RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Solution Brief

Transcript

1 RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Solution Brief INTRODUZIONE Ora più che mai, le aziende dipendono da servizi, processi aziendali e tecnologie per generare entrate e conseguire i loro obiettivi. Investitori, aziende e membri del consiglio di amministrazione sono sempre più interessati alle funzionalità di gestione che consentono di continuare con le operazioni durante un'interruzione, perseguendo la mission aziendale. Le aziende devono disporre di un repository centrale di strumenti per il supporto decisionale in tempo reale per permettere al personale di rispondere in modo rapido ed efficace a eventuali crisi che potrebbero avere un impatto su dipendenti, clienti, operazioni o sulla reputazione del marchio. IN BREVE Soluzione integrata e preconfigurata 3 in 1: analisi dei rischi e impact analysis, pianificazione di BC/DR e gestione delle crisi Piano di BC/DR standardizzato e documentato Manutenzione e test del piano automatizzati con workflow, notifiche e gestione dei problemi Analisi delle criticità e dei rischi dei processi tramite valutazione integrata dei rischi e Business Impact Analysis Gestione degli eventi di crisi con piani di notifica a più fasi ed integrazione con i piani di BC e DR PANORAMICA DELLA SOLUZIONE Business Continuity Management (BCM) è un processo di gestione olistico che individua le potenziali minacce a un'azienda e il loro possibile impatto sulle operazioni aziendali. La BCM fornisce un framework per la resilienza organizzativa in grado di fornire una risposta efficace volta a salvaguardare gli interessi dei principali stakeholder, la reputazione dell'azienda, il marchio e le attività che generano valore. Sempre più organizzazioni considerano la BCM una funzionalità mission-critical. Molti enti governativi e quasi tutti gli organismi normativi a livello globale hanno integrato nella loro attività alcuni requisiti di BCM. Tre sono i principali fattori che hanno portato le aziende a rendersi conto dell'importanza di BCM: o Requisiti di erogazione dei servizi 24x7 che aumentano la pressione sul business e sull'availability delle risorse IT o Globalizzazione e continua espansione di supply chain sempre più complesse o Aumento del rischio operativo associato a interruzioni più frequenti SFIDE DI BUSINESS CONTINUITY E DISASTER RECOVERY La BCM è una delle principali preoccupazioni per le aziende, nonché un aspetto di fondamentale importanza per garantire sicurezza finanziaria e mantenere una buona reputazione. Il crescente numero di attacchi terroristici (a partire dall'11 settembre), i black out del 2003, gli attentati di Londra e gli uragani che hanno colpito gli Stati Uniti nel 2005, le sparatorie nelle scuole superiori, le inondazioni nel Regno Unito e negli Stati Uniti, i terremoti ad Haiti e in Cile, la cenere vulcanica in Islanda, la fuoriuscita di petrolio da una piattaforma BP nel 2010, il terremoto in Giappone nel 2011, seguito dallo tsunami e dalla fuoriuscita di scorie radioattive da una centrale nucleare, e altri incidenti stanno portando a una pianificazione più estesa degli scenari, al coordinamento del settore pubblico con quello privato e a una maggiore attenzione alla regolamentazione della business continuity nell'ambito delle operazioni aziendali. La mancanza di piani di continuity efficaci e l'inefficienza degli interventi di ripristino possono costare caro e causare perdite non quantificabili o inaccettabili. Non essendoci la certezza di poter eseguire il ripristino in seguito a un evento, anche la pianificazione inefficiente può causare problemi. Ad esempio, un'azienda che considera tutti i suoi processi critici e da ripristinare immediatamente compie inutili sforzi in più e spreca denaro. Per contro, un'azienda che non pianifica nulla non può sapere cose di cui non è a conoscenza. Una pianificazione efficace può fare molto per limitare le perdite economiche causate da una situazione di crisi.

