"QUANDO C'E' UNA META, ANCHE IL DESERTO DIVENTA STRADA"

Transcript

1

2 Progettare oggi, significa apportare innovazione, semplicità, aumento della produttività, creare valore aggiunto durante le normale attività di lavoro, sempre senza generare attriti tra la produzione e il business. Noi Pensiamo di riuscirci perché, "QUANDO C'E' UNA META, ANCHE IL DESERTO DIVENTA STRADA" IMHOTEP. Visir del faraone Djoser, architetto, matematico, medico, letterato, a lui si deve l'invenzione della piramide a gradoni di Saqqara per il suo faraone. Il Prodotto prende il suo nome perché costruito a moduli (gradoni) che ne permettono la robustezza e la tenuta, sarà cosi all interno dei vostri progetti aziendali senza intaccare funzionalità e produttività

3 La tecnologia da sola, ormai non riesce più a proteggere la sicurezza dei dati ne tanto meno a ripristinare le giuste politiche di business dopo eventi dannosi o meno. Troppo spesso le aziende hanno dovuto riscontrare che a fronte di investimenti in sicurezza anche rilevanti, le procedure per i ripristini sono state fallimentari in termini di tempo e ancor più grave in termini di recupero dati. Oggi alle politiche di sicurezza si devono accompagnare delle serie regole e norme che provvedano a standardizzare le attività da mettere in campo per procedere senza generare caos. Gli enti pubblici oggi si fanno guidare dal nuovo codice dell amministrazione digitale, Imhotep è compliance con tali regole, ma le ha gestite in modo che queste possano essere valide e robuste anche per il settore privato. Perché IMHOTEP

4 Il Nostro deserto è dare le giuste definizioni a: Disaster Recovery (DR) Con tale termine si intende l'insieme di misure metodologiche atte a sviluppare un piano adatto a ripristinare sistemi, dati/infrastrutture necessarie all'erogazione di servizi di business a fronte di gravi emergenze. Business Continuity /Piano di Continuità Operativa (PCO) - Con tale termine si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi catastrofici o meno che possono colpirla. Privacy Con tale termine si intende la capacità di proteggere le informazioni rendendole disponibili e riservate La Nostra meta è raggiungere degli obiettivi chiari e quantificabili come: Un progetto di Disaster Recovery Imhotep si pone l obiettivo di determinare e costruire un progetto per il ripristino di uno o più servizi IT entro un tempo stabilito,avendo sempre sotto controllo tutte le tecnologie presenti all interno dell azienda; Un progetto di Business Continuity/Piano di Continuità operativa - Imhotep si pone l obiettivo della continuità del servizio, costruendo le regole in modo incrementale durante l uso del prodotto, Come per il progetto di DR anche il PCO sviluppa una metodologia che permette di ripristinare tutta l operatività; Un progetto Privacy - Imhotep si pone come obiettivo di rendere la privacy uno dei primi tasselli della sicurezza e quindi ne verifica anche gli aspetti normativi. "QUANDO C E' UNA META, ANCHE IL DESERTO DIVENTA STRADA"

5 IMHOTEP vi permetterà di: Formulare in modo esplicito gli obiettivi e definire un budget preventivo di azione Rappresentare un strumento di comunicazione interna per condividere obiettivi e strategie Verificare il controllo dell effettivo concretizzarsi degli obiettivi formulati Tecnologia Hosting l hosting assolve ad uno dei primi dettami del Codice Dell Amministrazione Digitale (CAD), che prevede il salvataggio dei dati in una location diversa da quella dove risiedono i dati stessi; CMS Drupal CMS duttile che oltre a gestire i contenuti permette di lavorare su campi aggiunti attraverso i quali si può costruire un db. Alcuni standard tecnici di prodotto: Presenza su tutte le pagine della mappa del sito e delle modalità di navigazione; Colori usati sempre con le stesse regole e significati in modo che sia possibile una lettura intuitiva; Add-on - al momento non presenti sul mercato, almeno in unica soluzione come ad esempio: Aggiornamenti automatici; Eliminazione di materiale obsoleto, nell ottica che obsoleto uccide la credibilità; Permette di assolvere all obbligo formativo perché esso stesso fa formazione; Un add-on specifico e di valore per il prodotto è la visita almeno trimestrale che i clienti ricevono e che permette di verificare il corretto svolgersi delle attività Il disegno

