Rischi uguale Costi: conosci il costo dei tuoi rischi?

Transcript

1 Rischi uguale Costi: conosci il costo dei tuoi rischi? Sig. Davide Gnesutta Vicenza, 16 giugno 2015

2 Davide Gnesutta Tecnico IT, tuttora «technology addicted» IT Manager di Istituto di Credito Amministratore Delegato di Società di servizi in ambito IT Auditor di Sistemi Informativi Certificazioni ISO/IEC 27001:2013, ITILv3 Foundation, ISACA CISA Certified Information Systems Auditor Attualmente responsabile BU di Consulenze IT e Servizi Avanzati Pagina 2

3 Agenda seconda parte Sfide per il Management: come affrontarle Tutelare il vero patrimonio dell'azienda La gestione del Rischio dell'it: strumenti ed impiego pratico IT Governance e Continuità Operativa HA / DR / BC: punto zero Predisposizione, attuazione e verifiche del Piano Riferimenti normativi Pagina 3

4 Agenda seconda parte Sfide per il Management Come affrontarle Pagina 4

5 Sfide per il Management: come affrontarle Crescente dipendenza dell Azienda dalle Reti e dai Sistemi Informativi Impossibilità di valutare i benefici che i Sistemi Informativi e la tecnologia apportano all Organizzazione Domanda disaggregata in termini di requisiti funzionali e piattaforme di riferimento (troppi prodotti disaccoppiati) Necessità di adattarsi velocemente ai cambiamenti, operando con budget risicati Crescente esposizione dei Sistemi Informativi ad eventi distruttivi e ad attacchi Necessità di padroneggiare le nuove tecnologie, minimizzando complessità e costi Pagina 5

6 Sfide per il Management: come affrontarle Duplicazione incontrollate di dati aziendali critici (pc locali) Ottimizzazione dell uso delle risorse, gestendo la crescita dell HR IT (formazione) Gestione ottimizzata dei fornitori (interni ed esterni) Fronteggiare le iniziative interne, sporadiche e parziali, tendenti a risolvere il problema contingente, non accompagnate da evoluzione dei processi interni Scarsa sensibilità del Management: ambiti di Sicurezza e Audit visti solo come costi (senza vantaggi) Difficoltà nel valutare i rischi e nel contenere i derivati costi Pagina 6

7 Sfide per il Management: come affrontarle Fissare l obiettivo (Strategia) Recuperare ed allocare le giuste risorse Per mettere in equilibrio e soddisfare le richieste degli stakeholder, all IT Manager viene chiesto di Motivare l impegno Coordinare e controllare le attività Sviluppare e collocare il talento Applicare le necessarie conoscenze Costruire e mantenere le relazioni (int, ext, rete) mantenere il ruolo manageriale Pagina 7

8 Sfide per il Management: come affrontarle Possiamo affrontare le sfide esposte, solo lavorando per: Gestire adeguatamente Operatività, Costi e Rischi Assicurare i livelli di servizio concordati Pagina 8

9 Sfide per il Management: come affrontarle Quattro domande classiche («4 Ares»*) Domanda strategica: stiamo facendo le cose giuste? L investimento è allineato con la nostra visione? E coerente con i nostri principi di business? Fornisce il valore ottimale, ad un costo sostenibile e ad un rischio accettabile? Domanda architetturale: le stiamo facendo nel modo giusto? L investimento è allineato con la nostra architettura? E coerente con i nostri principi architetturali? Contribuisce a popolare la nostra architettura e a mantenerla modulare? E allineato con altre iniziative? Domanda sul Delivery: le stiamo facendo fare bene? Abbiamo un management efficace e disciplinato, e dei processi di Delivery e di Change Management? Abbiamo risorse tecniche ed aziendali competenti e adeguatamente disponibili per assicurare le capacità richieste ed i processi organizzativi necessari per poter utilizzare le capacità disponibili? Domanda sul Valore: ne stiamo ricavando i benefici attesi? Abbiamo una comprensione chiara e condivisa dei benefici attesi? Abbiamo una chiara definizione di chi risponde della realizzazione dei benefici? Abbiamo un processo efficace di realizzazione dei benefici e delle metriche rilevanti per misurarlo? * Basato sulle Four Ares come descritto da John Thorp nel suo libro The Information Paradox, scritto congiuntamente al Fujitsu Consulting s Center for Strategic Leadership, pubblicato nel 1998 e rivisto nel Pagina 9

