Business Continuity Management. Gli standard ISO e ISO Workshop formativo Padova, 28 aprile 2016

Transcript

1 Business Continuity Management. Gli standard ISO e ISO Workshop formativo Padova, 28 aprile

2 Agenda TERMINOLOGIA, QUALI SONO I TERMINI UTILIZZATI E IL LORO SIGNIFICATO INTRODUZIONE ALLA NORMA, IL SISTEMA DI GESTIONE DELLA CONTINUITÀ OPERATIVA COSA DEVE FARE UNA ORGANIZZAZIONE PER CERTIFICARSI; GLI ELEMENTI PRINCIPALI CHE DEVONO ESSERE PREDISPOSTI 28/04/2016 ISACA VENICE Chapter 2

3 Business Continuity: social security La continuità operativa rappresenta la capacità di una organizzazione di continuare a fornire i servizi strategici in conformità a livelli accettabili e predefiniti, a seguito di un evento destabilizzante. Il fatto di inserire la gestione della continuità operativa (BCM) nel quadro e nelle discipline di un sistema di gestione crea un sistema di gestione per la continuità operativa (BCMS) che consente al BCM di essere controllato, valutato e continuamente migliorato. ISO (Terminologia) ISO (Requisiti) ISO (Guida applicativa) 3

4 Business Continuity: social security Le attività possono essere destabilizzate da una grande varietà di eventi, molti dei quali sono difficili da prevedere o analizzare. Concentrando l attenzione sull impatto dell evento destabilizzante, piuttosto che sulla causa, la continuità operativa identifica quelle attività e risorse sulle quali l organizzazione si basa per la propria sopravvivenza e consente all organizzazione di determinare cosa sia necessario per continuare a soddisfare i suoi impegni. processi operativi persone, siti, tecnologie e informazioni catena di fornitura parti interessate reputazione 4

5 Resilienza La resilienza è la capacità di un sistema di adattarsi al cambiamento in ingegneria, la resilienza è la capacità di un materiale di assorbire energia di deformazione elastica in informatica, la resilienza è la capacità di un sistema di adattarsi alle condizioni d'uso e di resistere all'usura in modo da garantire la disponibilità dei servizi erogati in ecologia e biologia, la resilienza è la capacità di una materia vivente di autoripararsi dopo un danno, o quella di una comunità o di un sistema ecologico di ritornare al suo stato iniziale, dopo essere stata sottoposta a una perturbazione che ha modificato quello stato 5

6 La norma ISO 22301:2012 oduzione i NApplicazione enti Normativi i e Definizioni ell organizzazione zione (Leadership) DO ificazione upporto 8 Attività operative CHECK 9 Valutazione delle prestazioni ACT 10 Miglioramento

7 0 Introduzione oduzione i NApplicazione enti Normativi i e Definizioni ell organizzazione zione (Leadership) DO ificazione upporto 8 Attività operative CHECK 9 Valutazione delle prestazioni ACT 10 Miglioramento

8 ISO 22301:2012 La norma si pone l'obiettivo di specificare i requisiti per istituire, mettere in opera e gestire un efficace Sistema di Gestione della Continuità Operativa (BCMS Business Continuity Management System). Poiché si parla di requisiti la norma è certificabile, come precisato al paragrafo 1 punto d). La norma si riferisce all'attività di prevenzione-contrastorecupero da mettere in atto in un qualsiasi settore di attività: ambiti produttivi, servizi in genere 8

9 1 Campo di Applicazione oduzione i NApplicazione enti Normativi i e Definizioni ell organizzazione zione (Leadership) DO ificazione upporto 8 Attività operative CHECK 9 Valutazione delle prestazioni ACT 10 Miglioramento

10 ISO 22301:2012 Campo di applicazione la norma è orientata a tutte le organizzazioni indipendentemente dalla dimensione, settore commerciale o tipologia e fornisce le specifiche ai responsabili di gestione del programma della Continuità Operativa (Business Continuity) Approccio L'approccio della norma si basa sull' analisi del contesto dell'organizzazione con l'obiettivo di capire quali sono i processi i/servizi critici e quali sono le esigenze di continuità da parte degli stakeholder principali 10

11 2 Riferimenti Normativi oduzione i NApplicazione enti Normativi i e Definizioni ell organizzazione zione (Leadership) DO ificazione upporto 8 Attività operative CHECK 9 Valutazione delle prestazioni ACT 10 Miglioramento

