Titolo: Dal Risk Management alla Business Continuity passando per la gestione delle Crisi

Transcript

1 Titolo: Dal Risk Management alla Business Continuity passando per la gestione delle Crisi L esperienza di ATM Il Sistema di Sicurezza nell ambito del Trasporto Pubblico Locale Claudio Pantaleo Direttore Sistemi e Tecnologie Protezione Patrimonio AIEA - Milano, 27 Gennaio 2011

2 L evoluzione della Sicurezza Aziendale Vulnerabilità Elettronica Confidenzialità, Integrità e Disponibilità dei dati Minacce dall esterno e dall interno Evoluzione Digitale 1990 s 1980 s Innanzitutto Fisica Cancelli, Perimetro, Guardie Protezioni Fisiche Classificazione dei dati Minacce solo dall esterno 2000 s Capire & Gestire Vulnerabilità & Analisi del Rischio Monitoraggio & Sicurezza Rete Risposta agli Incidenti Business Recovery & Continuity 2

3 Lo Scenario della Sicurezza Globale L evoluzione dei modelli di sicurezza parte da un sostanziale approccio reattivo per evolversi oggi ad un modello preventivo, teso ad interpretare il contesto, valutare il rischio reale e realizzare le necessarie azioni di gestione Ieri Oggi Driver Cultura reattiva della Sicurezza Fattori Esterni (norme e pratiche industriali) Valutazione completa del rischio reale Approccio Attacchi Contrastare Ripristinare Prevenire Minacce Azioni Awareness, Comunicazione Policy e procedure sempre più stringenti Proteggere gli asset in uno scenario in profonda trasformazione, caratterizzato da una competitività sempre più marcata e da un profondo dinamismo socio politico 3

4 Dal Risk Management alla Business Continuity, passando per la gestione delle Crisi In molte Imprese, l occuparsi di alcuni aspetti di Internal Audit, Controlli, Rischi, Security, Safety o Strategie a medio/lungo termine avviene in modo isolato Processi di Sicurezza Security Safety Strategies Internal Audit Tali argomenti vengono affrontati singolarmente e spesso in modo tale da non considerarne le strette interrelazioni. Processi di Business Le Imprese devono imparare a guardare a queste aree tra loro interconnesse e ad occuparsi di esse in maniera più strutturata, combinata ed ovviamente correlata. 4

5 Dal Risk Management alla Business Continuity, passando per la gestione delle Crisi Unico Team Interfunzionale Analisi delle Strategie Aziendali Definizione dei Rischi Piani di Risposta Business Contingency o Continuity Plan Gestione Incidenti Rischi afferenti le strategie Az.li Per ciascuno, analisi dell impatto e della probabilità di accadimento Contromisure atte a limitare e/o mitigare l impatto sulle strategie di business dell impresa Per rischi ad impatto elevato, quando il Piano di Risposta non potrà essere ritenuto sufficiente In caso di incidenti di sicurezza Emissione contromisure Piani di Ripristino Gestione delle Crisi 5

6 I Principi della Protezione del Patrimonio in Azienda L organizzazione della Protezione del Patrimonio in Azienda poggia su tre elementi di base: Policy La realizzazione di un framework di policy, norme e procedure di sicurezza, che descrivano le esigenze dell Azienda in tema di Protezione del Patrimonio, da un livello più generale (policy) fino alla descrizione dei passi operativi da compiere per realizzare quanto definito (istruzioni di lavoro). Processi La descrizione dei processi della Protezione del Patrimonio, ovvero gli obiettivi delle singole attività, i ruoli e le responsabilità in tema di sicurezza, i macroflussi operativi, inclusi i vincoli, gli attori coinvolti ed i prodotti di ciascuna fase del processo. Indicatori La gestione di un insieme di indicatori (KPI, KPO) che misurino periodicamente le prestazioni dei processi di Protezione del Patrimonio, ovvero la qualità ed i volumi espressi da ciascun processo analizzato. 6

7 Metodologia e Piano di Lavoro R I S K M A N A G E M E N T Prepara Policy Procedure Linee Guida Sviluppa Metodologie e Tools Definizione Interoperabilità e Vincoli Realizza Gruppo di Esperti Sviluppa Capacità Integrazione Valutazione Test Applica le Metodologie Sperimt.one in aree selez.te Valuta & Affina Consolid.ne Raccolta Risultati Valuta le performance di Sicurezza Implem.ta Rete Totale Dissemin.ne 7

8 I Principi della Protezione del Patrimonio in Azienda Risk Management Crisis Management Business Continuity Management Minaccia e sua Probabilità di accadimento Vulnerabilità Residua! Crisi Post Crisi Immediata (breve termine) Normalizzazione (medio/lungo termine) Attacco / Incidente Dopo Durante Prevenire/ Mitigare Preparazione/ Pianificazione Risposta con Contingency Plan Ripristino Operazioni Essenziali Recovery Normal.zione Operazioni Prima Disaster Recovery Contingency Plan Business Continuity Plan 8