10 Sfide per il Management: come affrontarle Tre «domande guida»; come dobbiamo organizzarci per 1 essere sicuri che quello per cui ci paga il cliente è, e rimane, nel nostro focus? 2 essere sicuri che i dipendenti siano messi nella migliore condizione per permettergli di esprimere al meglio il loro potenziale? 3 essere sicuri che il Top Management sia effettivamente ed efficacemente tutelato dai rischi incombenti sull infrastruttura IT? Pagina 10

11 Agenda seconda parte Tutelare il vero patrimonio dell'azienda Pagina 11

12 Tutelare il vero patrimonio dell'azienda Contesto La Saggezza di un Organizzazione corrisponde alla sua capacità di rimanere nel mercato E continuare a produrre profitto Saggezza (discernimento, consapevolezza aggiunta) Perchè? Inizio del Valore Strategico Conoscenza (esperienze, idee aggiunte) Come? Informazione (aggiunto contesto iniziale) Chi? Cosa? Dove? Quando? Dato o 4 HDD went off-line simultaneously Comprensione Dato = descrizione elementare, spesso codificata, di un oggetto, di una transazione, di un avvenimento o di altro. (fonte Wikipedia) Pagina 12

13 Tutelare il vero patrimonio dell'azienda Variabili Fatture Andamento Vendite Regole di Mercato Decisioni Strategiche Elementi e VOLUME DATI INFORMAZIONI (Chi? Cosa? Dove? Quando?) CONOSCENZA (Come?) SAGGEZZA (Perchè?) Valore Aggiunto dato dalle Procedure di scoperta di conoscenza Elaborazioni Statistiche Esperienza Pagina 13

14 Tutelare il vero patrimonio dell'azienda Abbiamo condiviso che l obiettivo di tutti i collaboratori dell Azienda è: tutelare tutti gli asset informativi preposti a sostenere e sviluppare la Saggezza dell Organizzazione Knowledge Management - Gerarchia della Conoscenza «Le informazioni aziendali hanno lo stesso valore dei soldi contanti» Pagina 14

15 Agenda seconda parte La gestione del Rischio dell'it Strumenti ed impiego pratico Pagina 15

16 La gestione del Rischio dell'it: strumenti ed impiego pratico L IT Governance viene definita come (reprise #001): «un insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del sistema informativo aziendale che lo rendano costantemente coerente con le esigenze aziendali in un contesto di economicità»* Le principali finalità sono: 1. l allineamento dei sistemi agli obiettivi di business e 2. la gestione dei rischi informatici *Fonte: ISACA / SDA Bocconi Pagina 16

17 La gestione del Rischio dell'it: strumenti ed impiego pratico Tipi di Asset Informazione pura IT Fisici Esempi di Information Assets (IA) Dati digitali (e.g. finanziari, legali, clienti/fornitori, backup) Dati tangibili (e.g. documenti stampati, fax) Dati intangibili (e.g. Know-How, brand, affidabilità dei clienti, reputazione) Software Applicativo (e.g. CRM, SAP, databases) Software di Sistemi Operativi (e.g. Windows, Linux/Unix) Infrastrutture a supporto dell IT (e.g. server room, data center, server cabinet, video sorveglianza) IT utilities (e.g. sistemi antincendio, UPS, Cooling Plant) IT Hardware (e.g. workstations, server, copier/printer/fax) Servizi IT Web service, Firewall, Proxy, ,. Logistici Palazzi, uffici, posti di lavoro, archivi cartacei, meeting rooms, Umani Dipendenti, consulenti, tecnici esterni, terze parti, Pagina 17