2 Indipendentemente dall'evento, l'azienda deve proseguire con le sue attività. Se si attende che un evento si verifichi per "vedere come l'azienda reagisce", la catastrofe è inevitabile. Le organizzazioni imparano sempre dagli eventi di crisi reali, ma dovrebbero adeguare i piani creati su scenari simulati in base a quanto appreso. Le aziende che intraprendono delle azioni proattive moderate e testano i loro piani potranno eseguire ripristini più efficienti ed efficaci. La presenza di personale addetto al ripristino adeguatamente qualificato riduce non solo le preoccupazioni, ma anche il carico di lavoro dei responsabili della gestione, i quali possono così concentrare l'attenzione su altre attività aziendali. Tuttavia, anche se le organizzazioni riconoscono sempre più spesso l'importanza della BCM come una funzionalità critica, molte di loro devono affrontare numerose sfide legate all'implementazione e al mantenimento dei piani di business continuity (BC) e disaster recovery (DR). In genere, la documentazione statica sui piani viene acquisita utilizzando vari strumenti e sistemi non flessibili che sono costosi da personalizzare e aggiornare. Inoltre, i processi di creazione, approvazione, manutenzione e test dei piani di BC/DR non sono coordinati. A questa mancanza di coordinamento si aggiunge una scarsa comunicazione tra i team di BC, DR e crisi, limitando così la visibilità sui rischi IT o della linea di business nuovi ed emergenti che potrebbero avere un impatto sulla continuity o sulla resilienza dell'azienda. Non si sa esattamente quali processi, tecnologie e altri componenti dell'infrastruttura abbiano la massima priorità di ripristino in base alla loro criticità per il business, senza alcuna responsabilità assegnata al ripristino. Questi problemi rendono difficile generare report o dimostrare al Senior Management che i piani di BC/DR funzioneranno come previsto. Inoltre, espongono le aziende a un notevole rischio di impatto sulla continuity. Le interruzioni del business, dai guasti isolati dell'infrastruttura agli eventi a livello regionale, possono causare seri danni finanziari e/o pregiudicare la reputazione. Molte strategie legacy di ripristino del business adottate dalle aziende presentano considerevoli lacune, con strategie BCM che interessano la gestione delle crisi, il ripristino delle attività aziendali o il disaster recovery IT. Tuttavia queste discipline, a patto che esistano, non solo sono progettate e sviluppate separatamente, ma mancano anche di integrazione: infatti, non offrono supporto al business e alla gestione IT o sponsorizzazione di alto livello. Inoltre, prevedono una minima partecipazione da parte dei gruppi principali (operazioni, finanza, IT, rischio o sicurezza). La responsabilità di BC rimane non assegnata.

3 Gli interventi di ripristino sono generalmente caotici e ad hoc, oltre che basati su "misure eroiche". Le organizzazioni non hanno fiducia nelle loro capacità di sopravvivere in seguito a un'interruzione del business. Gli obiettivi di ripristino, le priorità e le aspettative sono stati stabiliti senza valutazioni dei rischi o analisi BIA. Le strategie di business continuity sono ad hoc e non esistono piani di BC documentati. I processi di test, formazione e riconoscimento non sono stati implementati, mentre la gestione degli effetti dell'interruzione del business si basa su processi relativi alla continuity non testati o poco testati. Se da un lato il disaster recovery IT è l'aspetto più collaudato del processo di continuity, dall'altro si coordina raramente con la pianificazione della BC o della gestione delle crisi. I dipendenti non hanno molte informazioni sul loro ruolo durante il ripristino e incidono potenzialmente sulla probabilità di riuscita. La pianificazione e il test di BC o DR IT non si evolvono con il cambiamento e con le priorità del business. In caso di cambiamenti a livello di organizzazione, processi, priorità e requisiti dell'azienda, le valutazioni dei rischi, le analisi BIA e i piani di BC/DR non si evolvono di pari passo. L'IMPATTO DELLE NORMATIVE SUI PROGRAMMI DI BCM Molte aziende, tra cui società quotate in borsa, enti governativi e aziende del settore sanitario, finanziario e delle utility, stabiliscono normative interne per garantire un certo livello di governance BCM. Esistono più di 100 norme, metodi, modelli di maturità, linee guida e leggi relativi alla BC o al DR. Queste authoritative source possono essere regionali o specifiche di ogni paese, del settore o di una materia e forniscono suggerimenti pratici, best practice di fornitura e molto altro ancora. Uno degli standard BCM più recenti è la tanto attesa norma ISO 22301, la quale definisce i requisiti per la configurazione e la gestione di sistemi BCMS (Business Continuity Management System) efficienti. Questo standard rappresenta un miglioramento in aree quali la risposta alle calamità e la comunicazione in stato di crisi. Inoltre, rende la governance esecutiva il fulcro di ogni programma di BCM, il quale potrebbe diventare più rigoroso da implementare per alcune aziende. Di conseguenza, molte organizzazioni si trovano con più domande che risposte: a quali standard bisogna essere conformi e perché? Una volta identificati gli standard, come si gestiscono i conflitti tra norme e quali norme sono prioritarie? A questo proposito, come si introducono tali requisiti nel programma esistente? Se inglobate, le authoritative source forniranno valide linee guida o saranno solo una checklist dei requisiti? In caso di audit, come si dimostra la conformità del programma adottato? Infine, come si può spiegare e giustificare tutto ciò ai dirigenti esecutivi e ai business partner? Queste domande riguardano i programmi di BC/DR a qualsiasi livello di maturità. Nel mondo del business odierno, l'unica cosa certa è il cambiamento. Le organizzazioni devono saper individuare eventuali cambiamenti nelle authoritative source che seguono, nonché nuovi standard e le relative implicazioni sul business e sul programma di BCM. Le aziende devono anche prestare attenzione ai cambiamenti nel loro business, come ad esempio acquisizioni che potrebbero richiedere ulteriori authoritative source, dimissioni che potrebbero ridurre il numero di standard a cui essere conformi o altri cambiamenti con effetti negativi sul programma di BCM.

