Business Continuity Plan Linee guida per la stesura e l implementazione delle procedure sostitutive in APSS

Transcript

1 Nucleo P.I.C. Processi, flussi piani di Continuità Business Continuity Plan Linee guida per la stesura e l implementazione delle procedure sostitutive in APSS Redatto da: Giampaolo Franco Collaborazione: Versione: 2.0 Data emissione: 1 novembre 2006 Firma Data Rivisto: Damiano Vozza Approvato: Distribuito a: EVERYONE pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007

2 Nucleo Processi, Flussi pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 2/28

3 Indice Nucleo Processi, Flussi Introduzione...5 Procedure sostitutive come parte del Business Continuity Management...7 Definizione di procedura sostitutiva...9 Che cosa deve prevedere una procedura ordinaria...10 Che cosa deve prevedere una procedura sostitutiva...12 Considerazioni per chi utilizza la procedura sostitutiva...15 Formazione in linea generale...15 Formazione in linea specifica...15 La stesura di procedure sostitutive...17 Studio...17 Creazione...17 Approvazione...17 Collaudo...17 Revisione...17 Validazione...18 Utilizzo di mezzi alternativi al sistema informatico...19 Utilizzo del cartaceo...19 Utilizzo di apparecchi per la telefonia fissa e per la telefonia mobile...19 Utilizzo del fax...20 Utilizzo della posta interna...20 Utilizzo di supporti magnetici...20 Altri supporti informatici...20 Come impostare una procedura sostitutiva a fronte di incidenti...21 Le strategie per il Business Continuity Management...23 Elaborazione del piano di Business Continuity...24 Definizione di obiettivi ed ipotesi...24 Definizione del Business Impact Analysis...24 Progetto e sviluppo del piano...25 Realizzazione del piano...25 Test del piano di BCP...25 Manutenzione del piano...26 Esecuzione in caso di disastro...26 Conclusioni...28 Bibliografia e riferimenti...28 pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 3/28

4 Nucleo Processi, Flussi pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 4/28

5 Nucleo Processi, Flussi Introduzione I Sistemi, nell ambito della propria mission aziendale di gestione e sviluppo del sistema informativo aziendale, hanno l incarico nell ambito della Business Continuity di sviluppare e implementare il BCP (Business Continuity Plan) in ambito informatico e il compito di stimolare e di supportare lo studio e l analisi di procedure alternative a quelle informatiche, per favorirne l integrazione con gli altri processi aziendali, in particolare con le procedure ICT (Information and Communication Technology). Il Servizio intende presentare alcune linee guida quale strumento utile alla stesura delle procedure sostitutive, nell intento di fornire un supporto ed un aiuto pratico a chi tali procedure deve sviluppare, come le direzioni D.O.C., i Servizi e le U.O. che utilizzano procedure informatiche critiche aziendali; le linee guida sono di natura informativa e programmatica e non precettiva, in quanto si è ben consapevoli della complessità e vastità dell organizzazione aziendale, dei diversi assetti e aspetti organizzativi e funzionali delle sue strutture interne, dell eterogeneità delle professioni in essa operanti. Le principali funzioni che il Servizio può svolgere in tale ambito sono: supporta l analisi dei processi da un punto di vista tecnico/informatico; supporta l analisi di procedure informatiche per quanto riguarda la continuità ed in particolare in aree mission critical; indica i requisiti di sicurezza / privacy e continuità che occorre rispettare nelle procedure di routine e alternative e nella fase di analisi, sviluppo, acquisizione di nuove procedure; concorre all individuazione dei processi critici informatici, all identificazione delle criticità delle procedure informatiche e dei principali asset (beni) informatici da salvaguardare; collabora all individuazione di soluzioni informatiche alternative se esistenti e applicabili. In questo documento il nucleo PIC propone alcune indicazioni che possono costituire un filo conduttore anche per cominciare ad identificare la filosofia ed il comportamento nella sicurezza dei servizi ritenuti particolarmente importanti dall Azienda e nell ambito del Business Continuity Management. Ricordiamo che tali servizi vengono menzionati come mission critical e sono i seguenti: WAN rete geografica LAN rete locale e cablaggi strutturati Anagrafe assistiti e sistemi di accettazione SIO, PS, 118 Laboratorio Radiologia Posta elettronica Lo scopo del Business Continuity Management in generale è comunque quello di garantire la continuità dei processi dell Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi erogati tramite il supporto dell infrastruttura di ICT, prevedendo e minimizzando l impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 5/28