18 La gestione del Rischio dell'it: strumenti ed impiego pratico Tutti gli asset aziendali sono accomunati da una o più caratteristiche, riferite negli standard normativi anche come «Information Criteria»: Integrità (es: fedeltà rispetto a quanto il dato vuole rappresentare, rispetto al formato, ai contenuti originali) Disponibilità (es: assicurare che il servizio/dato sia fruibile in una finestra temporale indicata) Confidenzialità (es: solo coloro che sono titolati possano avere accesso all informazione) Gli asset sono soggetti a continui cambiamenti e modifiche, con una variabilità che può raggiungere il 100% nell arco di una notte e pertanto sono soggetti a rischi! Pagina 18

19 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Vulnerabilità (alcuni esempi) Carenze di conoscenza dei sistemi da parte degli utenti (IT e non) Carenze di funzionalità di sicurezza (controllo accessi logici e fisici) Password poco robuste Soluzioni informatiche non testate Mancanza di separazione di ruoli Trasmissione di informazioni in chiaro Controlli non adeguati Situazioni logistiche pericolose (accumulo di carta nei vani tecnici ) Mancanza cronica di formazione e sensibilizzazione Pagina 19

20 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Minacce (alcuni esempi) Errori (errore umano) Danno volontario, attacco tramite virus, attacco tramite rete pubblica, BYOD, Frode, furto, infedeltà del collaboratore Malfunzionamento dell hardware, del software Inquinamento (chimico, radioattivo,.) Eventi calamitosi non prevedibili (fenomeni atmosferici, sommosse, tumulti) Pagina 20

21 La gestione del Rischio dell'it: strumenti ed impiego pratico Secondo la norma ISO 31000* («ISO Risk management»), il rischio è definito come un «effetto di incertezza sugli obiettivi» E = evento dannoso pesato P = probabilità di manifestazione dell evento (likelihood) il Rischio (R) è una probabilità (P) che un evento dannoso (E) si verifichi: R = P E Il rischio, fondamentalmente, minaccia gli «information criteria» degli asset. (*Fonte: Pagina 21

22 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischio come inibitore o distruttore del Valore Rischi IT Valore di business ridotto o non realizzato a causa dell IT Opportunità di business basate sull IT non raccolte (perse) Distruzione di valore mediante eventi avversi legati all IT Opportunità IT Identificazione di nuove opportunità di business attraverso l IT Valore e qualità aumentata del business attraverso l uso ottimale dell IT Rischio come abilitatore del Valore Fonte: Risk IT - ISACA Pagina 22

23 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO 27001:2013 da 20 anni è uno standard internazionale di riferimento in materia la sua pubblicazione risale al 2007 ed incorpora e sostituisce la norma inglese BS7799 del 1995 e sue successive versioni poichè parla di requisiti, la norma è certificabile si basa sul concetto del miglioramento continuo deve essere intesa come «tool» (il mezzo, non il fine) costituisce un framework completo l ambito (perimetro) è definibile secondo necessità la revisione 2013 è stata sviluppata in riferimento al documento Annex XL, che fornisce una struttura standardizzata per tutte le norme ISO, allo scopo di semplificare l integrazione dei sistemi di gestione (Fonte: Pagina 23

24 La gestione del Rischio dell'it: strumenti ed impiego pratico PLAN 0 Introduzione 2 Riferimenti normativi 1 Campo di applicazione 3 Termini e definizioni 4 Contesto dell organizzazione 6 Pianificazione 5 Guida e direzione (Leadership) 7 - Supporto DO 8 Attività operative CHECK 9 Valutazione prestazioni ISO27001:2013 (struttura) ACT 10 Miglioramento Fonte: Pagina 24