12 Requisiti legali e regolamentari Tutti i sistemi di gestione dovrebbero operare nel quadro dell ambiente legale e regolamentare, in cui l organizzazione opera. L organizzazione dovrebbe identificare e tenere in considerazione tutti i requisiti rilevanti ed applicabili di tipo legale e regolamentare, ai quali essa aderisce, e le esigenze di soggetti interessati. Le informazioni che riguardano questi requisiti dovrebbero essere documentate e tenute aggiornate. Quando si stabilisce, attua e mantiene un BCMS, l organizzazione dovrebbe tenere conto e documentare tutti i requisiti applicabili di tipo legale, nonché altri requisiti ai quali l organizzazione aderisce, e le esigenze di parti interessate. 12

13 3 Termini e Definizioni oduzione i NApplicazione enti Normativi i e Definizioni ell organizzazione zione (Leadership) DO ificazione upporto 8 Attività operative CHECK 9 Valutazione delle prestazioni ACT 10 Miglioramento

14 TERMINOLOGIA I due indicatori più noti della Continuità Operativa sono: RTO (Recovery Time Objective): esprime l'arco temporale massimo entro cui il ripristino delle risorse minime deve essere garantito, al fine di contenere gli impatti, legati all'indisponibilità, a livelli sopportabili. E' assunto come obiettivo e si determina in base al tempo di fermo accettabile in caso di disastro o di interruzione. Indica il momento più lontano nel tempo (in avanti e dopo il disastro) in cui occorre far ripartire le attività di business. RPO (Recovery Point Objective): rappresenta l'intervallo temporale massimo a cui far riferimento per individuare il punto di ripristino dei dati e/o del sistema (dall'ultimo salvataggio delle informazioni disponibili). E' assunto come obiettivo e si determina in funzione della perdita di dati ammissibile in caso di interruzione delle attività operative. Indica il momento più lontano nel tempo (all'indietro e prima del disastro) fino al quale occorre poter recuperare i dati. Può essere indicato come massima perdita di dati. 14

15 ISO 22301:2012 Terminologia Ultimo Back- Up Crisi Fase di Riattivazione Ripartenza Fine Crisi Rientro Disastro RPO Attività di Valutazione RTO Attività di Ripristino Fase di Rientro

16 Terminologia: qualche altro termine particolarmente interessante Maximum acceptable outage (MAO) - Massima interruzione accettabile Maximum tolerable period of disruption (MTPD) Massimo periodo di interruzione (del servizio) tollerabile Minimum business continuity objective (MBCO) Livello minimo di operatività accettabile durante la crisi 16

17 Terminologia: il senso del BCMS 17

18 MTPD e RTO (A) Service level Incident OK! MTPD Normal level of service RT O Minimum level of service Time 18

19 MTPD e RTO (B) Service level Incident OK! ma non è la situazione ideale MTPD Normal level of service RT O Minimum level of service Time 19

20 MTPD e RTO (C) Service level Incident Disastro! MTPD Normal level of service RT O Minimum level of service Time 20

21 BCMS efficace a fronte di un improvviso evento destabilizzante

22 BCMS efficace a fronte di un evento destabilizzante graduale, per esempio una pandemia

23 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 23

24 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 24

25 Requisito 4 Requisiti generali 4.1 Capire l'organizzazione ed il suo contesto Finalità aziendali e definizione dei fattori (interni-esterni) rilevanti per il business e la continuità 4.2 Esigenze e requisiti Definizione delle Parti interessate ed analisi delle esigenze di ciascuna compresi gli obblighi di legge 4.3 Il sistema di gestione e l'ambito Definizione dell'ambito della gestione e del perimetro del sistema. Individuazione delle criticità in ambito 4.4 Sistema di gestione della Continuità Operativa Il sistema BCMS deve rispettare i requisiti della norma (non sono previste esclusioni). 25