4 GESTIONE DI BC E DR A UN LIVELLO SUPERIORE Per consentire alle aziende di portare la gestione di BC e DR a un livello superiore, occorre tenere in considerazione quanto segue: Pianificazione di BC e DR contestualizzata nel business: Come si riconoscono gli aspetti importanti senza sapere la criticità del business? Quali sono i processi più critici? Quali sono i giusti obiettivi di ripristino? Quali asset IT supportano i processi aziendali e, di conseguenza, "ereditano" gli stessi requisiti di ripristino? Tutte queste domande devono trovare risposta nella fase in cui si determinano le priorità di ripristino, le strategie, i test e l'attivazione. Tramite un processo aziendale centralizzato e un repository di asset correlato alle risorse IT di supporto, la gestione può catalogare e organizzare l'infrastruttura in modo da determinare gli elementi da ripristinare e come questi sono associati. Allineamento della pianificazione di BC e DR alle priorità aziendali Secondo lo standard ISO 22301, la BCM dovrebbe essere in linea con le priorità del business e gli obiettivi strategici dell'azienda, assicurando la flessibilità necessaria per adattarsi e reagire ai cambiamenti in termini di priorità. Le aziende sono fluide. Le cose cambiano. Le priorità vengono valutate regolarmente; perché con la pianificazione e l'esecuzione della BCM non si fa altrettanto? Le strategie di ripristino adatte in una parte del mondo o in una determinata situazione potrebbero non esserlo in un'altra. La domanda è: le priorità e le strategie di ripristino sono in grado di far fronte ai rischi e a potenziali interruzioni? Se la risposta è no, la BCM non è altro che un piano su carta che non consente necessariamente all'azienda di sopravvivere a un guasto irreparabile. La gestione deve quindi prendere i processi aziendali e il catalogo degli asset e iniziare a determinare le criticità e le priorità di ripristino, come ad esempio l'rto (Recovery Time Objective). Se più gruppi vogliono definire tali priorità, per farlo sarà necessario adottare una metodologia e un approccio centralizzati. I risultati delle analisi BIA possono essere utilizzati per numerose attività, tra cui la gestione delle minacce, la gestione dei rischi e la conformità. Gestione delle crisi e pianificazione di BC/DR integrate C'è differenza tra il cavarsela con uno "sforzo eroico" durante un evento di crisi e gestire l'evento in modo proattivo secondo una pianificazione prestabilita, risolvendo il problema grazie a piani di BC/DR adeguati e il ripristino dei processi interrotti e degli asset entro gli obiettivi di ripristino prefissati. Questa è una grande sfida per la maggior parte delle aziende. Per gestire efficacemente una crisi è importante disporre degli strumenti giusti e di processi operativi facilmente integrabili tra loro. Testando ripetutamente non solo i piani di BC/DR, ma anche la gestione delle crisi, è possibile incrementare le probabilità di successo. Gestione del programma nel suo complesso Gestire nel complesso significa riunire tutto, dalla pianificazione ai test fino all'esecuzione, generare report, apportare miglioramenti e iniziare il processo da capo. Mantenere il programma di BCM in linea con i cambiamenti aziendali, le normative, le nuove attività e altri fattori interni ed esterni è un aspetto fondamentale. Un programma di BCM efficace richiede attenzione da parte dei dirigenti e l'assegnazione di priorità. Ciò è possibile quando vi è implementato un programma di BCM efficiente e riferibile in grado di comprendere e soddisfare le esigenze dell'organizzazione, nonché di eseguire il ripristino in seguito a un'interruzione.