6 Nucleo Processi, Flussi Le terminologie di CNIPA E bene specificare che esiste un conflitto di terminologie tra il significato di critico che utilizza l Azienda in questa catalogazione. L Azienda definisce come Mission Critical i servizi critici o le attività di supporto al Business (interne o in outsourcing) senza i quali l organizzazione non può raggiungere i propri obiettivi. Secondo il CNIPA invece i sistemi critici non possono essere sostituiti da nulla di alternativo (solo da qualcosa di identico). Per definizione quindi i sistemi critici non prevedono nessuna procedura sostitutiva. E qui ricordiamo che il termine critico viene utilizzato dall APSS impropriamente ed in maniera generica, perché la catalogazione dei suddetti sistemi deve essere ancora fatta nell ambito dell analisi dei rischi, come previsto dalla metodologia proposta dallo stesso CNIPA. E chiaro che questi sistemi ritenuti critici, in realtà potranno essere vitali, piuttosto che delicati, non-critici; potrebbero risultare critici o vitali servizi o procedure finora ritenuti poco rilevanti. Si ritiene opportuno al momento, per facilitare la comprensione all interno dell Azienda, mantenere la terminologia di sistemi critici. Si pensa comunque di risolvere i conflitti terminologici attraverso una capillare attività formativa e di sensibilizzazione del personale dei reparti dell Azienda interessati. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 6/28

7 Nucleo Processi, Flussi Procedure sostitutive come parte del Business Continuity Management Lo sviluppo delle procedure ordinarie e delle procedure sostitutive, in generale si collega alla creazione di un sistema di Business Continuity Management. Secondo il CNIPA, tale sistema dovrà tenere in considerazione le seguenti componenti: Crisis and Incident Management: assicura la gestione dello stato di crisi e la risposta ad incidenti nel caso in cui si verifichi un evento in grado di compromettere la continuità dell operatività Continuity Management: assicura la continuità dei processi durante e dopo un emergenza attraverso la predisposizione di processi/procedure alternative (spesso manuali) a quelle normalmente supportate dall infrastruttura di ICT Disaster Recovery Management: assicura il recovery delle infrastrutture tecnologiche a supporto dei processi di Business Business Recovery Management: assicura il recovery dei processi di Business dopo un emergenza e il ritorno alla normalità La pianificazione di un sistema di Business Continuity Management è una misura preventiva nell ambito della gestione dei rischi, con particolare riferimento ai rischi di disponibilità delle informazioni. L esecuzione dei piani e delle procedure previste in caso di eventi in grado di compromettere la continuità operativa deve essere rivolta a ridurre al minimo gli impatti derivanti dal verificarsi di tali eventi. Le procedure sostitutive, in quanto dirette a garantire la continuità operativa e del business aziendale, sono definite e attuate a cura delle singole aree di business, ovvero delle strutture organizzative aziendali (Ospedali/Dipartimenti/Distretti ecc.) e ricadono sotto la loro diretta responsabilità. La responsabilità delle procedure sostitutive deve essere formalizzata e il responsabile deve essere reso consapevole delle incombenze relative stesura, applicazione, aggiornamento che verranno specificate nel seguito. Il ciclo del Business Continuity Management Il ciclo di realizzazione del Sistema di Business Continuity Management deve prevedere le seguenti fasi: Progettazione del BCM: prevede il disegno e la pianificazione dell intero sistema sia negli aspetti organizzativi che tecnologici Implementazione del BCM: prevede l implementazione del sistema progettato con particolare attenzione agli aspetti di comunicazione/sensibilizzazione diffusa e di formazione specifica sulle procedure e sui piani pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 7/28

8 Nucleo Processi, Flussi Monitoraggio del BCM: prevede il monitoraggio dell efficacia del sistema implementato attraverso test e simulazioni dei piani e audit periodici specifici Mantenimento ed ottimizzazione: prevede l evoluzione del sistema in relazione ai feedback derivanti dal monitoraggio ed eventuali ulteriori requisiti interni ed esterni sopraggiunti nel frattempo ed avvia un nuovo ciclo progettuale. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 8/28