25 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO27001:2013 la sua implementazione pratica si basa su quanto indicato dalla norma ISO («ISO Risk management»*), standard che è più vicino alla gestione del rischio d impresa la norma ISO indica in più punti che la protezione dei dati non può essere estranea al rischio globale dell organizzazione prevede l esecuzione dei seguenti passi: Definizione del perimetro Valutazione del Rischio Trattamento del Rischio (*Fonte: Pagina 25

26 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO27001:2013 Annex A Obiettivi di controllo e controlli Organizzativi Tecnici Policy di Sicurezza (2) Organizzazione della sicurezza delle informazioni (7) Sicurezza delle Risorse Umane (6) Fisici Sicurezza fisica ed ambientale (15) Conformità (8) Legali Gestione dei Beni (10) Controllo Accessi (13) Crittografia (2) Sicurezza Operativa (14) Sicurezza delle Comunicazioni (7) Acquisizione, sviluppo e manutenzione dei sistemi (13) Relazioni con i fornitori (15) Gestione degli incidenti relativi alla sicurezza delle informazioni (7) Aspetti relativi alla sicurezza delle informazioni nella gestione della Continuità Operativa (4) Pagina 26

27 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO27001:2013 estensione negli ambiti aziendali della normativa Operativo Misto Strategico Impatto implementativo Strategie Controllo dei Processi Esecuzione dei Processi Istruzioni Operative Processo #001 Processo #002 ISO27001:2013 Processo #003 COBIT ITILv3 Processo n Pagina 27

28 La gestione del Rischio dell'it: strumenti ed impiego pratico La norma ISO/IEC 31000:2009 definisce* il risk management come delle «attività coordinate per dirigere e controllare un organizzazione, considerando i rischi» Quindi, la gestione del rischio si riferisce ad un 1. insieme coordinato di 2. attività e metodi che vengono utilizzati per aiutare l organizzazione a 3. controllare i rischi che possono influenzare la sua capacità di raggiungere gli obiettivi. (*Fonte: Pagina 28

29 La gestione del Rischio dell'it: strumenti ed impiego pratico Enterprise Risk Strategic Risk Environmental Risk Market Risk Credit Risk Operational Risk Compliance Risk IT Benefit/value Enablement Risk IT-related Risk IT Programme and Project Delivery Risk IT Operations and Service Delivery Risk Tipologia di rischi principali: Rischi inerenti la strategia IT Rischi di disallineamento con gli obiettivi di business Rischi di valutazione delle nuove opportunità Fonte: The Risk IT Framework - ISACA Tipologia di rischi principali: Rischi di gestione dei progetti Rischi di gestione organizzativa Rischi di pianificazione Rischi di errata interpretazione delle esigenze dei clienti/ business Tipologia di rischi principali: Rischi operativi Rischi di sicurezza Rischi di conformità normativa Rischi di frode Pagina 29

30 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Minacce (alcuni esempi) Il British Continuity Istitute ha svolto un indagine (web survey): Unplanned IT and telecom outages (77% extremely concerned or concerned) Data breach (73% extremely concerned or concerned) Cyber attack (73% extremely concerned or concerned) Adverse weather (57% extremely concerned or concerned) Interruption to utility supply (56% extremely concerned or concerned) Security incident (53% extremely concerned or concerned) (Fonte: The British Continuity Institute validated responses received representing 82 countries. Pagina 30

31 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Minacce (alcuni esempi) (Fonte: The British Continuity Institute validated responses received representing 82 countries. Pagina 31

32 La gestione del Rischio dell'it: strumenti ed impiego pratico Pagina 32

33 La gestione del Rischio dell'it: strumenti ed impiego pratico Pagina 33

34 La gestione del Rischio dell'it: strumenti ed impiego pratico Pagina 34

35 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Lezione imparata Un incidente è un qualunque evento inaspettato, che può causare danni più o meno significativi. Gli incidenti e le crisi sono dinamici, pertanto evolvono, cambiano col tempo e le circostanze, e sono spesso rapidi e invisibili. La loro gestione deve essere dinamica, attiva e ben documentata. La classificazione degli incidenti è provvisoria finché l incidente non viene risolto. Pagina 35