26 Requisito 4 : Contesto dell'organizzazione Determinare i problemi interni ed esterni che sono rilevanti dell'ambito e che possono influenzare la capacità di raggiungere i risultati attesi del Sistema di Gestione della Buisness Continuity (BCMS) come: le attività dell'organizzazione, le funzioni, i servizi, i prodotti, le partnership, le catene di fornitura, i rapporti con le parti interessate e il potenziale impatto legato ad un avvenimento dirompente; collegamenti tra la politica di continuità aziendale e gli obiettivi dell'organizzazione e di altre policies, compresa la strategia generale di gestione del rischio; propensione al rischio dell'organizzazione (risk appetite); le esigenze e le aspettative delle parti interessate pertinenti; legislazione applicabile, regolamentazione e altri requisiti sottoscritti dall'organizzazione. Individuare l'ambito del Sistema di Gestione della Business Continuity (BCMS), tenendo conto degli obiettivi strategici dell'organizzazione, i principali prodotti e servizi, la tolleranza al rischio, e qualsiasi normative, contratti o obblighi con gli stakeholder (parti interessate). 26

27 Requisito 4 : Campo di Applicazione L organizzazione dovrebbe determinare il campo di applicazione del BCMS e assicurarsi che esso sia stato correttamente comunicato alle parti interessate. Il campo di applicazione determina i prodotti e i servizi, i siti, le funzioni, i processi e le attività cui il BCMS si applica. Da ciò consegue che tutte le dipendenze saranno comprese nel campo di applicazione, anche se non sono state esplicitamente identificate nella dichiarazione di campo di applicazione. Per esempio, se salari dei dipendenti è specificato nel campo di applicazione, per default la disponibilità di fondi, l approvazione della direzione e le istruzioni alle istituzioni finanziarie per effettuare i pagamenti rientrano entro il campo di applicazione. 27

28 Esempio di parti interessate 28

29 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 29

30 ISO 22301:2012 Requisito 5 Leadership Il top management deve dimostrare un impegno continuo per il Sistema di Gestione della Business Continuity (BCMS). La responsabilità avviene: assicurando la compatibilità del BCMS con la direzione strategica dell'organizzazione integrando i requisiti del BCMS nei processi di business dell'organizzazione fornendo le risorse necessarie per il BCMS comunicando l'importanza della gestione della continuità aziendale efficace assicurando che il BCMS raggiunga i risultati attesi gestendo e sostenendo il miglioramento continuo; stabilendo e comunicando una politica di continuità aziendale; assicurando che siano stabiliti obiettivi e piani del BCMS assicurando l'assegnazione delle responsabilità e autorità per ruoli rilevanti 30

31 ISO 22301:2012 Requisito 5 Leadership 5.1 Generalità sulla capacità della Direzione Orientare pianificare - controllare la gestione Mantenere allineati i comportamenti individuali e la strategia delle operazioni e della continuità 5.2 Impegno della Direzione Sviluppare organicamente la Strategia del business e politica della continuità Mettere a disposizione risorse adeguate alla strategia 5.3 Politica del BCMS 5.4 Ruoli, strutture, responsabilità autorità 31

32 ISO 22301: Politica del BCMS a) Principi generali circa lo scopo del BCM b) Criteri di finanziamento del progetto BCM c) Principi, linee guida d) Standard di riferimento e) Prodotti/servizi esclusi, ubicazioni non incluse f) Responsabilità per outsourcers 32

33 RUOLI E RESPONSABILITÀ: MODELLO RACI Un Modello utilizzato per aiutare a definire i Ruoli e le Responsabilità. 33

34 RUOLI E RESPONSABILITÀ: MODELLO RACI REGOLE DI COMPILAZIONE: Solo un A (accountable) Deve esserci sempre un A (che può essere definito anche a livello di processo) Posso attribuire + R le responsabilità possono essere condivise solo se i ruoli sono sufficientemente chiari Devo attribuire almeno un R C e I solo se necessari è necessario consultare altre persone? Sono stati identificati dei canali di comunicazione con altre persone? 34

35 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 35

36 ISO 22301:2012 Requisito 6 - Pianificazione della realizzazione del BCMS In coerenza con il quadro strategico e culturale si definiscono gli obiettivi a lungo, medio e breve termine. 6.1 Azioni di indirizzamento del rischio ed opportunità - Rischi di progetto Fattori inibitori Criteri per assicurare il miglioramento continuo 6.2 Obiettivi di BC e piani per il raggiungimento - Piani organici e completi Obiettivi definiti e misurabili, derivati dalla policy Individuazione dei prodotti e servizi critici in ambito Assegnazione obiettivi ai responsabili aziendali Macro piano attività, risorse e criteri di completamento 36