9 Nucleo Processi, Flussi Definizione di procedura sostitutiva Per procedura sostitutiva si intende quella procedura automatica o manuale che si va a sostituire alla procedura ordinaria, nel caso in cui quest ultima non sia più attuabile per determinate cause e/o incidenti. Vi possono essere infatti degli eventi che vanno ad ostacolare, fino a bloccare del tutto, la normale operatività svolta dalla procedura ordinaria. Tra gli eventi più importanti che bloccano la normale operatività, possiamo identificare i seguenti: Black-out elettrico Incendio, allagamento, crollo Attacco virale massiccio (disturbo, worm, denial of service) Attacchi logici e di hacker (interfaccia, applicazione, dati, server): attacco di intercettazione e deduzione (alla riservatezza), di intrusione (alla riservatezza ed integrità), di disturbo (alla disponibilità), o spamming Attacchi fisici (furto o danneggiamento) Down di sistema (server, apparati di rete o servizio), di natura hardware o software Altri eventi distruttivi quali terremoti o altre catastrofi naturali Bisogna sempre tenere presente che certi attacchi possono essere fatti appositamente e deliberatamente per depistare o ridurre il grado di sicurezza su altri veri obiettivi di attacco già scelti. Inoltre le minacce di tipo doloso possono anche provenire da operatori/ambienti sia interni sia esterni ad APSS ed in particolare da utenti connessi alla rete internet. Le procedure sostitutive, soprattutto dal punto di vista della sicurezza, dovranno essere in grado di consentire l erogazione dei servizi, specialmente quelli rivolti al pubblico, con un livello di sicurezza adeguato e con un accettabile livello di operatività, fino al ripristino delle normali funzionalità svolte dalla procedura ordinaria. Ogni procedura sostitutiva ha un owner (possessore, es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 9/28

10 Nucleo Processi, Flussi Che cosa deve prevedere una procedura ordinaria Innanzitutto occorre definire gli aspetti che caratterizzano una procedura ordinaria. Tale procedura innanzitutto dovrebbe essere perfettamente in regola dal punto di vista normativo, dal punto di vista della sicurezza e da quello privacy. Ricordiamo che abbiamo dei requisiti e delle norme legislative da rispettare (in particolare per quanto riguarda il Dlgs196/2003). Inoltre vi è anche il Documento Programmatico sulla Sicurezza che descrive le caratteristiche che deve possedere una procedura ordinaria. Il CNIPA ed il Ministero dell innovazione e delle tecnologie ha fornito apposite linee guida nell ambito della Sicurezza Informatica e della Business Continuity e tali linee guida dovranno essere rispettate dalla procedura ordinaria. Per tutto ciò che è riportato nelle singole normative e nei regolamenti citati, si rimanda ai documenti originali. In aggiunta alle specifiche normative e di sicurezza minime sopra elencate, per poter andare incontro ad un eventuale procedura sostitutiva, una procedura ordinaria dovrà possedere anche i seguenti requisiti: Documentazione completa della procedura E opportuno che una procedura ordinaria sia totalmente documentata, per permettere agli utenti di conoscere in maniera esaustiva le funzionalità che essi sono abilitati a svolgere, per conoscere in ogni momento se la procedura è funzionante secondo le specifiche aziendali o meno. Sarà opportuno documentare nel manuale come è possibile riconoscere un malfunzionamento della procedura, come comportarsi in prima battuta in caso di incidenti e malfunzionamenti. Sarà opportuno definire nel manuale una apposita sezione di troubleshooting, per descrivere come riscontrare il tipo di errore e come comportarsi di conseguenza. Si dovrebbe ulteriormente indicare e descrivere l opportuna procedura sostitutiva da seguire per l incidente riscontrato. Analisi di processo. Un analisi chiave del percorso del processo della procedura, nei suoi aspetti e nelle sue particolarità e criticità, soprattutto dal punto di vista gestionale ed organizzativo. Capire la natura del processo e in ambito B.C. identificare le variabili più importanti da evincere nell analisi, per permettere l ottimizzazione ed il miglioramento di molte fasi del processo stesso. Una procedura informatica dovrebbe sempre prevedere questo tipo di requisito, che spesso non è così ovvio e scontato. Questo approccio può essere fondamentale per coinvolgere tutto il personale sanitario, ottimizzare le risorse, ridurre le tempistiche, e soprattutto imparare a cooperare ed a lavorare in gruppo in ottica multidisciplinare e multiprofessionale. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 10/28

