Milano 23 novembre 2011

Transcript

1 ORBIT - Open Day Milano 23 novembre 2011 Carlo Loveri

2 Agenda Benvenuto Business Continuity & Disaster Recovery Management: Cenni; Standards di riferimento; Best practices. Carlo Loveri CEO esolutions Europe BC & DR Management: Considerazioni sul ROI; ORBIT la governance del processo di Business Continuity; ORBIT : Benchmarketing e Compliance agli standards. ORBIT Mobile Crisis Management ORBIT Demo. Edoardo Mauri Software Factory Manager esolutions Europe Domande e risposte Aperitivo e chiusura.

3 esolutions Europe Società di consulenza fondata nel 2000: Con una crescita continua di fatturato Con importanti clienti e progetti 25 persone (partners, dipendenti e collaboratori esterni) da febbraio 2011 fa parte di Circa 300 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 Associata ad ANSSAIF Certificazioni ITIL IBM Business Partner Certificazioni CISM /CISA Certificazioni CBCP DRI

4 ORBIT - Open Day Introduzione alla Business Continuity This document cannot be reproduced or utilized without a written authorization by esolutions Europe S.r.l.

5 Business Continuity Qualche definizione Per business continuity si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi catastrofici che possono colpirla. Il Piano di continuità del business (BCP) contiene informazioni riguardo le azioni da intraprendere in caso di incidente, chi è coinvolto nell attività e come deve essere contattato. Il piano riflette la posizione dell organizzazione e degli stakeholders Business Continuity Management is an holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience and the capability for an effective response that safeguards Processo olistico di management che individua le potenziali minacce alle quali è esposta l organizzazione e gli impatti che esse possono causare sul business nel caso in cui si manifestassero; fornisce un framework per la costruzione della resilienza dell organizzazione che abbia capacità di un effettiva risposta per la salvaguardia degli interessi dei suoi stakeholder chiave, della reputazione dell organizzazione, del brand e delle attività con le quali crea valore.

6 Business Continuity vs Disaster Recovery E sufficiente avere dei piani di disaster recovery per avere una copertura dei rischi? per rispondere a questa domanda bisogna capire quali sono le risorse critiche da considerare per definire i piani di emergenza Business Continuity Management Disaster Recovery Management

7 Business Continuity vs Disaster Recovery Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio) Siti Rischi Meteorologici Rischi vulcanici Rischi di Ordine Pubblico Rischi di mancanza del personale Risorse Umane Rischi ambientali Interruzione apparati (non S. I.) Rischi idrogeologici Rischi di incendio Rischi ambientali e sanitari Rischi trasporti Sis. Informativi Interruzione trasporto valori Malfunzionamento grave Sist. e Reti Infrastruttura Interruzione servizi amministrativi Perdita o corruzione dei dati Altri Servizi Perdita di doc. per allagamento-incendio Perdita di doc. per frode interna Interruzione erogazione gas Interruzione energia elettrica Interruzione erogazione acqua Razionamento Combustibili Blocco Applicazioni Attacchi esterni tramite reti telem Documentazione Perdita di doc. per furto Interruzione Telecomunicazioni Interruzione Condizionamento Frode grave con perdita di dati

8 Business Continuity vs Disaster Recovery Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio) Quali sono i rischi coperti da un Piano di Disaster Recovery? Siti Rischi Meteorologici Rischi vulcanici Rischi di Ordine Pubblico Rischi di mancanza del personale Risorse Umane Sis. Informativi Infrastruttura Altri Servizi Documentazione Rischi Rischi Rischi di ambientali idrogeologici incendio Quindi un progetto di Business Continuity e molto piu vasto e articolato di un progetto di disaster recovery, anzi il piano di disaster recovery e un sottoinsieme del progetto di business continuity Interruzione apparati (non S. I.) Interruzione trasporto valori Interruzione servizi amministrativi Perdita di doc. per allagamento-incendio Interruzione erogazione gas Interruzione erogazione acqua Perdita di doc. Interruzione Razionamento per frode interna energia elettrica Combustibili Perdita di doc. per furto Interruzione Telecomunicazioni Interruzione Condizionamento Rischi ambientali e sanitari Rischi trasporti Malfunzionamento grave Sist. e Reti Perdita o corruzione dei dati Blocco Applicazioni Attacchi esterni tramite reti telem Frode grave con perdita di dati??