36 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Impatto sul Business (i danni, alcuni esempi) Rischi = Costi: se fosse andato male? stimiamo i costi per l esempio precedente. risorse umane coinvolte: ~130 giornate di fermo (previsione ottimistica): 5 costo azienda del personale, al giorno (valore medio): 73,- Costo incidente: per una settimana: ~ ,- proiezione pessimistica a un mese: ~ ,- PER IL SOLO COSTO DEL PERSONALE lasciato inoperativo Pagina 37

37 La gestione del Rischio dell'it: strumenti ed impiego pratico Parametri per la selezione di risposta 1. Importanza del rischio 2. Costo della risposta per mitigare il rischio entro tolleranza 3. Capacità di implementazione Risks exceeding Risks exceeding the risk tolerance Rischi che the risk tolerance eccedono level il livello level di tolleranza Opzioni di selezione della risposta ai rischi Opzioni per il tipo di risposta 1. Rimuovere 2. Ridurre/Mitigare 3. Condividere/Trasferire 4. Evitare 5. Accettare 4. Efficacia della risposta 5. Efficienza della risposta Fonte: Risk IT - ISACA Prioritizzazione della risposta ai rischi Piano di Azione «Risk-Response» Prioritization How? Risk Level Business Case (postpone) Quick Wins Business Case Benefit/Cost ratio Pagina 39

38 La gestione del Rischio dell'it: strumenti ed impiego pratico Information Asset Name: Inadequate Information Security Incident Management Firewall "Palo Alto" - CED-A ID Threat Vulnerability Inadequate Information Security Incident Management Lack or insufficient procedures for reporting information security events / weaknesses Lack or insufficient management of information security incidents (roles & responsibilities, lessons learned, evidence collection) Risk BEFORE Mitigation Financial Risk BEFORE mitigation Risk Treatment Description of Mitigation action Risk AFTER mitigation Integrity Type Preventive Corrective Reputati Confiden Availabili Violation Other (Recovery) Financial Violation Reputati on Confiden tiality Availabili ty Risk Removal Risk Removal Implementare Processi di ISMS. Implementare Processi di ISMS. Risk AFTER Mitigation on tiality ty Integrity Other Inadequate Business Continuity Management Inadequate Business Continuity Management Lack or insufficient process for business continuity management (roles & responsibilities, BC plans) Risk Removal Lack or insufficient tests of BC plans Risk Removal Fire Cable/Device fire Risk Reduction Fire Lack or insufficient control of environmental conditions Risk Reduction CED-A: procedere sigillando il CED-A; in particolare, dato che l'impianto estinguente è basato su gas inerte a pressione, è imperativo chiudere il foro presente nella pavimentazione (soletta) in centro stanza. L'impatto in caso di incendio, si propagherebbe in altri rami dell'azienda (laboratori sottostanti). Implementazione impianti rilevazione fumo ed telecontrollo. Verificare nel CED-A che gli ampi vetri della finestra sopportino la scarica dell'antincendio. Introdurre Processi BCP/DR. Introdurre Processi BCP/DR Water damage Lack or insufficient control of environmental conditions Risk Reduction Implementare sensori a pavimento Water damage Major accident Unprotected water pipes crossing sensitive areas in building (e.g. server room) No copies of original documents, contracts, core applications, installation media etc Risk Reduction Risk Removal Major accident No insurance contracts Risk Transfer Sigillare il vano da possibili infiltrazioni provenienti a livello di corridoio. Prevedere lo spostamento degli SPLIT (in particolare quello sovrastante l'impianto estinguente). Eseguire copia della configurazione dell'apparato. Prevedere polizze assicurative a copertura dell'asset. Introdurre processi COBIT DS9 e DS Loss of essential services Lack or insufficient redundancy / fail-over services Risk Removal Dotarsi di impianti configurati in alta affidabilità, prevedendo impianto di BusinessContinuity. In particolare, dotarsi di impianto che permetta l'utilizzo bilanciato delle linee TD Loss of essential services Lack or insufficient cabling Risk Removal Prevedere sdoppiamento dei link FO tra i vani tecnici per le configurazioni di HA su VLAN Failure of telecommunication equipment Lack or insufficient cabling Risk Removal Prevedere sdoppiamento dei link FO tra i vani tecnici per le configurazioni di HA su VLAN Pagina 40