11 Nucleo Processi, Flussi Possibilità di stampa e/o consultazione del manuale operativo La documentazione dovrà essere sempre disponibile, nella forma di un manuale operativo da destinare agli utenti. Dovrà essere previsto un sistema on-line per permettere la consultazione e la stampa delle pagine o dell intero manuale operativo, che contestualmente dovrà essere sempre aggiornato. Possibilità di inserire i dati raccolti dopo eventuali blocchi La procedura ordinaria dovrà prevedere l inserimento in un secondo tempo dei dati raccolti, in forma cartacea o mediante altre procedure o altri supporti informatici, durante eventuali blocchi della stessa e a supporto di eventuali procedure sostitutive. Sarà opportuno specificare in che modo i dati saranno raccolti, anche nel rispetto dei requisiti minimi di integrità, validità e confidenzialità del data entry e nel caso di dati ritenuti particolarmente sensibili. Possibilità di stampa della modulistica in bianco per eventuali modelli cartacei sostitutivi In mancanza dei supporti di memorizzazione informatici forniti dalla procedura, sarà probabilmente d obbligo l utilizzo di materiale cartaceo, per permettere la scrittura dei dati in previsione del futuro reinserimento degli stessi. Sarà quindi opportuno che la procedura ordinaria fornisca la stampa degli appositi moduli cartacei sostitutivi per poter essere utilizzati a tale scopo. Andranno creati in maniera chiara, dovranno essere facilmente compilabili, dovranno poter permettere la lettura e l interpretazione anche da parte di altri operatori che saranno addetti al successivo data entry. Segnalazione dell incidente La procedura ordinaria dovrà prevedere la possibilità di poter segnalare in maniera efficiente e sicura, mediante un apposito modulo elettronico o cartaceo di descrizione, l incidente e le cause che l hanno bloccata. Questa segnalazione sarà sviluppata secondo uno standard da definirsi in dettaglio, con apposite istruzioni e regolamenti da emanare al riguardo. Formazione continua per il personale, soprattutto per i neo-assunti Apposite sessioni formative che riguardano l utilizzo corretto della procedura, la sicurezza e tutti gli aspetti inerenti ad essa e qui sopra citati. Queste sessioni di formazione saranno sviluppate secondo uno standard, e verranno studiate prossimamente nel dettaglio. Verranno quindi date successivamente apposite istruzioni e regolamenti a riguardo. Ogni procedura ordinaria ha un owner (possessore es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 11/28

12 Nucleo Processi, Flussi Che cosa deve prevedere una procedura sostitutiva Per definizione la procedura sostitutiva può essere di tipo automatico o manuale. Si potranno quindi utilizzare nel caso di memorizzazione dei dati, supporti cartacei oppure altri supporti informatici o elettronici alternativi, ove disponibili, al fine di fornire automatismo all utilizzo della stessa. Ad esempio per le comunicazioni, potranno essere validi mezzi come il fax, il telefono, o l invio tramite posta tradizionale. Tali mezzi si andranno a sostituire alla procedura ordinaria, nel caso in cui quest ultima non sia più attuabile per determinate cause e/o incidenti. In termini generali, la procedura sostituiva è sotto la diretta responsabilità della struttura (Ospedale/Dipartimento/Distretto ecc.) che la redige e la applica; la procedura sarà adeguata all organizzazione e alle finalità della struttura organizzativa che la produce. Ogni procedura sostitutiva dovrà essere conforme alle normative, dal punto di vista della sicurezza e da quello della privacy; i requisiti e le norme legislative da rispettare (in particolare per quanto riguarda il Dlgs 196/2003) sono praticamente le stesse che caratterizzano una procedura ordinaria. Il Documento Programmatico sulla Sicurezza aziendale descrive le caratteristiche che deve possedere una procedura ordinaria in termini di sicurezza; ovviamente tali caratteristiche dovranno essere adottate dalla procedura sostitutiva, ove possibile. Il CNIPA ed il Ministero dell Innovazione e delle Tecnologie hanno fornito apposite linee guida nell ambito della Sicurezza Informatica e della Business Continuity; tali linee guida dovranno essere rispettate dalla procedura sostitutiva, ove possibile. In aggiunta ai requisiti minimi normativi e di sicurezza sopra citati, una procedura sostitutiva dovrà tener conto dei seguenti aspetti: Analisi di processo. Dapprima seguire l analisi chiave del percorso del processo della procedura ordinaria, nei suoi aspetti e nelle sue particolarità e criticità, soprattutto dal punto di vista gestionale ed organizzativo. Cercare di capire la natura del processo e in ambito B.C. identificare le variabili più importanti da evincere nell analisi, per permettere l ottimizzazione ed il miglioramento di molte fasi del processo stesso. A questo punto, progettare un analisi opportuna in chiave di B.C. per la procedura sostitutiva. Cercare di ottimizzare al meglio le risorse e ridurre le tempistiche, sempre in chiave di cooperazione e in ottica multidisciplinare e multiprofessionale. Tenere conto dei rischi. Si parla di sicurezza, quindi andrà posta particolare attenzione all utilizzo dei dati, nel fare in modo che le informazioni non siano accessibili da terzi o da persone non abilitate al trattamento dei dati. Occorre porre attenzione anche agli altri sistemi collegati: una procedura sostitutiva dovrebbe essere costruita in modo tale che non vada a creare ulteriori disservizi o danni ad altri assets, sistemi, procedure o apparati anche non strettamente collegati ad essa. E necessaria una pianificazione delle risorse da utilizzare. Inoltre l utilizzo della procedura sostitutiva non deve provocare un abbassamento del livello di sicurezza garantito dalla procedura ordinaria. Ad esempio l utilizzo della password per proteggere dei dati elettronici, potrebbe essere sostituito da una cassettiera con pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 12/28