9 L evoluzione storica del concetto di Business Continuity TECNOLOGIA BUSINESS EXECUTIVE MANAGEMENT Processi Disaster Recovery Business Continuity Crisis Management ATTIVITA Back up dati/mirroring on line Trading room attrezzate Recovery desks IT Back up Il Business partecipa più attivamente ai test, riflette sui processi critici e sulle risorse più a rischio Ogni linea di business inceste nella Business Continuity Durante la crisi il Management segue un preciso protocollo coordinato dal gruppo di «Crisis Management» Le decisioni di invocare le procedure di Business Continuity vengono prese più rapidamente. Focus su sicurezza delle persone METODOLOGIE Duplicazione CED grandi aziende Affitto locali CED piccole/medie Archiviazione nastri in luoghi remoti Investimenti in telecomunicazioni Business Impact Analysis Definizione di RTO (Recovery Time Objective) Definizione di RPO (Recovery Point Objective) Piani di Business Continuity «Calling Trees» e piani di evacuazione Piani di crisi con distribuzione delle attività di management Test con simulazione di scenari di crisi Crisi di zona

10 ORBIT - Open Day Business Continuity Riferimenti Normativi Standards Best Practices This document cannot be reproduced or utilized without a written authorization by esolutions Europe S.r.l.

11 Riferimenti normativi Italia Basilea 2 Basilea 3 Business Continuity & Operational Risk Normativa Banca d Italia 2004 Business Continuity Plan Disaster Recovery Plan Testing & Exercising Fornitori critici Crisis Management Banche ISVAP Regolamento n Gestione dei controlli interni Controllo dei rischi Salvaguarda del patrimonio Solvency 2 Written policies in relation to at least risk management Ensure continuity and regularity Development of contingency plans Assicurazioni CONSOB Comunicazione Maggio 2007 Business Continuity per gli intermediari finanziari Finanza Confindustria (Raccomandazi one) Linee guida BCP Linee guida DRP Industria

12 Il nuovo CAD articolo 50-bis E obbligatorio per le Pubbliche Amministrazioni italiane la definizione di : UN PIANO DI CONTINUITÀ OPERATIVA che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; UN PIANO DI DISASTER RECOVERY che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione. entro 15 mesi dalla data di entrata in vigore del D. Lgs 235/2010 (Gazzetta Ufficiale N. 6 del 10 Gennaio 2011)

13 Riferimenti normativi - Italia Responsabilità amministrativa delle persone giuridiche D.Lgs. 231/01 Sicurezza sul posto di lavoro D.Lgs. 81/2008 Codice in materia di protezione dei dati personali D.Lgs. n. 196 una analisi dei rischi, una analisi degli impatti e opportuni piani di mitigazione e di continuità dei processi correlati Richiedono

14 Riferimenti normativi Europa Direttiva Europea 2008/114/CE Protezione delle infrastrutture critiche MACROAREE il sistema elettrico ed energetico, Le reti di comunicazione, le reti le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale), il sistema sanitario, i circuiti economico finanziari, le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze, SERVIZI ESSENZIALI PER il benessere della popolazione la sicurezza nazionale, il buon funzionamento del Paese e la sua crescita economica.

15 Riferimenti normativi iternazionali Sarbanes Oxley Act RICHIEDE una analisi ed una comprensione dei rischi che possono impattare il processo di «Reporting Finnanziario» SUGGERISCE ma non impone la redazione di un opportuno BCP che rifletta tali rischi e ne gestisca la mitigazione

16 Standards BS25999 BS «Code of practice for BCM» (2006) BS «Specification for BCM» (2007) (PDCA) Sostituisce PAS56 Definisce il BCM Lifecycle Focus on BCM management Understanding the organization Determining BCM Strategies Developing and implementing a BCM response Exercising, maintenance, audit and self assessment of the BCM