9 Prestazione I Principi della Protezione del Patrimonio in Azienda Risk Management Crisis Management Business Continuity Management 100 Risks Attacco / Contingency Continuity! Incidente 30 Prima Durante Dopo Tempo 9

10 Prestazione I Principi della Protezione del Patrimonio in Azienda Risk Management Crisis Management Business Continuity Management 100 Risks Attacco / Contingency Continuity! Incidente 30 Continua Prestazione in calo Prima Durante Dopo Tempo 10

11 Risk Management & Business Continuity Risk Management Crisis Management Business Continuity Mngt. Controllo sulla Crisi Livello di Preparazione Impegno sulla Struttura Risposta Post Incident Review Prima Durante Dopo Tempo 11

12 Anche se molti eventi non sono pianificati, questi però, non devono essere I N A S P E T T A T I PIANIFICATI PREVEDIBILI Lavori di Ingegneria Eventi Atmosferici Dispute Indistriali IMPREVEDIBILI INASPETTATI Problema Tecnico Problemi ai Passeggeri Incidente causato volontariamente 12

13 Filosofia Operativa DA Singoli ingranaggi che si muovono in modo autonomo Sistemi & Procedure A Ad un motore perfettamente funzionante Sistema dei Sistemi & Procedura delle Procedure 13

14 Trasporto Pubblico Locale Muove un altissimo numero di Passeggeri ogni giorno E accessibile da numerosi Access Point Fortemente Interconnesso con Nodi Intermodali Multipli Collega Nodi Nevralgici e Critici, essenziali per le attività dei Cittadini Necessità Rischi Risposte 14

15 Trasporto Pubblico Locale Infrastruttura Critica Infrastruttura Complessa Analisi dei Rischi deve comprendere Più Dimensioni (olistico) Approccio Sistemico Le Minacce Disastri Naturali o Causati Giorno per Giorno ( light offences ) I Movimenti dei mezzi I Flussi delle Persone Specifiche Aree Urbane Abitudini Culturali Comportamenti I Componenti Hardware Servizi Procedure I Luoghi Depositi Officine Nodi intermodali Nodi critici 15

16 Trasporto Pubblico Locale Qualsiasi miglioramento al Sistema di Sicurezza interagisce direttamente con le Persone, la Società, il Contesto Sociale nel quale il Trasporto Pubblico opera. Sistema e Misure di Sicurezza Misure di Sicurezza Funzionali Accettabili per la vita giornaliera delle Persone Integrazione Passeggeri e Strutture Sociali sono integrati nel Trasporto Pubblico Locale Coinvolgimento Sociale è essenziale a tutti i livelli per il miglioramento del Sistema di Sicurezza Coinvolgimento Sociale Identificazione dei Rischi Mappatura della percezione e livello dei Rischi Validazione nuove tecnologie e soluzioni pratiche 16

17 INTERNE Impatti sulle Operazioni di una TPL ESTERNE Fisiche Logiche Organizzative Persone Beni Informazioni Strutture dell Impresa Processi & Meccanismi Dominio 10 CAPACITA DI EROGARE SERVIZI ALLA COMUNITA IN SAFETY & SECURITY GARANZIA DELLA LORO QUALITA CONTINUITA NEL TEMPO 17

18 Impatti sulle Operazioni di una TPL A Monte SISTEMI COMPLESSI E INTERDIPENDENTI Dominio 3 PETROLIO Dominio 2 SITUAZIONE GEOPOLITICA MEDIORIENTE Dominio 4 Dominio 5 OFFICINE ENEL Percorsi differenti ed eterogenei Dominio 9 ELETTRICITA Dominio 8 IMPIANTI ELETTRICI Dominio 7 CARBURANTE Dominio 6 DISPONIBILITA MEZZI L Analisi dei Rischi deve considerare la SOMMA delle e delle Provenienti da altri settori Visione Complessiva e Unitaria Del Sistema Dominio 10 CAPACITA DI EROGARE SERVIZI ALLA COMUNITA IN SAFETY & SECURITY Vulnerabilità e Minacce interne ed esterne Analisi delle possibili CAUSE del Problema OBBIETTIVI ultimi da perseguire INTEGRAZIONE DELLE COMPETENZE GARANZIA DELLA LORO QUALITA CONTINUITA SUL TEMPO INTEGRAZIONE E INTEROPERABILITA DELLE DIVERSE STRUTTURE Dependability: Servizio dipendente da. Metodologia di Risk Analisys: Verificabile, Confrontabile, Ripetibile, Dominio 1 TENSIONI SOCIALI LOCALI EFFETTO DOMINO PROPAGAZIONE A CASCATA DEI PROBLEMI 18