13 Nucleo Processi, Flussi chiave per proteggere i dati sensibili presenti su materiale cartaceo; occorre infatti assolutamente evitare di lasciare incustoditi documenti con dati sensibili sulle scrivanie. Identificazione delle strutture di competenza. Deve essere possibile l identificazione delle strutture coinvolte dalla procedura sostitutiva. Questo per una più facile comunicazione nel segnalare eventuali incidenti e per facilitare un eventuale monitoraggio. Le strutture coinvolte andranno elencate nel modulo di segnalazione degli incidenti. Tali informazioni saranno poi comunicate ai responsabili e comunque archiviate. Sarà compito dell organizzazione del reparto coordinare gli attori di questo particolare contesto. Possibilità di utilizzo di mezzi di supporto alternativi al sistema informatico La procedura sostitutiva comprenderà l utilizzo di mezzi per sostituire le principali funzionalità informatiche di memorizzazione dei dati, comunicazione, controllo. Ricordiamo tra questi i modelli cartacei, il telefono, il fax, la posta interna, i supporti magnetici, altri supporti informatici. Per l utilizzo di tali mezzi è in previsione la definizione di apposite linee guida specifiche. Possibilità di errore nell utilizzo della procedura sostitutiva Data la natura saltuaria dell uso delle procedure sostitutive, è normalmente verosimile che gli operatori vadano a commettere degli errori durante il loro utilizzo. Va definita una fase di verifica e di controllo, ad esempio nella ricerca di eventuali errori relativi ai dati trattati con i mezzi di supporto alternativi (identificare eventuali errori di digitazione, cancellazione, integrità dei dati, disponibilità). Tale fase deve essere svolta in anticipo, o anche contestualmente, alla fase di ripristino dei dati stessi, prima del ritorno all utilizzo della procedura ordinaria. Ripristino e aggiornamento dei dati. L operazione di data entry viene vista come ultimo step per poter poi ritornare alla procedura ordinaria. Tale operazione può essere supportata con ausilio di appositi modelli cartacei compilati a mano. I modelli cartacei devono possibilmente essere già creati in precedenza e autonomamente dal personale che utilizza la procedura ordinaria, in numero sufficiente. Vanno compilati in maniera leggibile e chiara per poter permettere una successiva lettura da parte di altri operatori. Tale operazione può essere molto costosa e dipende dall entità dei danni causati dell incidente che ha bloccato la procedura ordinaria. Tale operazione va trattata dal punto di vista della privacy, se svolta da terzi o da una ditta esterna, vanno presi ulteriori accorgimenti. Va chiarito anche come dovranno essere conservati tali modelli compilati, una volta che non saranno più utilizzati. Si suggerisce di conservare tali modelli in appositi archivi cartacei, per permettere innanzitutto dei controlli, la tutela dei dati dal punto di vista della privacy, e anche ulteriori statistiche. Collaudo della procedura sostitutiva e formazione del personale Per evitare errori, monitorare la sicurezza e gestire i mezzi alternativi, per poter controllare l effettiva efficacia della procedura sostitutiva, non solo sarà opportuno collaudare la procedura sostitutiva ma bisognerà programmare delle esercitazioni periodiche che andranno a completare il quadro di quella che può essere la vera e propria formazione del personale addetto. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 13/28

14 Nucleo Processi, Flussi Monitoraggio dell effettivo malfunzionamento o blocco della procedura ordinaria. Segnalare contestualmente al blocco della procedura l incidente informatico mediante apposito iter e compilare il relativo modulo di segnalazione (questo passaggio è importante per avere anche uno storico degli incidenti e degli utilizzi della procedura sostitutiva). Verifica della capacità interna di risolvere il problema. Chiamare il personale competente (tecnico di turno o reperibile dei Sistemi ) secondo le modalità ed i regolamenti, prima di attuare la procedura sostitutiva. Mantenere comunque dei limiti di tempo oltre i quali attuare comunque la procedura sostitutiva. Per quanto riguarda la gestione delle situazioni critiche e all organizzazione per l emergenza che tale gestione sottintende, si ricordano in particolare i documenti CNIPA e l ipotesi organizzativa elaborata nel maggio 2004 (BC-comunicazione-incidenteinformatico.doc). Ogni procedura sostitutiva ha un owner (possessore es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 14/28