39 La gestione del Rischio dell'it: strumenti ed impiego pratico L analisi dei rischi risponde alle domande di tutti gli stakeholder (esempi): Permette di identificare eventuali ambiti di debolezza di un organizzazione Aiuta l organizzazione a gestire gli sviluppi di business utilizzando l approccio del Risk Management Permette di misurare l efficienza del sistema organizzativo (in termini di risposta) Minimizza le opportunità perse Fornisce un meccanismo attraverso il quale il Board è in grado di dimostrare la compliance (rispetto delle normative, e rispetto ai clienti) Permette di stimare i livelli di rischio prima di un importante progetto o intervento evolutivo Aumenta l integrazione tra persone e processi Permette all organizzazione di dotarsi di un meccanismo attraverso il quale può migliorarsi costantemente Pagina 41

40 Un primo aforisma per tutti «Ogni anno vengono uccise più persone dai maiali che dagli squali, e questo evidenzia quanto siamo bravi nel valutare i rischi» Bruce Schneier (crittografo e saggista statunitense) Pagina 42

41 Agenda seconda parte IT Governance e Continuità Operativa «per non lasciare la ruota di scorta in garage» Pagina 43

42 IT Governance e Continuità Operativa «Information technology and business are becoming inextricably interwoven. I don't think anybody can talk meaningfully about one without the talking about 1 the other» (Le tecnologie dell'informazione ed il business stanno diventando inestricabilmente intrecciate. Io non credo che nessuno possa, a ragione, parlare di uno senza parlare dell'altro). 1 Gates, William H., the Speed of Thought: Succeeding in the Digital Economy. New York: Warner Books, Inc Pagina 44

43 IT Governance e Continuità Operativa L IT Governance viene definita come (reprise #002): «un insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del sistema informativo aziendale che lo rendano costantemente coerente con le esigenze aziendali in un contesto di economicità»* Le principali finalità sono: 1. l allineamento dei sistemi agli obiettivi di business e 2. la gestione dei rischi informatici *Fonte: ISACA / SDA Bocconi Pagina 45

44 Agenda seconda parte HA / DR / BC: punto zero Pagina 46

45 HA / DR / BC: punto zero HA High Availability l HA prevede l'impiego di componenti infrastrutturali ridondati al fine di garantire la continuità del funzionamento di uno o più impianti/servizi. Pagina 47

46 HA / DR / BC: punto zero DR Disaster Recovery per Disaster Recovery (DR) si intende l'insieme di misure tecnologiche, logistiche ed organizzative atte a ripristinare entro una finestra temporale predefinita infrastrutture, sistemi e dati necessari all'erogazione di servizi per il business, a fronte di gravi emergenze che ne intacchino la regolare attività. Pagina 48

47 HA / DR / BC: punto zero BC Business Continuity per gestione della continuità di business (Business Continuity Process - BCP) si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi avversi che possono colpirla. Pagina 49

48 HA / DR / BC: punto zero Disaster Recovery Organizzazione Aziendale (Corporate Governance) Organizzazione IT (IT Governance) Hardware Collegamenti Basi Dati Risorse Umane Software Logistica IT Documentazione Sito alternativo Personale EDP Norme Finanze Impianti produttivi Documentazione Infrastrutture logistiche Comunicazioni Strumenti informatici (non di core) Business Continuity Fonte: ISACA Pagina 50