6 La gestione del processo aziendale, per la sicurezza dei sistemi, rappresenta il plus che permette un'ottimizzazione dei livelli di sicurezza. Un'efficace analisi dei processi, che parte dalla Privacy e analizza le minacce e le vulnerabilità, permette di definire un piano di Disaster Recovery efficace e di ottenere elevati standard di sicurezza con l' ottimizzazione nella gestione continua del business e del processo di Continuità operativa previsto in modo obbligatorio per le aziende pubbliche. Il nostro è un approccio globale (ad es. al Disaster Recovery (DR)), quindi necessariamente non solo dal punto di vista dell infrastruttura: ma includendo e gestendo anche il business si deduce quali sono i sistemi critici che necessitano di continuity. Si parte dal business più critico, poi si incrementa il piano passando alle criticità minori e lo si costruisce per passi. Si ingloba poi la metodologia per lo sviluppo del piano di continuità, con tutti gli aggiornamenti, i trends e le raccomandazioni del mercato. L approccio

7 Determina le persone coinvolte Censisce le applicazioni critiche e non Determina il tempo massimo di interruzione del servizio Determina i danni collaterali Calcola l impatto economico Identifica le risorse e crea la posizione per la singola responsabilità Costruisce l inventario per i beni sw, Hw beni immobili, risorse, fornitori.rilevandone le criticità Per ogni servizio critico o meno gestisce il tempo di inattività Elenca i danni non economici o comunque non di impatto Calcola il danno economico relativo al guasto ad esempio per: danno accidentale denuncia es. mancato rispetto privacy Alcune attività

8 Sezione di consultazione delle leggi o di eventuali regolamenti interni ad uso aziendale. Attraverso la funzione Cerca è possibile ricercare direttamente tra tutte le tipologie di documento consultabili. In questa sezione è poi possibile consultare direttamente il sito dell Associazione Nazionale difesa della Privacy (ANDIP) o il sito del Garante e comunque quelli che si desidera aggiungere. E anche possibile richiedere informazioni o assistenza via mail attraverso la funzione Richiedi Info. Norme e disposizioni

9 Si provvede qui ad identificare i "dati aziendali vitali", set di informazioni necessarie a riattivare servizi e garantire la continuità di business in ottica di disaster recovery, la rilevazione avviene per tutti i beni aziendali partendo dagli immobili passando per software ed Hardware, fornendo il giusto risalto anche alla documentazione. Qui si formalizzano le responsabilità e gli obblighi per utenti interni ed esterni all'azienda e per tutte le risorse individuate vi è la possibilità di avere una scheda riepilogativa delle sue attività in attica DR e PCO; Attività

10 I processi alcune attività

11 L agenda

12 I Processi

13 Attraverso al costruzione delle policy e l inserimento dei rischi aziendali si da forma: da un lato al manuale contenente le linee guida per la sicurezza aziendale che di volta in volta verranno pubblicate ed inviate via mail, dall altro si provvede a gestire il rischio aziendale associando ai vari beni le minacce e la relative probabilità Le regole

14 Si provvede ad inserire le policy aziendali attraverso la compilazione di questi paragrafi che faranno poi parte integrante del manuale delle policy aziendali sulla sicurezza. Scopo breve descrizione della regola e di cosa vuole disciplinare; Portata Policy Indica a chi e a cosa si rivolge tale azione; Policy descrive nel dettaglio la policy aziendale; Tecnologie approvate Indica le eventuali tecnologie compatibili con questa policy; Applicazione Indica in modo chiaro a chi e a cosa si applica questa regola e quali strumenti sono interessati; Definizioni Breve glossario per eventuali sigle utilizzate nella descrizione; Le regole

15 All interno dell analisi del rischio sarà possibile censire prima le minacce poi le vulnerabilità e per ultime associare queste ai beni potendo inserire anche una percentuale di probabilità. Sono queste le azioni principali per determinare un corretto piano di Disaster Recovery oltre che soprattutto per poter definire correttamente le politiche giuste per le contromosse da adottare caso per caso. Le regole

16 Le regole

17 Le regole

18 Le regole

19 RPO - Recovery Point Objective è il massimo tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza RTO - Recovery Time Objective è il tempo necessario per il recupero dell'operatività di un sistema o di un processo Le regole

20 Sono qui riportati tutti i manuali aziendali creati durante la gestione del progetto, e si possono conservare qui anche eventuali manuali e o disposizioni non generati dal prodotto ma che si desidera facciano parte della manualistica per la sicurezza o aziendali in generale Manualistiche

21 Nella maschera è riportato il manuale della privacy ed il suo indice cosi come si è generato durante l inserimento dei dati. Il manuale è consultabile on line oppure si può stamparlo o ancora lo si può inviare via mail. Manualistiche Es. Manuale privacy