15 Nucleo Processi, Flussi Considerazioni per chi utilizza la procedura sostitutiva In linea teorica tutti gli operatori che svolgono le funzioni di una procedura ordinaria possono essere abilitati ad operare nell ambito della procedura sostitutiva. Comunque la procedura sostitutiva ha bisogno di una particolare organizzazione rispetto alla procedura ordinaria. Durante una procedura sostitutiva possono essere definiti ruoli diversi per il personale coinvolto; inoltre potrebbero essere svolte ulteriori - e diverse - mansioni rispetto all ordinarietà - ad es. su un fattura o ricevuta redatta a mano potrebbe essere necessaria la firma di un operatore mentre sulla procedura automatica la firma è virtuale. Sarà utile archiviare la lista del personale abilitato all utilizzo delle procedure sostitutive. Inoltre la nomina di un referente (con i vari sostituti) per ogni procedura sostitutiva andrà a completare una minima organizzazione di tale servizio. Sarà opportuno far conoscere al personale tutte le regole da seguire mentre si svolge la procedura. Bisognerà formalizzare la procedura sostitutiva per evitare che gli addetti operino in condizioni di scarsa chiarezza dei ruoli e delle responsabilità; bisognerà informare gli addetti e sensibilizzarli al fine di abilitarli ad operare come in una vera e propria procedura operativa ordinaria. Per questo verranno attuate apposite sessioni di formazione, anche periodiche, per aggiornare ed istruire il personale addetto. Di seguito si presentano alcune opzioni. Formazione in linea generale Breve formazione di base, con spiegazione dei concetti di sicurezza a livello aziendale, di come precedere e come comportarsi a fronte dei vari tipi di attacchi e/o incidenti. La formazione dovrebbe chiarire quali sono i comportamenti da tenere in linea generale nell uso di una procedura sostitutiva e su come l Azienda e gli addetti siano tutelati nell operare nell ambito della procedura stessa. Tale formazione potrebbe essere svolta e coordinata dal nucleo che si occupa della Business Continuity o dal. Formazione in linea specifica Sessione di formazione specifica del servizio di riferimento, attuata dal referente o responsabile del servizio stesso, per il reparto in cui lavora il personale e inerente alle problematiche già accadute in precedenza e come poterle superare. L obiettivo di questa fase è anche specificare, informare e chiarire come l Azienda e gli addetti sono tutelati nell operare nell ambito della procedura sostitutiva del servizio. A fronte di tali sessioni formative, sarebbe utile predisporre un test di sviluppo delle conoscenze, per abilitare gli addetti che sono stati formati, a svolgere la procedura sostitutiva (questo anche per i nuovi assunti). pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 15/28

16 Nucleo Processi, Flussi Suggeriamo inoltre di predisporre un database per gestire e monitorare la situazione formativa della procedura sostitutiva, e per avere sotto controllo la situazione della sicurezza e della Business Continuity all interno dell Azienda. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 16/28

