità Operativa e di Disaster Recovery e sono soggette poi a tutti i sottocomponenti di ORBIT© (workflow, reportistica, testing, etc.).•ORBIT© consente di assegnare un livello di mitigazione ad una misura preventiva su una determinata risorsa per abbassarne il livello di rischio complessivo al fine di eventuali risparmi sulla totalità del piano di Continuità Operativa e di Disaster Recovery.

Consente la verifica delle funzionalità del piano di Continuità Operativa con

cadenza biennale.

•Il modulo “Testing/Exercising” di ORBIT© consente la definizione puntuale di un piano dei test e di verifica di ogni singola procedura di emergenza nei confronti. ORBIT© consente di corredare l’esito del test con un insieme di procedure ed azioni correttive da assegnare a soggetti interni e/o esterni per il miglioramento delle procedure testate.La reportistica e la navigazione dei dati del test possono costituire l’impianto delle evidenze per eventuali attività di Audit interni o esterni.•Il modulo “Testing/Exercising” in associazione alla struttura di tipo “check list” delle procedure di emergenza, di mitigazione e preparatori consente di navigare in maniera interattiva fra le risultanze di ogni singolo test mediante un apposito cruscotto di controllo. Tale cruscotto evidenzia inoltre tutte le dipendenze di un elemento (processo, unità organizzativa, apparecchiatura hardware, componente software) e gli eventuali effetti domino relativi a tali interdipendenze

Orbit – CAD compliancePiano di Business Continuity



Orbit – CAD compliancePiano di Disaster Recovery

E’ parte integrante di quello di Continuità Operativa.

•Il modulo “Disaster Recovery” è integrato nella piattaforma ORBIT© facendo riferimento alla stessa base dati inventariale, alle stesse regole, alla stessa mappatura dei processi aziendali.L’accesso alle funzionalità del modulo può essere separato per offrire una differente vista per differenti tipologie di utenti.•In ORBIT© il piano di Disaster Recovery costituisce il sottoimpianto del Piano di Continuità Operativa che sottende alla resilienza ed al recovery della infrastruttura IT. Il piano può essere modulato secondo la granularità più idonea alla strategia di DR adottata. ORBIT© consente di definire procedure di dettaglio ad oggetti o ad insiemi di oggetti (server, cluster, sala server, etc.).Questa caratteristica consente un approccio modulato nel tempo approfondendo la granularità dell’analisi in funzione della maturità del processo di governance BC/DR).

Stabilisce le misure tecniche per garantire il funzionamento dei centri di elaborazione dati in siti alternativi a

quelli di produzione.

•Il concetto di misura tecnica in ORBIT© è esplicitato dall’oggetto “Piano di Emergenza” su citato. Un Piano di Emergenza si compone di una serie di regole basate sulla criticità dell’elemento preso in considerazione, le risorse che ad esso afferiscono e lo scenario di crisi o l’incidente per il quale è necessaria un’azione.All’interno di un piano di emergenza vengono descritte e codificare tutte le procedure per il ripristino dei sistemi informativi in siti alternativi. Un tal piano poi può essere direttamente testato grazie al modulo “Testing/Exercising” precedentemente descritto.•In ORBIT© le misure ed i Piani di Emergenza sono insiemi di regole e di associazioni fra oggetti in funzione di scenari di crisi e/o di rischio.La ripartenza in un sito alternativo o semplicemente su una infrastruttura locale normalmente in stand by o dedicata ad operazioni a bassa criticità è descritta in ORBIT© da regole differenti ma con la stessa struttura e funzionalità operative.

Stabilisce le misure tecniche per garantire il funzionamento delle

procedure informatiche rilevanti in siti alternativi a quelli di produzione.

•Le misure tecniche per il ripristino di una procedura informatica è assimilato in ORBIT© al concetto di Piano di Emergenza assegnato ad un elemento a granularità inferiore rispetto all’intero centro di elaborazione dati.Le procedure di ripristino possono essere poi definite per una ripartenza della procedura informatica su infrastrutture IT dello stesso sito o presso siti alternativi in funzione delle linnee guida e della strategia di DR adottata.



I fattori differenzianti



• ORBIT mette il processo al centro della analisiProcesso vs Sito

• WEB, Java, multiple DB engineIndipendenza dalla infrastruttura tecnica

• Installazione On site• CloudAccessibilità

• User profile management• IAM integrationIntegrazione

ORBITI fattori differenzianti



Obiettivo: evolvere il prodotto secondo le necessità e le esigenze degli utenti. Obiettivo: evolvere il prodotto secondo le necessità e le esigenze degli utenti.

Nello User Group di ORBIT gli utenti hanno la possibilità di proporre e suggerire soluzioni evolutive al prodotto. Nello User Group di ORBIT gli utenti hanno la possibilità di proporre e suggerire soluzioni evolutive al prodotto.

Ciò garantisce un prodotto sia sempre allineato con le evoluzioni del mercato per soddisfare puntualmente i requisiti della gestione del Programma di Business Continuity.

Ciò garantisce un prodotto sia sempre allineato con le evoluzioni del mercato per soddisfare puntualmente i requisiti della gestione del Programma di Business Continuity.

Lo User Group di ORBIT è una comunità che si riunisce ogni 4 mesi per discutere proposte, suggerimenti, best practice e condividere esperienze ed incontrare esperti, istituzioni e analisti di mercato.

Lo User Group di ORBIT è una comunità che si riunisce ogni 4 mesi per discutere proposte, suggerimenti, best practice e condividere esperienze ed incontrare esperti, istituzioni e analisti di mercato.

ORBITUser group



Business Continuity Governance: ORBIT®

DEMO




Gestione delle linee guida• Call trees e procedure strategiche

Gestione degli inventari• Siti• Personale e ruoli • Applicazioni IT ed attrezzature

Rischi• Minacce• Contromisure/controlli


Piani di emergenza

Piano dei test Reports

Esecuzione della demo



Contatti

Orbit Openday Carlo Loveri 23 Nov 2011

Documents

Transcript of Orbit Openday Carlo Loveri 23 Nov 2011