17 Standard BS 25999

18 Standards Altri standards NFPA (National Fire Protection Agency) (agg. 2007) In cooperazione con la FEMA (Federal Emergency Management Agency e IAEM (International Association of Emergency Managers) Focus su gestione integrata della gestione delle emergenze e dei disastri dal punto di vista «governativo» e «territoriale» NIST SP (National Institute of Standards and Technologies) «Good Practice» Focus sui sistemi IT e non sui processi di business

19 Altri standards ISO/IEC e BS Focus su «plan and implement an ICT continuity strategy PAS 77 Focus su «IT Service Continuity Management ISO Societal security Preparedness and Continuity Management Systems Requirements Focus su «Societal Continuity» Sostiuirà BS

20 Standards Altri standards ISO/IEC e BS Focus su «plan and implement an ICT continuity strategy PAS 77 Focus su «IT Service Continuity Management ISO Societal security Preparedness and Continuity Management Systems Requirements Focus su «Societal Continuity» Sostiuirà BS

21 Best Practices Altri standards BCI Business Continuity Institute DRI Disaster Recovery Institute Certificazioni professionali Code of Professional Practice Essenzialmente simili Presenti in Italia direttamente o tramite partner che erogano corsi ed esami di certificazione

22 Il Processo di Business Continuity Management

23 Processo BCM gli step principali Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti

24 Quanto spesso cambia l azienda?

25 Processo BCM La gestione degli aggiornamenti Aggiornamenti continui endogeni al processo di Business Continuity Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti Aggiornamenti continui esogeni al processo di Business Continuity

26 Processo BCM: i punti di attenzione Essere sicuri che a fronte di un evento critico il BCP sia l immagine efficace delle azioni da intraprendere Gestire gli aggiornamenti BCP Avere un efficace piano dei test Gestire gli eventuali EFFETTI DOMINO Avere gli strumenti e le procedure adeguate per la gestione della crisi e dei test

27 L'effetto domino gli oggetti logici Mappatura Processi end to end Processi in input ad altri processi BIA Analisi della criticità degli input ad un processo e del tempo massimo di resistenza in assenza di tali input Piani operativi Indisponibilità risorse critiche Indisponibilità di input critico Monitoring Azioni dei piani operativi di ripristino Tempo trascorso VS RTO Alerting su processi dipendenti all approssimarsi del RTO Perimetro Estensione del perimetro in funzione del tempo Innalzamento del livello di crisi Messaging integrato

28 ORBIT - Open Day Business Continuity e considerazioni sul ROI This document cannot be reproduced or utilized without a written authorization by esolutions Europe S.r.l.

29 Business Continuity e ROI Chi si occupa di Business Continuity deve spesso rispondere alla fatidica domanda: Quale è il ROI di un progetto di Business Continuity e Disaster Recovery? E come si calcola? La formula classica per il calcolo: ROI% = ((Benefits Costs) / Costs) X 100

30 La formula è applicabile Purtroppo la risposta non può essere positiva. Posso quantificare i COSTI NON posso quantificare i BENEFITS anche perché difficilmente ho a disposizioni serie storiche Un effettivo ritorno lo si può misurare EVENTUALMENTE solo come "saving" dopo un eventuale impatto. In alternativa il ROI può essere quantificato pari al risparmio delle eventuali coperture assicurative.

31 Un approccio innovativo Processo di Business Continuity Management come un tool "marketing". Come un una "suprema" garanzia della resilienza e della affidabilità dell'azienda nei confronti dei propri clienti ed in generale di tutti i propri stakeholders.

32 Efficienza ed efficacia In ogni caso una governance Efficiente Efficace Di tutto il processo di BCM è determinante affinché il progetto abbia una aspettativa di ROI positivo. Un tool integrato è quindi sostanziale al raggiungimento di un tale obiettivo.

33 Uso di un tool Effetti sul processo BCM NON DISGIUNTO STRUTTURATO NON RIDONDANTE un tool BCM facilita il flusso di lavoro e il livello di collaborazione fra le risorse potenzialmente convolte in una situazione di crisi che, altrimenti, potrebbe risultare difficile da gestire in modo efficiente. un tool BCM costituisce un eccellente supporto alla costruzione di template operativi per i piani di Business Continuity e Disaster Recovery. Ciò consente di standardizzare i vari elementi del piano di BC/DR garantendo nel contempo la flessibilità dei contenuti di dettaglio. gli oggetti creati con un tool BCM sono riutilizzabili e replicabili. Il Business Continuity Plan ne risulterà snello e privo di ridondanze inutili.