17 Nucleo Processi, Flussi La stesura di procedure sostitutive Una procedura sostitutiva dovrà svolgere in linea di massima il seguente iter per essere operativa a tutti gli effetti: Studio E il primo step per studiare ed analizzare la fattibilità della procedura stessa. In tale fase saranno coinvolti i responsabili dei servizi interessati, e possibilmente i referenti e/o parte degli addetti che si occuperanno di operare in tale ambito. E molto importante basarsi sui dati già raccolti dalla fase di rilevazione di procedure sostitutive già esistenti. L obiettivo di tale fase è anche raccogliere tutti gli elementi possibili per poter successivamente implementare la procedura. I Sistemi potranno fornire supporto e consulenza in questa fase. Creazione Fase di creazione della procedura sostitutiva. Tale fase va svolta a tavolino, dopo aver elaborato tutti gli elementi raccolti. La creazione della procedura sostitutiva andrà documentata, dovranno essere indicati gli assets coinvolti, le possibili minacce e rischi, le contromisure adottate, i referenti, gli owner, i responsabili. Analisi dettagliata dei processi. Descrizione e documentazione di tutti gli attori e di tutte le fasi previste. E opportuno che la fase di creazione preveda una comunicazione ai Sistemi. Approvazione L approvazione della procedura sostitutiva da parte del management, è una fase che permette la possibile attuazione della procedura, è una fase che formalizza la procedura e la rende tale. E una fase che dovrà permettere anche di tutelare il personale che andrà ad utilizzare tale procedura. Collaudo E il collaudo ed il test della procedura sostitutiva, che potrà essere svolto nei vari ambiti, anche fuori dall orario lavorativo e/o simulando l accadimento di un incidente informatico grave. Le fasi di tali collaudi dovrebbero essere gestite centralmente (a livello di Ospedale e di Dipartimento) e non dai singoli servizi, anche per controllare che i test vengano effettivamente svolti dagli addetti. I collaudi potranno essere supervisionati, tale attività potrà essere opportunamente documentata e gestita in un database, anch esso molto utile per gestire, controllare ed ottimizzare la Sicurezza Informatica e la Business Continuity aziendale. E opportuno che la fase di collaudo preveda una comunicazione ai Sistemi. Revisione Periodicamente la procedura andrà revisionata per aggiornare la documentazione relativa, eventuali variazioni e/o nuove implementazioni. E una fase fondamentale che permettere di mantenere in vita con efficienza la procedura stessa, soprattutto ai fini della Sicurezza Informatica e della Business Continuity aziendale. E opportuno che la fase di revisione preveda una comunicazione ai Sistemi. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 17/28

18 Nucleo Processi, Flussi Validazione La procedura sostitutiva deve essere confermata dall esame e dall evidenza oggettiva per essere definita idonea a soddisfare le richieste al suo uso specifico. Ciò significa che deve essere dimostrata oggettivamente l adeguatezza. Tutte le fasi dovranno essere totalmente documentate e formalizzate. Inoltre dovrà essere svolta l analisi organizzativa su chi si assume i rischi, le responsabilità e gli oneri durante la procedura sostitutiva. Tutto deve essere documentato ed accettato dai responsabili, contestualmente all accettazione o rifiuto dei rischi associati. L elenco delle procedure ordinarie e delle procedure sostitutive dovrà essere documentato e disponibile per le relative future consultazioni, aggiornamenti o per motivi legali. Si raccomanda quindi di documentare e gestire il tutto centralmente, in modo elettronico e mediante database, anche per evitare di saltare le eventuali fasi sopra citate per ogni singola procedura sostitutiva. Le procedure sostitutive devono essere rese note alle strutture organizzative individuate dall Azienda per garantire la B.C. e ai referenti per la continuità delle strutture organizzative. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 18/28

19 Nucleo Processi, Flussi Utilizzo di mezzi alternativi al sistema informatico In questa sezione vogliamo elencare i principali mezzi alternativi che possono essere utilizzati all interno di una procedura sostitutiva, sia singolarmente o insieme per perseguire uno stesso obiettivo. Ricordiamo che per tali mezzi sarebbe opportuno sviluppare determinate linee guida per caratterizzarne la deontologia e la sicurezza. Utilizzo del cartaceo L utilizzo di modelli cartacei può essere utilizzato sia per memorizzare i dati in mancanza di mezzi informatici, sia come mezzo di comunicazione. Considerati gli aspetti legati alla creazione degli appositi modelli precompilati, possibilmente mediante la stessa procedura ordinaria, va specificato l iter di ogni modello. In particolare, va chiarito come deve essere trattata dal punto di vista delle normative e dei regolamenti interni la giacenza dei modelli stessi, definendo il luogo fisico dove tenere i moduli cartacei in bianco e dove conservare quelli già compilati. Una volta effettuata la scrittura dei modelli, va certificato che siano stati compilati effettivamente dal personale addetto, senza errori, e quindi deve essere messo in evidenza dai responsabili del reparto stesso, in una apposita scheda riassuntiva, la data di utilizzo, il numero totale dei modelli compilati, il numero dei modelli in bianco rimasti in giacenza e/o stampati. A tal fine, sarà opportuno far preparare dai reparti un report standard di rilevazione dei modelli cartacei utilizzati nella procedura sostitutiva. Anche le regole legate al rispetto della sicurezza, alle norme Dlgs 196/2003 e al Documento Programmatico sulla Sicurezza, nonché i regolamenti interni relativi alla gestione della documentazione e dei dati, dovranno essere formalizzate opportunamente. Nel caso di dati ritenuti particolarmente sensibili, sarà quasi d obbligo l utilizzo di armadi ignifughi con chiave e/o combinazione (anche armadi blindati se necessario) al fine di permettere la conservazione dei dati. Utilizzare appositi siti per evitare allagamenti, distruzione, etc Ricordiamo infine che i modelli cartacei andranno conservati anche dopo aver eseguito il data entry a totale ripristino della procedura ordinaria. Anche per questo aspetto, e per quello che riguarda un eventuale futuro smaltimento, dovranno essere definite apposite regole standard da seguire. Utilizzo di apparecchi per la telefonia fissa e per la telefonia mobile Il telefono è un mezzo che permette principalmente la comunicazione, ma anche la memorizzazione di dati nel caso in cui vengono trasmessi a voce da un interlocutore all altro. Tali utilizzi possono essere svolti tramite il telefono fisso aziendale, o tramite il telefono cellulare aziendale. Chiaramente va seriamente preso in considerazione il fatto di fornire tali mezzi ove siano necessari. Un utilizzo più evoluto della telefonia mobile si baserebbe sulle attuali tecnologie wireless WAP disponibili su terminali PDA e cellulari, con cui è pensabile sviluppare applicativi a supporto di procedure sostitutive e ordinarie. Con l utilizzo della telefonia bisognerà comunque definire degli standard legati alle misure di sicurezza da adottare per evitare attacchi di tipo social engineering (per esempio il problema di accertarsi al telefono che l interlocutore che si spaccia per il direttore Mario Rossi sia effettivamente il direttore Mario Rossi). Va impostata una gestione corretta dei log delle telefonate, con appositi moduli cartacei standard, anche ai fini della pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 19/28