37 Azioni indirizzate a rischi e opportunità

38 Obiettivi della continuità operativa

39 Obiettivi della continuità operativa: esempi

40 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 40

41 ISO 22301:2012 Requisito 7 Elementi chiave di Supporto Nel requisito 7 sono dettagliati gli elementi essenziali per sostenere la definizione, l'implementazione, l'esercizio ed il mantenimento del Sistema di Gestione della Business Continuity (BCMS) Tra questi: I requisiti delle risorse coinvolte/utilizzate Le competenze del personale coinvolto Consapevolezza La sensibilizzazione e le caratteristiche relative alla comunicazione con gli stakeholders I requisiti per la gestione della documentazione La gestione quotidiana di un efficace business continuity management system (BCMS) si basa sull'utilizzo di risorse appropriate per ogni attività. 41

42 ISO 22301:2012 Requisito 7 - Supporto Per eseguire con successo i piani è necessario il supporto dell'organizzazione in termini di: 7.1 Risorse Finanziarie, di conoscenza e di altro tipo Queste includono personale competente con rilevante (e dimostrabile) formazione e supporto ai servizi, consapevolezza e comunicazione. 7.2 Competenze, Analisi dei fabbisogni e dei gap, obiettivi formativi 7.3 Consapevolezza 7.4 Sistema di comunicazioni interne/esterne Comunicazioni interne ed esterne dell'organizzazione devono essere trattate in questo requisito, incluso il formato, il contenuto e la corretta tempistica di tali comunicazioni. 7.5 Sistema documentale Il tutto deve essere supportato da informazioni documentate adeguatamente gestite. 42

43 ISO 22301:2012 Requisito 7 Supporto 7.5 Sistema documentale Necessità di gestire la documentazione con un sistema controllato (7.5) come previsto per le altre norme ISO, che assicuri la presenza dei documenti minimi specificati nei vari capitoli/paragrafi della norma. I principali documenti sono stati indicati in apertura di questo capitolo. L'estensione della documentazione può variare in funzione della complessità dell'organizzazione Nota: secondo le indicazione della ISO Guide 83 non si parla più di procedure documentate o registrazioni, ma di informazioni documentate. Nella ISO è proposto un elenco esaustivo della documentazione da prevedere. 43

44 ISO 22301:2012 Requisito 7 Supporto Documentazione richiesta Si deve definire per ogni rischio collegabile alla Gestione della Business Continuity una serie di documenti relativi a: Politica di BC Modello di funzionamento dell'organizzazione a cui si applica il sistema BC. Processo per garantire la conformità a requisiti legali e regolamentari Ambito dell'organizzazione a cui si applica il sistema BC Piano della comunicazione Obiettivi del sistema (scritti e quantificabili) Business Impact Analysis (BIA): analisi dell'organizzazione ed individuazione dei prodotti/servizi/processi critici e loro priorità in funzione dell'impatto e dei vari scenari di rischio Risk assessment: definizione di quali prodotti/servizi/processi saranno oggetto di soluzioni BC Strategie di progettazione della soluzione BC e dimensionamento risorse Piano di gestione incidenti (per minimizzare l'evento), Piano per il ripristino di servizi/processi Piano per il ritorno alla normalità Evidenza dei test dei piani BC Evidenza del monitoraggio del sistema, degli audit, dei riesami di direzione, del ciclo di miglioramento 44

45 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 45

46 ISO 22301:2012 L operatività Un BCM comprende i seguenti elementi 46

47 8.1 Pianificazione e controlli operativi L efficacia della pianificazione e dei controlli operativi rappresenta il punto focale della gestione per la continuità operativa. Questa attività dovrebbe essere guidata da un responsabile individuato dall alta direzione. -La gestione dell ambiente BCM (obiettivi, ruoli, costi, documenti, ecc.) -Mantenimento e aggiornamento; programmi di esercitazioni; riesame, -Misurazione dell efficacia, monitoraggio, audit,

48 8.1 Pianificazione e controlli operativi: audit (8.1.5) Quali elementi di efficacia dovrebbe riscontrare un audit? a) la garanzia che l obiettivo, i ruoli e le responsabilità per la gestione per la continuità abbiano una costante rilevanza; b) la promozione e l inserimento dell operatività in tutte le aree dell organizzazione e altre parti interessate, laddove appropriato; c) la gestione dei costi associati con la continuità operativa; d) lo stabilire e tenere sotto controllo la gestione del cambiamento e i regimi successivi di gestione, all interno del sistema di del BCMS; e) l allestimento o la somministrazione di appropriato addestramento per il personale, inclusa la sensibilizzazione; e f) il mantenimento della documentazione del programma, in modo che sia appropriata alla dimensione e alla complessità dell organizzazione.