34 Uso di un tool Effetti sul processo BCM FLESSIBILE Un tool BCM è in grado di fornire una vista multidimensionale delle relazioni fra gli elementi e le entità (business e tecnologiche) di una organizzazione aziendale evidenziandone i rischi interdipendenti e gli eventuali effetti domino a seguito di un impatto. AUTOMATIZZATO L uso di un database relazionale assicura che la modifica e l aggiornamento di un singolo elemento (es. numero di telefono) venga propagata direttamente e automaticamente in tutte le parti del piano che fanno riferimento a quell elemento. Ciò elimina il rischio di avere un piano di Business Continuity e Disaster Recovery non coerente. NON SOGGETTIVO Un tool BCM può contribuire a creare e monitorare il processo di Governance della gestione della Business Continuity e Disaster Recovery aziendale (incluso, ad esempio, i modelli di BCP, BIA, raccolta dei dati, generazione di Piano, autorizzazioni di accesso, etc.).

35 Uso di un tool Effetti sul processo BCM PRODUTTIVO Un tool BCM può supportare l esecuzione dei test e delle simulazioni di un piano di BC/DR riducendo sensibilmente i costi di pianificazione, esecuzione e analisi posttest. ECONOMICO Un tool BCM consente risparmi tangibili e quantificabili riducendo l impegno di risorse necessarie per la logistica, amministrazione e gestione del programma di BC/DR con effetti estremamente positivi sul ROI complessivo.

36 BIA BCP Tradizionale vs ORBIT Raccolta dati per la BIA Tradizionale Interviste di persona con questionari ai responsabili di processo ORBIT Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo Immissione dati Riordino, assemblaggio, verifica dei dati e loro immissione su supporto I dati sono già stati immessi nella fase precedente Aggiornamento dati della BIA Redazione dei Piani Operativi Redazione BCP Revisione/redazione nuovi questionari per catturare le eventuali variazioni Rilettura dei questionari. Immissione dei dati. Redazione manuale analizzando direttamente i dati BIA a video o su report cartaceo Scrittura manuale delle diverse parti del BCP: risultanze BIA, misure di continuità, procedure, liste di contatto, etc. Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo Redazione guidata sulla scorta dei dati BIA resi automaticamente disponibili dall applicativo Redazione automatica del Piano sulla base dei dati disponibili nella BIA e nella sezione di Design (Piani Operativi) Reportistica Alta Direzione Redazione manuale dei report da presentare all Alta Direzione. Redazione automatica dei report per l Alta Direzione.

37 Costi di Progetto BIA + BCP Tradizionale ORBIT Raccolta dati per la BIA 6 EU 2 EU Immissione dati 1 EU 0 EU Aggiornamento dati della BIA 6 EU 2 EU Redazione dei Piani Operativi 4 EU 2 EU Redazione BCP 6 EU 1 EU EU: Effort Unit Somma FTE, Licenze, Logistica, etc. Grande banca (2000 sportelli): 1EU = 75K Reportistica Alta Direzione 2 EU 1 EU 25 EU 8 EU

38 Testimonianza del Cliente Tradizionale ORBIT Raccolta dati per la BIA Immissione dati Aggiornamento dati della BIA Redazione dei Piani Operativi Redazione BCP Reportistica Alta Direzione Queste fasi di implementazione del BCP, sviluppate e gestite con l ausilio di una soluzione informatica innovativa risultano sensibilmente più efficienti. Itempi di redazione del BCP e di implementazione della reportistica sono notevolmente ridotti rispetto ad un progetto senza questi strumenti

