Gruppo di ricerca su. Business Continuity Management & Auditing

Transcript

1 Gruppo di ricerca su & Auditing AIEA (Milano 26 novembre 2009) Sabrina Pozzi

2 Indice Analisi del contesto e gestione del rischio (Business Impact Analysis) Principali attività da svolgere Identificazione e valutazione dei processi Dipendenza dei processi critici dalle Risorse Definizione dell RTO e RPO Approvazione dei risultati 2

3 Analisi del contesto e gestione del rischio (Business Impact Analysis) La BIA si pone quindi l obiettivo di valutare (in modo quali/quantitativo) l impatto derivante da un interruzione dei processi di business al fine di identificare attività, prodotti o servizi critici che supportano i processi stessi. Obiettivi: l identificazione dei processi critici dell Azienda l identificazione delle dipendenze esistenti tra i vari processi la valutazione dell impatto derivante dalla distruzione o perdita di personale, tecnologia, informazioni, infrastrutture, qualità dei servizi, immagine l individuazione delle risorse critiche la valutazione di RTO ed RPO l identificazione degli obiettivi di ripristino 3

4 Principali attività da svolgere processi Dipendenza processi/asset Censimento dei processi critici Analisi d impatto sul Business Valutazione delle vulnerabilità Identificazione delle dipendenze dei processi critici dalle risorse critiche RTO/RPO Valutazione di RTO e RPO risultati Validazione da parte della Direzione 4

5 Censimento dei processi critici Raccolta dei dati interviste mirate utilizzo di questionari organizzazione di seminari/riunioni/sessioni di lavoro ad hoc Sintesi dei risultati lista dei processi descrizione dei processi processi processi che, per la rilevanza dei danni conseguenti alla loro indisponibilità, necessitano di alti livelli di continuità operativa da conseguire mediante misure di emergenza da attivare in caso di incidente attribuzione di un livello di criticità utilizzo di una metodologia appositamente definita, ad esempio, con il supporto della Funzione Risk Management aziendale 5

6 Principali attività da svolgere processi Dipendenza processi/asset Censimento dei processi critici Analisi d impatto sul Business Valutazione delle vulnerabilità Identificazione delle dipendenze dei processi critici dalle risorse critiche RTO/RPO Valutazione di RTO e RPO risultati Validazione da parte della Direzione 6

7 Determinare preliminarmente gli scenari di rischio intesi come tipologie di circostanze che possono minacciare il business Scenari di rischio Analisi d impatto sul business distruzione o inaccessibilità dei locali indisponibilità del personale chiave interruzione del sistema informativo interruzione dei servizi infrastrutturali perdita di documentazione e dotazioni specifiche Per ogni processo critico e per ciascuno scenario di rischio stimare: impatto sui clienti impatto su altri processi (interni/esterni) evoluzione della gravità dell impatto nel tempo perdita di competitività danno d immagine perdita economica 7

8 Principali attività da svolgere processi Dipendenza processi/asset Censimento dei processi critici Analisi d impatto sul Business Valutazione delle vulnerabilità Identificazione delle dipendenze dei processi critici dalle risorse critiche RTO/RPO Valutazione di RTO e RPO risultati Validazione da parte della Direzione 8

9 Valutazione delle vulnerabilià Debolezze del processo che, qualora sfruttate da una minaccia, potrebbero comportare un danno per il business Vulnerabilità (es. legato ai sistemi informativi) errori di progettazione di HW e WS malfunzionamenti collocazione geografica del sistema informativo insufficienza di procedure. L identificazione dei punti deboli del processo dovrebbe tener conto almeno di: vulnerabilità storiche presenza di siti alternativi livello di preparazione del personale vulnerabilità percepite dal responsabile del processo 9

10 Principali attività da svolgere processi Dipendenza processi/asset Censimento dei processi critici Analisi d impatto sul Business Valutazione delle vulnerabilità Identificazione delle dipendenze dei processi critici dalle risorse critiche RTO/RPO Valutazione di RTO e RPO risultati Validazione da parte della Direzione 10