49 8.2 Analisi dell impatto sull operatività e valutazione del rischio È possibile giungere a una comprensione delle priorità e dei requisiti della continuità operativa, grazie a un analisi dell impatto sull operatività (business impact analysis - BIA) e una valutazione del rischio. L analisi dell impatto sull operatività consente all organizzazione di stabilire delle priorità nella ripresa, legata alle attività che supportano i suoi prodotti e servizi. La valutazione del rischio facilita la comprensione dei rischi connessi alle attività primarie e le interconnessioni con le conseguenze anche potenziali di un evento destabilizzante. Questa comprensione permette all organizzazione di individuare le appropriate strategie di continuità operativa.

50 8.2 Analisi dell impatto sull operatività e valutazione del rischio L obiettivo di un analisi dell impatto sull operatività è: - comprendere quali sono i prodotti e servizi principali dell organizzazione e le attività che permettono di fornirli; - determinare le priorità e i tempi necessari per riprendere l attività (RTO); - identificare le risorse principali che sono probabilmente necessarie per la ripresa della operatività; - identificare le dipendenze, le correlazioni tra attività sia interne sia esterne (inclusi i fornitori); - la stima del tempo necessario perché l impatto associato con la destabilizzazione sull attività dell organizzazione possa diventare inaccettabile (MAO, MTPD); - il minimo livello di servizi o prodotti accettabile (MBCO); - valutare gli impatti.

51 Im pa ct Impatti: spesso l unico risultato della BIA Critical Requisito Business Impact Analysis (BIA) Con la BIA si identificano le funzioni di business vitali e le loro dipendenze. Queste dipendenze possono includere fornitori, persone, processi altre aziende, servizi, ecc. La Business Impact Analysis definisce i requisiti di ripristino. Questi requisiti includono obiettivi dei tempi di recupero, gli obiettivi di recupero e punti di obiettivi minimi livelli di servizio per ciascun servizio. Focus on risk reduction ALTO IMPATTO BIA Grafico di impatto sul Business High Medium Low Focus on recovery Balanced continuity approach BASSO IMPATTO Un output dell'attività della BIA può identificarsi in un grafo che prevede gli impatti causati dalla perdita di un processo o di un servizio nel corso del tempo 1 week 2 weeks 3 weeks 4 weeks 5 weeks Time 51

52 BIA e valutazione del rischio per comprendere chi siamo

53 8.2 Analisi dell impatto sull operatività e valutazione del rischio Cosa dire del rischio che già non sia stato detto. Il problema non è cosa si dice o si ascolta, il problema è capire che senza una attento, continuo e gestito processo di governo dei rischi non si può organizzare una risposta efficace ed efficiente. Anche se a volte può funzionare, la fortuna non è una misura di sicurezza. Con la BIA identifico processi, i tempi, ecc.; con l analisi del rischio valuto i rischi; solo attraverso questo percorso posso identificare e gestire una strategia di Business Continuity, che sia realmente utile.

54 8.3 Strategia di continuità operativa Identificare azioni necessarie per tenere sotto controllo i risultati dell analisi dell impatto sulla continuità e della valutazione di rischio, in modo tale da soddisfare gli obiettivi di continuità operativa dell organizzazione; in altre parole: Quale strategia adottare? Quali opzioni? Qui si determinano le scelte concrete di BC. Ad esempio: suddividere le linee di produzione e fabbricazione in due diversi siti; installare un generatore elettrico; trasferire l attività a un soggetto terzo (anche se la responsabilità rimane all organizzazione delegante); creare una capacità di riserva nei magazzini; temporanea modifica dei cicli di lavoro: alcune attività possono adottare un modo diverso di lavorare che permette di ottenere risultati accettabili per un tempo limitato.