39 Test & Exercising Tradizionale vs ORBIT Tradizionale ORBIT Preparazione del test Redazione manuale su supporti diversi (fogli word, excel, etc.) di tutte le specifiche necessarie per il test Redazione guidata, effettuata mediante specifico applicativo delle specifiche di predisposizione del test Sviluppo/ Monitoraggio del test Fasi che richiedono il monitoraggio sul posto di ciascuna attività e la loro registrazione/descrizione con supporti diversi. Fasi che possono essere seguite anche a distanza. Gli attori coinvolti nella prova, all avvio/fine di ogni attività attivano una check list sulla intranet Raccolta e analisi documenti La documentazione prodotta in fase di monitoraggio necessita di essere decodificata, e analizzata, per produrre i report e le relazioni finali. La documentazione è già disponibile sotto forma di log delle attività svolte dai vari attori, come risultato delle check list (chi ha fatto che cosa, dove, a che ora, etc.) Redazione verbali e relazioni Sulla scorta delle analisi vengono redatti manualmente i report e le relazioni conclusive Sulla scorta della documentazione disponibile vengono redatti, solo in parte manualmente, i report e le relazioni conclusive

40 Costi di Progetto Gestione dei Test Tradizionale ORBIT Preparazione del test 2 EU 1EU Sviluppo/ Monitoraggio del test 2 EU 1 EU Raccolta e analisi documenti 2 EU 1 EU Redazione verbali e relazioni 4 EU 1 EU EU: Effort Unit Somma FTE, Licenze, Logistica, etc. Grande banca (2000 sportelli): 1EU = 75K EU: Effort Unit 10 EU 4 EU

41 Costi Totali di Progetto BIA + BCP + Test Excel DBAccess ORBIT Costi di progetto BIA / BCP 25 EU 8 EU Costi di progetto Gestione dei test 10 EU 4 EU Totale EU 1230 EU circa 1/3 delle risorse EU: Effort Unit Somma FTE, Licenze, Logistica, etc. Grande banca (2000 sportelli): 1EU = 75K EU: Effort Unit

42 Costi totali del progetto Titolo del grafico Totale BIA/BCP TEST anno (Trad.) 2 anno (Trad.) 3 anno (Trad.) 1 anno (ORBIT) 2 anno (ORBIT) 3 anno (ORBIT) EU: Effort Unit Somma FTE, Licenze, Logistica, etc. Grande banca (2000 sportelli): 1EU = 75K

43 Costi totali del progetto BIA/BCP TEST anno (Trad.) 2 anno (Trad.) 3 anno (Trad.) 8 1 anno (ORBIT) anno (ORBIT) 3 anno (ORBIT) EU: Effort Unit Somma FTE, Licenze, Logistica, etc. Grande banca (2000 sportelli): 1EU = 75K

44 Processo BCM: la «governance» Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Scegliere uno strumento dedicato per la gestione del processo BCM Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti

45 Business Continuity Governance: ORBIT This document cannot be reproduced or utilized without a written authorization by esolutions Europe S.r.l.

46 Il Prodotto

47 Cosa è ORBIT ORBIT è la soluzione leader in Italia di GRC (Governance, Risk and Compliance) per la gestione completa del processo di Business Continuity (BCM)e Disaster Recovery Planning (DRP): raccolta, analisi e gestione della mole di dati che deve essere censita per rispondere alle esigenze di un progetto di BCMS conforme agli standard internazionali (BS 25999); riduzione al minimo dei costi generali di progetto; organizzazione del modello aziendale secondo le necessità dell'azienda con opzioni multisocietà, multigruppo, multilingua e multigergo; sviluppata in ottica web, offre la possibilità di interfacciamento al Single Sign On e ad altri repository di dati delle Aziende; in grado di adattare la propria struttura ai rapidi cambiamenti del mondo economico e tecnologico personalizzabile per rispondere nel miglior modo alle diverse esigenze del business. Business Continuity Planning Incident Management Emergency Management Crisis Management Risk Assessment Disaster Recovery Planning

48 Cosa è ORBIT

49 Un progetto di Business Continuity Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti Moduli BIA/BCP, DR Moduli Piani Operativi, Storici, Test, Crisi, Incident, Flussi, BC Monitor, Mobile

50 Le principali referenze di ORBIT

51 I moduli

52 ORBIT Modulo DR ORBIT DR è totalmente compatibile ed integrabile con altri moduli di ORBIT: Modulo per la Gestione della Crisi; Modulo per la Gestione dei Test; Modulo di Integrazione tra Business Continuity e Disaster Recovery Messaging e Backup (BC2); ORBIT DR è interfacciabile con sistemi di Configuration Management (CMDB) Condivisione delle configurazione tecniche delle apparecchiature e delle applicazioni IT. Integrazione con sistemi di Incident