19 Impatti sulle Operazioni di una TPL A Valle SISTEMI COMPLESSI E INTERDIPENDENTI Dominio 10 CAPACITA DI EROGARE SERVIZI ALLA COMUNITA IN SAFETY & SECURITY L Analisi dei Rischi deve considerare la SOMMA delle e delle Provenienti da altri settori Dominio 10.1 CITTADINANZA Dominio 10.2 SCUOLE Dominio 10.3 FORZE DELL ORDINE Dominio 10.4 STAZIONI FERROVIARIE EFFETTO DOMINO PROPAGAZIONE A CASCATA DEI PROBLEMI Dominio 10.5 AEREOPORTI Dominio 10.6 COMUNI Dominio 10.7 PROVINCIA Dominio 10.8 PROVINCIA Dominio 10.9 REGIONE Dominio NAZIONE Dominio 1 TENSIONI SOCIALI LOCALI Dominio 2 SITUAZIONE GEOPOLITICA MEDIORIENTE Dominio 3 PETROLIO Dominio 4 ENEL Dominio 5 OFFICINE Dominio 6 DISPONIBILITA MEZZI Dominio 7 CARBURANTE Dominio 8 IMPIANTI ELETTRICI Dominio 9 ELETTRICITA 19

20 Approccio Proattivo alla Protezione del Patrimonio a-d Adeguata Struttura, Ruoli e Responsabilità Organizzativa e Cultura aperta comunicazione a 2 vie approccio intelligente implementazione che raggiunga lo scopo energizzante per lo staff, incentivato a to add value Capire il Rischio richiede di comprendere l Incertezza sistematica e continua ricerca di Informazioni e Conoscenza per ridurre l incertezza Risk Management, parte dai Processi Decisionali dell Impresa (board inclusa) Rischi Operativi, Rischi di Progetto, Rischi Strategici approccio olistico che racchiude, raccoglie, valuta tutti i rischi Incertezze e Cambiamenti creano nuove opportunità ma si associano con nuovi rischi 20

21 Approccio Proattivo alla Protezione del Patrimonio b-d L Iceberg dell Incertezza, mostra eventi prevedibili sopra la linea dell acqua, ma nasconde rischi che possono essere più importanti. ignorare la parte non visibile può essere una strategia molto rischiosa 21

22 Approccio Proattivo alla Protezione del Patrimonio c-d Impostare Piani di Business robusti, adattabili quando le Minacce si presentano, in una Organizzazione flessibile Pensiero Comportamenti Riorganizzazione Processi Sistemi Pensiero I Rischi non compresi possono essere fatali Magnitudo e Costi Complessità Analisi e Gestione Eventi in aumento l impatto e l effetto domino in aumento l interdipendenza dei sistemi in aumento la necessità d integrare le competenze e l interoperabilità delle Strutture 22

23 Approccio Sistemico alla Protezione del Patrimonio d-d Da approccio rigido Comando & Controllo di gestione BP & Linee Guida ad Gestione approccio flessibile organizzativo e gestionale Organizzazione Relazioni interne Relazioni esterne Finalità Ridurre i costi: - della non-sicurezza - conseguenti incidenti Ridurre i rischi (impatto/probabilità di accadimento) Aumentare efficienza e le prestazioni dell impresa sia nella normale gestione che nel fronteggiare le crisi Migliorare l immagine interna ed esterna dell organizzazione Principi Orientamento agli stakeholdes Orientamento ai clienti Leadership Coinvolgimento di tutto il personale Approccio per processi Automiglioramento e miglioramento continuo Decisioni basate su dati di fatto Il sistema di Gestione della Sicurezza e Protezione Patrimonio Attuare idonee misure di prevenzione e adeguate attività di monitoraggio e ispezioni tese a verificare che il sistema funzioni Attivare ulteriori azioni preventive e correttive in funzione degli esiti del monitoraggio delle ispezioni e dei nuovi incidenti Assicurare un periodico riesame per valutare efficacia, efficienza e compliance del sistema di sicurezza e Protezione Patrimonio nel raggiungere gli obiettivi preposti e la sua adeguatezza in funzione dei cambiamenti dell impresa Coinvolgimento Partecipazione Consapevolezza Responsabilità 23

24 La Protezione del Patrimonio in ATM = Non è una destinazione ma Prepara Test Organizza Test Adatta Adatta Test Cosa hai imparato Test Organizza Prepara Organizza Prepara Test Test Test un viaggio!! Test Adatta Organizza Prepara Don t Prepara Test stop thinking about tomorrow Yesterday is gone Prepara!! Prepara Prepara Prepara Test Test Cosa hai imparato Test Organizza Prepara RIADATTA Test Prepara RIADATTA Cosa hai imparato Test Test Prepara Vi ringrazio per l attenzione Claudio Pantaleo claudio.pantaleo@atm-mi.it Test Prepara 24