55 La continuità operativa dei fornitori L organizzazione deve accertarsi che i fornitori abbiano valutato la loro capacità di continuità operativa. L organizzazione può concentrare i suoi sforzi sui fornitori che, non essendo in grado di fornire, potrebbero causare più rapidamente una destabilizzazione delle attività prioritarie. Le tecniche possono includere: - una specifica dei requisiti da inserire in bandi di gara e contratti; - audit periodici dei piani del fornitore; - degli esercizi di continuità operativa congiunti.

56 Esclusioni Prima di proseguire è bene chiarire una cosa: Le opzioni strategiche di continuità operativa per stabilizzare, continuare, riprendere o recuperare un attività prioritaria possono talvolta essere estremamente costose. Quando l organizzazione ritiene che possa verificarsi questo caso, dovrebbe scegliere o strategie alternative che siano economicamente accettabili e soddisfino gli obiettivi di continuità operativa, oppure indicare che i prodotti e servizi coinvolti sono esclusi dall obiettivo del BCMS.

57 8.3.2 La definizione delle risorse Una volta decise le azioni (quali strategie attuare) si devono determinare con chi e con cosa dare seguito a queste azioni. Persone, squadre di intervento o singoli individui Informazioni e dati ( RPO) Edifici, ambienti di lavoro e apprestamenti associati Locali, attrezzature, materiale di consumo Sistemi tecnologici (ICT) Trasporti Mezzi finanziari Fornitori

58 Un breve approfondimento sulle informazioni e i dati: la distanza Se l informazione duplicata è archiviata in una posizione troppo vicina alla copia originale, l evento destabilizzante può compromettere la sua integrità e impedire l accesso. Tuttavia, il fatto che l informazione sia archiviata a grande distanza può opporsi al fatto che essa sia rapidamente disponibile quando necessario. È appropriato avere a disposizione un evidenza scritta di come questi due elementi conflittuali sono stati risolti.

59 8.4 Predisposizione e attuazione di procedure per la BC Il fatto di attuare delle procedure per la continuità operativa permette di creare una struttura di risposta a un incidente (punto 8.4.2), i mezzi per individuare e fronteggiare un incidente (punto 8.4.3), i piani di continuità operativa (punto 8.4.4) e le procedure per il ritorno alla normale operatività (punto 8.4.5).

60 8.4 Predisposizione e attuazione di procedure per la BC

61 8.4 Predisposizione e attuazione di procedure per la BC

62 8.4 Predisposizione e attuazione di procedure per la BC Molta importanza viene data alla modalità di allerta e comunicazione, sia per quanto riguarda la definizione di procedure per la comunicazione degli incidenti, sia nel merito della individuazione degli strumenti per la comunicazione degli incidenti. Una valutazione dei canali di comunicazione che potrebbe essere stati coinvolti nell incidente è richiesta. La ISO dimostra tutta la sua validità come guida alla produzione e gestione della documentazione e alla predisposizione di procedure operative.

63 8.4.4 Piani di continuità operativa L organizzazione «dovrebbe» definire delle procedure documentate che permettano all organizzazione di rispondere a un incidente e trattare in modo appropriato la ripresa e il recupero delle proprie attività. Queste procedure dovrebbero prendere in considerazione tutti gli aspetti della risposta a un incidente, con particolare attenzione ai problemi di salvaguardia della vita umana, e dovrebbero prendere in considerazione i requisiti di tutti coloro che utilizzeranno questi aspetti. Per determinare questi requisiti, può essere appropriato: - coinvolgere coloro che utilizzeranno le procedure nello sviluppo delle stesse; - utilizzare le informazioni ottenute durante le fasi di esercitazioni e le lezioni apprese durante precedenti eventi destabilizzanti. La scala dei tempi e i livelli di prestazioni dovrebbero essere basati sulle informazioni raccolte durante l analisi di impatto sull operatività (punto 8.2.2) e la strategia di continuità operativa che è stata prescelta (punto 8.3.1).