53 ORBIT BC DR I vantaggi di un approccio integrato Benefici attesi Business Continuity (BCP Test Plan) Disaster Recovery (DRP) Informatizzare il processo di manutenzione e aggiornamento Omogeneizzare gli RTO / RPO dei processi e delle apparecchiature Gestire la mitigazione del rischio Gestire test congiunti di BC e DR Gestire la crisi in maniera integrata

54 ORBIT I layers applicativi

55 ORBIT Le piattaforme tecnologiche

56 ORBIT I servizi correlati e le attività progettuali iniziali LDAP Active Directory SSO RACF Etc. Attività progettuale iniziale Attività progettuale iniziale Parametrizzazione Impostazioni BIA/BCP Look&feel Questionari HR Tassonomie processi Terze parti Sistemi Applicativi Siti Infrastrutture Attrezzature specifiche Attività progettuale iniziale Attività progettuale iniziale Normalizzazione dati Import massivo Verifica

57 Le certificazioni professionali

58 Le Certificazioni ORBIT Foundation (OF) ORBIT Certified Functional Analyst (OCFA) ORBIT Certified System Analyst (OCSA) ORBIT Master Project Manager (OMPM)

59 Le Certificazioni professionali Descrizione Codice Prerequisiti Durata corso ORBIT Foundation OF Conoscenza generale delle problematiche di BCM e DRM ORBIT Certified Functional Analyst OCFA Conoscenza approfondita delle problematiche di BCM e DRM Conoscenza generale degli standard e delle best practices in materia di BC Almeno 3 anni di esperienza nella BC ORBIT Certified System Analyst OCSA Conoscenza delle piattaforme tecnologiche di riferimento per ORBIT (AS, DB, OS) Conoscenza dei linguaggi Java, JSP, Javascript, Ajax, HTML Almeno 3 anni di esperienza come System Analyst ORBIT Master Project Manager OMPM Conoscenza approfondita delle problematiche di BCM e DRM Conoscenza generale degli standard e delle best practices in materia di BC Almeno 5 anni di esperienza nella BC Almeno 3 anni di esperienza come Project Manager 2 giornate + esame (4H) 5 giornate + esame (4H) 2 giornate + esame (4H) 3 giornate + esame (4H)

60 ORBIT - Open Day Compliance e Benchmarketing This document cannot be reproduced or utilized without a written authorization by esolutions Europe S.r.l.

61 Compliance agli standards BS25999 Tutte le clausole della norma hanno una evidenza funzionale in ORBIT (vedi Compliance Matrix) Il ciclo PDCA è attuato dalla sequenza dei moduli: BIA/BCP e DR Test & Exercising Storici Flussi ed interfacce

62 Compliance agli standards ABILab ORBIT gestisce la tassonomia ABILAB ed è conforme a tutte le linee guida ABILab in materia di BC

63 Il nuovo CAD articolo 50-bis E obbligatorio per le Pubbliche Amministrazioni italiane la definizione di : UN PIANO DI CONTINUITÀ OPERATIVA che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; UN PIANO DI DISASTER RECOVERY che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione. entro 15 mesi dalla data di entrata in vigore del D. Lgs 235/2010 (Gazzetta Ufficiale N. 6 del 10 Gennaio 2011)