20 Nucleo Processi, Flussi documentazione storica della procedura sostitutiva e della sicurezza. L iter delle comunicazioni via telefono va schematizzato e formalizzato a priori. Utilizzo del fax Il modulo cartaceo precompilato può essere inviato via fax verso appositi centri di raccolta per l inserimento nella procedura. E importante tenere traccia dei fax inviati e disporre dell elenco completo dei fax interni ed esterni. Nelle strutture aziendali interessate sarebbe opportuno avere a disposizione più fax, o almeno un apparecchio fax di riserva per permettere sempre la comunicazione. Anche l iter delle comunicazioni via fax va schematizzato e formalizzato a priori. Utilizzo della posta interna Per l utilizzo di tale mezzo sono già definiti regolamenti e disposizioni di servizio da rispettare. E consigliabile che sulle buste sia evidenziata la natura del contenuto come riferito a una procedura sostitutiva, ad esempio con una dicitura del tipo Urgente: invio tramite procedura sostitutiva. Sarà molto importante avere un log delle corrispondenze inviate e ricevute, al fine di documentare storicamente la procedura sostitutiva. A tal proposito dovrà essere compilato dagli utilizzatori un apposito modello cartaceo standard, che verrà sottoscritto sia dal mittente che dal destinatario (o dai destinatari), come ulteriore traccia della corrispondenza e come avviso di ricevuta. Utilizzo di supporti magnetici Sono supporti esterni i floppy disk, Cd-Rom, Dvd-Rom, dischi esterni, unità di memorizzazione tipo pendrive USB. L utilizzo di tali mezzi va definito mediante apposite linee guida che riguardano la conservazione, la spedizione, la custodia e l eventuale distruzione di tali supporti di memorizzazione. Vanno definiti gli aspetti che ne caratterizzano la sicurezza, per evitare il furto dell informazione, come evitare di lasciare i dati incustoditi o in mano ad estranei, come proteggere i dati mediante password e/o crittografia. Il trasporto dei dati può esser fatto dal personale stesso oppure da appositi corrieri. Ad integrazione di questo, l utilizzo di log con appositi moduli cartacei standard da sottoscrivere e controfirmare anche come documentazione storica della procedura sostitutiva nel caso di spedizione, trasporto, ricezione. Le modalità di memorizzazione, spedizione, trasporto, ricezione di tali dati dovranno essere state definite e formalizzate. Altri supporti informatici PC di riserva, PC portatili, PC palmari. Tali risorse hardware potranno essere utilizzate in rete o anche stand-alone come mezzi alternativi. Il loro utilizzo deve essere regolamentato e devono essere emanate specifiche misure di sicurezza, in particolare in applicazioni basate su tecnologie wireless come Wi-Fi (IEEE ) o cellulari (GSM o UMTS) per gli aspetti di autenticazione e autorizzazione. Inoltre va integrata un ulteriore formazione all utilizzo di tali dispositivi da parte di personale competente. L analisi dei rischi risulterà fondamentale per poter investire correttamente nel patrimonio informativo (sia hardware che software) di supporto alle procedure sostitutive. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 20/28