64 8.4.4 Piani di continuità operativa: dettagli puntuali Contenuto dei piani di CO Tipi specifici di procedure Procedure per la gestione dell incidente e la gestione strategica Procedure di comunicazione Procedure di sicurezza e tutela del benessere Procedure di salvataggio e sicurezza Procedure per la ripresa dell attività Ripristino dei sistemi ICT (ulteriori linee guida possono essere trovate nella ISO 27031)

65 8.4.5 Recupero L organizzazione dovrebbe disporre di procedure documentate per il ripristino dell attività operativa, passando dalle misure temporanee, adottate dopo un incidente, sino al ripristino dell attività normale. Queste procedure dovrebbero affrontare i requisiti pertinenti per gli audit e per la governance societaria. L obiettivo del recupero è quello di riprendere le attività operative in grado di supportare la normale attività aziendale, a seguito di un evento destabilizzante. Il ritorno alla normalità può essere ottenuto mediante: - la riparazione dei danni conseguenti all incidente; - la migrazione delle attività da ubicazioni temporanee sino all ubicazione principale della attività recuperata; o - lo spostamento in una nuova ubicazione. Una decisione su come meglio ritornare alla normalità va assunta sulla base della gravità del danno causato dell incidente e da una stima di quanto tempo ci vorrà per poter attivare le appropriate attrezzature.

66 Procedura di recupero: dettaglio esemplificativo Le procedure documentate dovrebbero dare una dettagliata valutazione della situazione e del suo impatto e dovrebbero individuare i vari passi necessari per il recupero. Durante il recupero, l organizzazione può aver bisogno di: a) definire le risorse di recupero e relative infrastrutture; b) riprendere l attività nelle infrastrutture di recupero; c) riparare le attrezzature danneggiate; d) assicurarsi la disponibilità di finanziamenti per le attrezzature di emergenza; e) recuperare le attrezzature che si trovano nei siti danneggiati; f) attivarsi per il recupero dei danni a fronte di esistenti polizze assicurative; g) ottenere manodopera supplementare a supporto dello sforzo di recupero; h) selezionare opzioni per il ritorno alla normalità; i) spostare le attività in siti recuperati; j) recuperare informazioni documentate eventualmente smarrite; k) comunicare con soggetti terzi coinvolti, con la frequenza appropriata; l) normalizzare le attività negli insediamenti recuperati; m) sviluppare un riesame delle attività a seguito del recupero; e n) sviluppare una analisi sui propri comportamenti secondo i requisiti della governance aziendale.

67 8.5 Esercitazioni e test Le procedure di continuità operativa di un organizzazione e le relative predisposizioni non possono essere considerate affidabili finché non vengano verificate con esercitazioni e il loro aggiornamento non sia garantito. L esercitazione è essenziale per garantire che le strategie, le politiche, i piani e le procedure che sono state attuate, siano adeguate e possano soddisfare gli obiettivi di continuità operativa. Le esercitazioni sviluppano il lavoro di squadra, la competenza, la fiducia e la conoscenza e dovrebbero includere coloro che possono aver bisogno di utilizzare le procedure. Il programma di esercitazione Per quanto le procedure sembrino essere elaborate e meditate con accuratezza, una serie di efficaci e realistiche esercitazioni potranno identificare aree di miglioramento. Un programma di esercitazioni dovrebbe essere coerente con l obiettivo delle procedure di continuità operativa, prestando appropriata attenzione a ogni applicabile disposizioni di legge o regolamento.

68 8.5.3 Esercitazioni afferenti ai piani di continuità operativa Le esercitazioni possono essere allestite in una varietà di differenti formati. La decisione circa la idoneità del tipo di esercitazione dipende dal contesto del BCM, gli obiettivi dell esercitazione, il budget, la disponibilità dei partecipanti e il livello di tolleranza dell organizzazione a possibili sconvolgimenti operativi, causati dallo svolgimento dell esercitazione. I principali tipi di esercitazioni sono descritti nella ISO (Societal security - Guidelines forexercises). Come parte dell esercitazione, dovrebbe essere pianificato un riesame con tutti i partecipanti, per discutere gli argomenti evidenziati e le lezioni apprese. Questa informazione dovrebbe essere documentata e dovranno essere apportati degli aggiornamenti alle procedure, secondo necessità. L organizzazione dovrebbe fissare un debriefing dopo l esercitazione, per analizzare il raggiungimento degli obiettivi dell esercitazione. A seguito dell esercitazione, dovrebbe essere elaborato un rapporto con raccomandazioni e scadenze temporali per le loro attuazione.