64 Orbit CAD compliance Piano di Business Continuity Le PA predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. ORBIT è la soluzione leader in Italia di GRC (Governance, Risk and Compliance) per la gestione completa del processo di Business Continuity (BCM)e Disaster Recovery Planning (DRP). ORBIT supporta e guida la preparazione e la gestione e la manutenzione del piano di Continuità Operativa e di Disaster Recovery, di tutte le procedure ordinarie e straordinarie per la gestione di una emergenza e per il relativo ritorno alla normalità. ORBIT gestisce la raccolta, l analisi e la gestione della mole di dati che deve essere censita per rispondere alle esigenze di un progetto di BC/DR. ORBIT è conforme ai principali standard internazionali (BS25999, ITILI, etc.) ed alle più diffuse metodologie (DRI, BCI) in materia di Business Continuity e Disaster Recovery. Il Piano di Business Continuity fissa gli obiettivi e i principi da perseguire. ORBIT consente il disegno di soluzioni e procedure standard per la definizione di linee guida e di policy da adottare nelle varie componenti della governance del processo di BC/DR. L utilizzo della piattaforma ORBIT può costituire l elemento base dell approccio metodologico alla Business Continuity. Descrive le procedure per la gestione della Continuità Operativa, anche affidate a soggetti esterni. Le procedure operative di emergenza gestite da ORBIT sono costituite da oggetti che possono essere utilizzati ricorsivamente (in parte o interamente) da tutti gli attori del processo di BC/DR. In particolare i soggetti esterni possono essere mappati ed inventariati nel sistema oltre che essere assegnatari o attori di procedure e piani di emergenza. Il sottosistema inventariale costituisce la base relazionale della infrastruttura di ORBIT. In tale sottosistema gli elementi sono trattati con un concetto di Role Based. Un soggetto esterno è un componente del sistema inventariale con un ruolo definito e specifico. Tutti gli elementi di ORBIT sono accessibili in funzione di un sistema ACL (Access Control List) basato sui ruoli degli utenti e sulla loro assegnazione gerarchica agli elementi stessi. Il sottosistema interno che gestisce il workflow garantisce per ogni elemento e per ogni procedura la separation of duty fra gli utenti.

65 Orbit CAD compliance Piano di Business Continuity Tiene conto delle potenziali criticità relative a risorse umane, a risorse strutturali. E risorse tecnologiche ORBIT consente la valutazione della criticità di ogni risorsa presente nel sistema. La criticità, a seconda dell approccio metodologico prescelto, può essere valorizzata con un metodo quantitativo o qualitativo e può essere soggetta ad una valutazione del livello di rischio e vulnerabilità. In particolare il calcolo del rischio espositivo di una generica risorsa è conforme alle classiche metodologie mediante la mappatura e l assegnazione delle minacce, delle vulnerabilità, probabilità di accadimento e misure mitigative. Il modulo Risk Assessment di ORBIT consente una analisi dettagliata del livello di rischio aggregato e disaggregato di ogni risorsa e più in generale di tutta la struttura aziendale. ORBIT utilizza Il concetto esteso di risorsa. Il sottosistema inventariale tratta in maniera equipollente le risorse umane, i siti, le infrastrutture, le componenti IT, la documentazione, etc. Contiene idonee misure preventive. ORBIT consente la preparazione, la redazione ed il controllo di misure preventive o di mitigazione. Una tale misura può essere assegnata d una risorsa specifica, ad un processo aziendale, ad una terza parte, etc. Le misure preventive costituiscono poi uno degli elementi del piano di Continuità Operativa e di Disaster Recovery e sono soggette poi a tutti i sottocomponenti di ORBIT (workflow, reportistica, testing, etc.). ORBIT consente di assegnare un livello di mitigazione ad una misura preventiva su una determinata risorsa per abbassarne il livello di rischio complessivo al fine di eventuali risparmi sulla totalità del piano di Continuità Operativa e di Disaster Recovery. Consente la verifica delle funzionalità del piano di Continuità Operativa con cadenza biennale. Il modulo Testing/Exercising di ORBIT consente la definizione puntuale di un piano dei test e di verifica di ogni singola procedura di emergenza nei confronti. ORBIT consente di corredare l esito del test con un insieme di procedure ed azioni correttive da assegnare a soggetti interni e/o esterni per il miglioramento delle procedure testate. La reportistica e la navigazione dei dati del test possono costituire l impianto delle evidenze per eventuali attività di Audit interni o esterni. Il modulo Testing/Exercising in associazione alla struttura di tipo check list delle procedure di emergenza, di mitigazione e preparatori consente di navigare in maniera interattiva fra le risultanze di ogni singolo test mediante un apposito cruscotto di controllo. Tale cruscotto evidenzia inoltre tutte le dipendenze di un elemento (processo, unità organizzativa, apparecchiatura hardware, componente software) e gli eventuali effetti domino relativi a tali interdipendenze