5 Operazioni Monitoraggio del programma Enterprise Management Visibilità PERCHÉ SCEGLIERE RSA ARCHER FOR BCM AND OPERATIONS? RSA Archer Business Continuity Management (BCM) offre un approccio 3 in 1 alla business continuity, al disaster recovery e alla gestione delle crisi, il tutto in un unico sistema di gestione. Inoltre, consente alle aziende di rispondere con rapidità agli eventi di crisi in modo da proteggere le operazioni, valutare la criticità dei processi aziendali e delle tecnologie di supporto e sviluppare piani dettagliati di business continuity e disaster recovery utilizzando workflow automatizzati per il test e l'approvazione dei piani. RSA Archer BCM è stato sviluppato con la collaborazione di aziende Fortune 1000 e degli esperti di rischi operativi di Accenture, Deloitte & Touche, E&Y, KPMG e Wipro. Con RSA Archer Business Continuity Management, la pianificazione della continuity è in linea con le priorità e gli obiettivi aziendali. Inoltre, le strategie e i piani di ripristino sono progettati e testati sulla base di processi e metodi di BC/DR coerenti: in questo modo, il personale addetto sa esattamente come comportarsi in situazioni di crisi. Le aziende possono gestire l'esecuzione dei piani e la comunicazione in caso di emergenza per minimo i danni a dipendenti, clienti e operazioni aziendali, oltre che alla reputazione.

6 RSA Archer BCM supporta piani di BC/DR aggiornati e automatizzati per consentire l'accesso agli ambienti e ai processi aziendali più recenti durante un'interruzione del servizio. I processi coerenti forniscono visibilità sullo stato corrente dei piani aziendali, sulle date di revisione, sui risultati dei test, sugli stati delle azioni correttive e delle attività di crisi, consentendo la collaborazione tra i team di BC, DR e crisi. Il personale addetto alle emergenze può rispondere in modo efficiente a un evento di crisi con procedure passo passo documentate. I piani di BC/DR sono collegai ai repository aziendali di processi, asset, infrastrutture e contatti, favorendo la responsabilità e l'allineamento dei piani con le priorità aziendali. Il Senior Management comprende i rischi legati alla continuity e dispone di informazioni sui requisiti in termini di budget, oltre che di un certo livello di sicurezza circa l'attuazione di un piano in caso di crisi. RSA Archer fornisce esperienza out-of-the-box per quanto riguarda le normative, le minacce e le best practice associate alla soluzione RSA Archer BCM, consentendo alle aziende di risparmiare tempo e risorse nella gestione della sicurezza, del rischio e della conformità. Funzionalità mobili per l'accesso ai piani di BC, DR e CM e alle attività di ripristino da qualsiasi luogo in caso di crisi Interfaccia intuitiva che consente agli utenti aziendali di apportare modifiche senza codici personalizzati Integrazione della business continuity in un piano GRC aziendale di più ampio respiro, così da consentire la misurazione coerente e la generazione di report sui rischi a livello enterprise Centralizzazione e coordinamento di valutazioni dei rischi, analisi BIA, piani di business continuity/disaster recovery IT e gestione delle crisi ANALISI DEI RISCHI E IMPACT ANALYSIS BCM Risk Register consente alle aziende di individuare, valutare e pianificare i rischi che potrebbero avere un impatto sul loro business. L'analisi BIA (Business Impact Analysis) raccoglie informazioni sui processi aziendali in termini di criticità, RTO e RPO, per poi condividerle con gli altri team in un formato semplice e coerente.