69 L importanza di eseguire test ed esercitazioni

70 ISO 22398:2013 Societal security Guidelines for exercises Relation between exercise programme, exercise projects and continual improvement

71 Possibili modalità di test 71

72 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 72

73 Struttura della norma: capitoli dal 4 al 10 organizzazione zazione e il suo contesto spettative delle parti interessate istema di gestione per la continuità operativa r la continuità operativa ne (Leadership) p e impegno litica utorità nell organizzazione cazione e rischi e opportunità iva e pianificazione per conseguirli porto orse etenze evolezza icazione i documentate DO 8 Attività operative CHECK ACT Pianificazione e controlli operativi Analisi dell Impatto sul Business 9 Valutazione e del delle rischio prestazioni Strategia di continuità Monitoraggio, operativa misurazione, analisi e valutazione Progettare e realizzare le procedure della Audit BCinterno 10 Miglioramento Esercizio e Test Riesame di Direzione Non conformità e azioni correttive Miglioramento continuo 73

74 Cosa comporta il BCM in altre parole, cosa ci si dovrebbe aspettare da un organizzazione con un BCM efficacemente gestito? chiarezza sui prodotti e servizi principali dell organizzazione e sulle attività che permettono di fornirli (SLA management); conoscenza delle priorità necessarie per riprendere l attività e le risorse necessarie; chiara comprensione delle minacce a queste attività, incluse le attività dipendenti e la conoscenza dell impatto, ove esse non vengano riattivate; predisposizione di piani verificati e affidabili che permettano di riprendere queste attività a seguito di un evento destabilizzante; e certezza che questi piani siano regolarmente riesaminati ed aggiornati in maniera che possano essere effettivi a fronte di ogni circostanza. 74

75 Cosa DEVE fare una Organizzazione per Certificarsi Cosa fare per Certificarsi gli elementi principali che devono essere predisposti: Scopo, Contesto e Politica BIA (Business Impact Analisys) Risk Assessment Piani e Test Gestione Fornitori 75

76 Cosa DEVE fare una Organizzazione per Certificarsi Documentazione ESSENZIALE: gli elementi principali che devono essere predisposti: Determinazione del contesto dell'organizzazione Procedura per l'individuazione dei requisiti di legge e dei regolamenti applicabili Elenco dei requisiti di legge, regolamentari e di altro Campo di applicazione della BCMS (Business Continuity Management System) e la spiegazione delle esclusioni Politica di business continuity Obiettivi di business continuity 76

77 Cosa DEVE fare una Organizzazione per Certificarsi Documentazione ESSENZIALE: segue: Competenze del personale (destinato alla B.C.) La comunicazione con le parti interessate Processo per la BIA e la valutazione del rischio Risultati della BIA I risultati della valutazione dei rischi Procedure di business continuity Procedure di risposta agli incidenti 77

78 Cosa DEVE fare una Organizzazione per Certificarsi Documentazione ESSENZIALE: segue: Decisione se i rischi e gli impatti devono essere comunicati all'esterno La comunicazione con le parti interessate, tra cui il sistema di allerta rischio nazionale o regionale Registrazione delle informazioni importanti circa l'incidente, le azioni intraprese e le decisioni prese Procedure di risposta agli incidenti distruttivi Le procedure per il ripristino e il rientro dell'operatività dalla situazione temporanea di emergenza I risultati di interventi volti a risolvere risultati negativi o tendenze 78

79 Cosa DEVE fare una Organizzazione per Certificarsi Documentazione ESSENZIALE: segue: Dati e risultati del monitoraggio e della misurazione I risultati della revisione post-incidente I risultati degli audit interni Risultati del riesame della direzione Natura delle non conformità e delle azioni intraprese Risultati delle azioni correttive 79

80 Bibliografia ISO 22300, Societal security Terminology ISO 22301, Societal security Business continuity management systems Requirements ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance ISO 22320, Societal security Emergency management Requirements for incident response ISO 22398:2013 Societal security -- Guidelines for exercises ISO 31000, Risk management Principles and guidelines ISO Guide 73, Risk management Vocabulary ISO/IEC 27031, Information technology Security techniques Guidelines for information and communication technology readiness for business continuity ISO 19011, Guidelines for auditing management systems 80

81 Business Continuity Management. Gli standard ISO e ISO Workshop formativo Padova, 28 aprile 2016 Grazie dell attenzione Ing. Bruno Bernardi (b.bernardi@csqa.it) 81