11 Dipendenza dei processi critici dalle Risorse Risorse personale chiave dati e documenti siti infrastrutture (cavi e collegamenti di rete) tecnologia e applicazioni Impianti 11

12 Dipendenza dei processi critici dalle Risorse In particolare: Risorse umane numero minimo di personale necessario affinché il processo in esame possa operare in regime di crisi tipo di risorsa necessaria ruoli chiave competenze chiave personale esterno (consulenti, fornitori, Pubbliche Autorità, ecc) Documentazione tipologia di documentazione critica (procedure di lavoro, manuali operativi, manuali tecnici, ecc); nome e codice del documento; localizzazione; applicabilità 12

13 Postazioni di lavoro (PDL) Dipendenza dei processi critici dalle Risorse composizione della PDL (PC desktop/laptop, punto rete, periferiche, scrivania, sedia, ecc) configurazione PC numero di PDL elenco fornitori/manutentori e livelli di servizio da garantire (SLA Service Level Agreement) Dotazioni tecniche/informatiche a supporto del processo tipologia (telefoni cellulari/satellitari/voip, PC particolari/workstation, stampanti/monitor aggiuntivi, dotazioni per sale videoconferenza, ecc) quantità elenco fornitori/manutentori e livelli di servizio da garantire (SLA Service Level Agreement) Applicazioni informatiche a supporto del processo tipologia applicazione/circuito telematico (ad esempio, collegamenti con Borsa, Agenzia delle Entrate, ecc.) elenco fornitori/manutentori e livelli di servizio da garantire (SLA Service Level Agreement) 13

14 Dipendenza dei processi critici dalle Risorse Infrastrutture tipologia (cavi, collegamenti di rete, ecc) elenco fornitori/manutentori e livelli di servizio da garantire (SLA Service Level Agreement) Siti collocazione (indirizzo) localizzazione precisa di stanze/uffici/aree di lavoro (numero edificio/stabilimento, piano, numero stanza/ufficio) tipologia di accesso (libera, tramite badge o particolari autorizzazioni, ecc.) Impianti industriali tipologia impianto elenco fornitori/manutentori e livelli di servizio da garantire (SLA Service Level Agreement) 14

15 Principali attività da svolgere processi Dipendenza processi/asset Censimento dei processi critici Analisi d impatto sul Business Valutazione delle vulnerabilità Identificazione delle dipendenze dei processi critici dalle risorse critiche RTO/RPO Valutazione di RTO e RPO risultati Validazione da parte della Direzione 15

16 RTO (Recovery Time Objective) Definizione dell RTO e RPO Massimo periodo di tempo entro il quale il processo deve essere ripristinato ovvero essere riportato nelle condizioni per poter ripartire massima durata tollerata dell interruzione occorsa Opportuno valutare anche il tempo necessario a smaltire il lavoro accumulato durante il periodo del fuori-servizio Difatti, alla ri-partenza del processo, potrebbe esistere un tempo transitorio per il recupero del lavoro arretrato che può incidere sull efficienza del processo e sulla sua ripresa a regime 16

17 RPO (Recovery Point Objective) Definizione dell RTO e RPO Periodo di tempo massimo che può intercorrere tra l ultimo salvataggio dei dati di un processo e il verificarsi dell evento che causa l arresto del processo. L RPO è uno dei parametri usati nell ambito delle politiche di Disaster Recovery e descrive la tolleranza ai guasti di un sistema informatico rappresentando il tempo massimo che intercorre tra la produzione di un dato e la sua messa in sicurezza (ad esempio attraverso backup) 17

18 Principali attività da svolgere processi Dipendenza processi/asset Censimento dei processi critici Analisi d impatto sul Business Valutazione delle vulnerabilità Identificazione delle dipendenze dei processi critici dalle risorse critiche RTO/RPO Valutazione di RTO e RPO risultati Validazione da parte della Direzione 18