49 HA / DR / BC: punto zero RTO Recovery Time Objective - indica il tempo che intercorre dall evento disastroso, al momento in cui il sistema è di nuovo operativo RPO Recovery Point Objective - indica la misura della massima quantità di dati che il sistema può perdere a causa di guasto improvviso MTPD Maximum Tolerable Period of Disruption - indica il massimo periodo di interruzione (del servizio) accettabile MBCO Minimum Business Continuity Objective - indica il livello minimo di operatività accettabile Perimetro - è l insieme finito di tutti gli asset che devono essere considerati nell ambito di un progetto BCP/DR. L analisi deve essere preventiva alla stesura di qualsiasi progetto. Pagina 51

50 HA / DR / BC: punto zero Recupero lavoro perso nel tempo RTO e ricostruzione dei dati non salvati nella finestra RPO (laddove possibile ricostruirli) EVENTO che provoca interruzione processo (con distruzione apparati) Replica sincrona (sec) Replica asincrona/snapshot (minuti) Backup periodico su nastro magnetico (ore) Backup settimanale su nastro magnetico (giorni)???? RPO RTO Attività corrente di Business Attività degradata Attività ripristinata t -1 t 0 t 1 t 2 Tempo Fonte: ISACA Pagina 52

51 HA / DR / BC: punto zero Continuità di Business Testata ed efficace Livello di erogazione dei servizi di business (SLA) MBCO EVENTO MBCO (?????) RTO RTO (?????) No Continuità di Business: ripristino fortunato!!! No Continuità di Business: risultato imprevedibile!!! o t 1 t 0 t 2 Tempo Fonte: ISACA MBCO Minimum business continuity objective t 2 - MTPD Maximum tolerable period of disruption (inizio perdite significative per l Azienda) Pagina 53

52 Agenda seconda parte Predisposizione, attuazione e verifiche del Piano Pagina 54

53 Predisposizione, attuazione e verifiche del Piano BCM Business Continuity Management «processo di gestione olistica che identifica le minacce potenziali per un'organizzazione e l'impatto per le attività aziendali che tali minacce, se realizzate, potrebbero causare, e fornisce un framework per la realizzazione della resilienza organizzativa con la capacità di una risposta efficace che tutela gli interessi delle parti coinvolte (stakeholders), la reputazione, il marchio e le attività di creazione del valore (utilità, garanzia)» Olistico: un approccio globale multidisciplinare, con risvolti interni ed esterni Resilienza = capacità di resistere ad eventi distruttivi Fonte: ISACA e Pagina 55

54 Predisposizione, attuazione e verifiche del Piano E necessaria una cultura aziendale che permetta di identificare e gestire con successo tutti i rischi che possano esporla a danni. E responsabilità primaria dell Alta Direzione (Senior Management) Deve essere eseguito dalle unità di business e di supporto che devono fornire un livello ridotto ma sufficiente di funzionalità subito dopo l accadere dell evento dannoso. Esso dovrebbe identificare tutte le funzioni e gli asset richiesti per rendere l organizzazione nuovamente operativa in caso di evento dannoso. Pagina 56

55 Predisposizione, attuazione e verifiche del Piano Strategia di impresa Obiettivi aziendali per l IT Obiettivi IT Architettura aziendale per l IT IT Scorecard Business Continuity needs Requisiti Aziendali Requisiti di Governance Richiedono/stabiliscono producono Informazioni richiedono Servizi Informativi influenzano Processi IT eseguono Applicazioni influenzano Criteri delle informazioni hanno bisogno di Infrastrutture e persone Fonte: ISACA Obiettivi aziendali BCP/DR per l IT Architettura aziendale BCP/DR per l IT Pagina 57

56 Predisposizione, attuazione e verifiche del Piano Pianificazione (BC Policy, Scope) Analisi dell impatto sul Business (BIA) Monitoraggio, manutenzione, modifica del piano Ciclo di vita del Business Continuity Management System Test del piano di BC Addestramento e consapevolezza del piano di BC Valutazione e Risk Analysis Sviluppo della Strategia di BC Sviluppo piano di BC Fonte: ISACA Esecuzione della Strategia (impl. contromisure) Pagina 58