7 PIANIFICAZIONE DELLA BUSINESS CONTINUITY E DEL DISASTER RECOVERY Sviluppa piani di ripristino dettagliati per i processi aziendali o gli asset IT utilizzando workflow automatizzati per il test e l'approvazione dei piani. L'applicazione fornisce un metodo per documentare i risultati dei test del piano di BC/DR, la proprietà e il workflow. GESTIONE DELLE CRISI E RISPOSTA Segnala e gestisci gli eventi di crisi, invia notifiche di emergenza al personale interessato per fornire informazioni sulla situazione e attiva piani di BC/DR per ripristinare le operazioni, le strutture o l'infrastruttura IT che hanno subito un'interruzione. COLLABORAZIONE OPERATIVA A LIVELLO AZIENDALE Integra RSA Archer BCM con RSA Archer Enterprise Management per mettere in correlazione componenti di BCM quali rischi, analisi BIA, piani di ripristino o crisi con unità organizzative (ad es. divisioni, business unit) e infrastrutture (ad es. processi, strutture, applicazioni IT o record importanti) a scopo di visibilità, proprietà e generazione di report. Associa i piani di BC/DR direttamente a un repository di gerarchia aziendale e all'infrastruttura di livello enterprise. Integra gli altri processi GRC, tra cui la gestione dei rischi di livello enterprise, l'incident Management o la gestione di terze parti, per allineare gli interventi di ripristino agli obiettivi e alle priorità aziendali. Valuta l'idoneità del ripristino e verifica la conformità con le principali authoritative source o metodologie. APPLICAZIONE MOBILE BCM Le aziende possono utilizzare al meglio l'applicazione mobile RSA Archer BCM per visualizzare i piani di BC/DR, le strategie, le strutture ad albero delle chiamate e i requisiti in base al ruolo degli utenti. Questa applicazione integra i piani in formato cartaceo per garantire availability in qualsiasi luogo e consentire una rapida risposta in caso di crisi. Inoltre, l'applicazione mobile offre alle aziende high availability reale dei piani di BC/DR grazie all'accesso offline quando il data center non è disponibile.

8 PIATTAFORMA EGRC La piattaforma RSA Archer egrc supporta una gestione di livello business della governance, dei rischi e della conformità. Elemento fondamentale di tutte le soluzioni RSA Archer egrc, questa piattaforma può essere adattata ai requisiti dell'organizzazione e integrata con altri sistemi senza dover modificare righe di codice. Si tratta di una piattaforma comune e flessibile per l'automazione dei processi, l'integrazione e la generazione di report che consente agli utenti aziendali di gestire i loro processi di BC/DR e crisi. La piattaforma offre workflow e notifiche coerenti e facili da utilizzare, con generazione di report in tempo reale e dashboard in grado di fornire visibilità sullo stato e sulle attività di BC/DR e crisi. EGRC CONTENT LIBRARY RSA Archer egrc Content Library offre la knowledgebase più completa del settore per contenuti egrc (Enterprise Governance, Risk and Compliance). Questa libreria include policy relative alle best practice, standard e procedure di controllo, domande sulla valutazione e authoritative source premappate per avviare rapidamente la generazione di report. COMMUNITY EGRC La community Archer egrc è una rete online che conta oltre professionisti nel campo della governance, dei rischi e della conformità che collaborano sulle sfide di egrc e BCM, analizzando le tendenze e fornendo linee guida per migliorare ulteriormente i prodotti in futuro. SERVIZI PROFESSIONALI RSA ARCHER E SERVIZI EMC CONSULTING RSA Archer offre consulenza sui processi di BC, DR e CM a cura dei consulenti di implementazione RSA Archer egrc e degli esperti EMC in materia di BC/DR. CONCLUSIONI Per essere efficaci, i programmi BCM devono avere una gestione centralizzata, integrare una metodologia o un approccio di base, coinvolgere risorse umane a livello aziendale e dell'it, nonché disporre di un set di strumenti in grado di semplificare il processo rendendolo più efficiente e trasparente. Con la soluzione RSA Business Continuity Management and Operations, le aziende possono implementare un processo di gestione olistico per prepararsi in caso di eventuali interruzioni dei processi aziendali e gestire le crisi e i rischi associati alle operazioni aziendali. Le aziende possono ottimizzare il loro approccio alla pianificazione della business continuity e del disaster recovery, oltre che gestire le crisi in modo rapido ed efficace con un'unica soluzione. CONTATTI Per saperne di più sulle possibilità offerte da prodotti, servizi e soluzioni EMC per risolvere le problematiche aziendali e dell'it, rivolgersi al rappresentante locale o a un rivenditore autorizzato oppure visitare il sito EMC 2, EMC, il EMC logo e RSA Archer sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. VMware è un marchio registrato di VMware, Inc. negli Stati Uniti e in altre giurisdizioni. Copyright 2012 EMC Corporation. Tutti i diritti riservati. 01/13 Prospettiva EMC EMC ritiene che le informazioni contenute in questo documento siano esatte al momento della sua data di pubblicazione. Le informazioni sono soggette a modifica senza preavviso.