57 Predisposizione, attuazione e verifiche del Piano Normativa ISO 22301:2012 Contex of the organization Leadership Planning Support Operation Performance evaluation Improvement Understanding of the the organization and its context Management Commitment Actions to adderss risk and opportunities Resources Operational planning and control Monitoring measurement analysis and evaluation Non conformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Scope of Management System Roles Responsabilities and Authorities Awareness BC strategy Management review BCMS Comunication Establish and implement BC procedures Documented Information Execising and testing PLAN DO CHECK ACT Fonte: ISACA e Pagina 59

58 Predisposizione, attuazione e verifiche del Piano Monitoraggio Infrastruttura Gestione della Capacità Gestione Incidenti/Problemi Controlli Rilevativi Evento disastroso Ripristino dati (dal backup) Creazione sito di Riserva Gestione dei Rischi Gestione delle Configurazioni Gestione del Backup Controlli Preventivi Controlli Correttivi Piani di BCP/DR Contratti terze parti Generatori o UPS Fonte: ISACA La stesura del Piano serve a: Ridurre le probabilità di fermo t 0 tempo L esecuzione del piano serve a Mitigare le conseguenze Pagina 61

59 Predisposizione, attuazione e verifiche del Piano A seconda dell ampiezza e dei requisiti di una organizzazione il BCP dovrebbe comprendere i seguenti documenti: 1. Piano per la Continuità delle Operazioni 2. Piano di Disaster Recovery 3. Piano per il riavvio del Business Pagina 62

60 Predisposizione, attuazione e verifiche del Piano Test del Piano (#001): I passi consistono nel recuperare/eseguire: Recupero delle specifiche del Piano Esecuzione Documentazione dei risultati (durante il test) Analisi dei risultati Piano di manutenzione Best Practices nel BC Management Pagina 63

61 Alcuni vantaggi apportati dal processo di Continuità Operativa Nei confronti delle strategie di Core: supporto ai requisiti di time to market del business maggiori sinergie dai livelli operativi e dalle applicazioni focalizzazione sul vero potenziale del business miglioramento delle performance mediante l ottimizzazione dell'uso degli asset miglioramento della manutenzione dei processi produttivi controllo sul ritorno dell investimento IT gestione dei rischi aziendali conformità alle leggi, regolamenti e contratti Pagina 64

62 Alcuni vantaggi apportati dal processo di Continuità Operativa Nei confronti dei benefici al Cliente: miglioramento della customer satisfaction attraverso la coerenza agli SLA concordati miglioramento della qualità del prodotto/servizio miglioramento delle transazioni e della sicurezza dei dati Nei confronti dei dipendenti/collaboratori: miglioramento della qualità professionale indirizzare la cultura aziendale al miglioramento continuo creazione di una struttura per la migliore condivisione delle informazioni (reporting) Nei confronti della competition e dell opinione pubblica: adempimento agli obblighi di legge miglioramento della corporate identity/corporate image miglioramento dell affidabilità complessiva dell organizzazione (irrobustimento) * Pagina 65

63 Agenda seconda parte Riferimenti normativi Pagina 66

64 Riferimenti normativi (fonte: Internet) Decreto Legislativo 8 giugno 2001, n. 231 pubblicato nella Gazzetta Ufficiale n. 140 del 19 giugno Decreto Legislativo 30 giugno 2003, n. 196 «Codice in materia di protezione dei dati personali» ISO/IEC Information security management ISO Environmental management ISO Risk management ISO Social responsibility The Sarbanes-Oxley Act - A Guide To The Sarbanes-Oxley Act ISO 22301: Societal security -- Business continuity management systems Pagina 67

65 Domande? RISPOSTE! Pagina 68

66 Un aforisma per tutti «Il dolore del declino appartiene a chi ha lavorato e a chi ha criticato» (cit.) Pagina 69