Novembre Raccomandazioni per il Business Continuity Management (BCM)

Transcript

1 Novembre 2007 Raccomandazioni per il Business Continuity Management (BCM)

2 Raccomandazioni per il Business Continuity Management (BCM) Indice 1. Premessa e obiettivi Relazione con il gruppo di lavoro «BCP Piazza finanziaria svizzera» Indicazioni generali Condizioni quadro Fondamenti Ambito di applicazione e possibili scenari Raccomandazioni Definizione ed estensione Componenti Responsabilità Business Recovery Planning e sua verifica Business Impact Analysis (standard minimo obbligatorio) Business Continuity Strategy (standard minimo obbligatorio) Business Continuity Planning Business Continuity Review Business Continuity Test Gestione delle crisi Reportistica, comunicazione, formazione Reportistica Comunicazione Formazione e sensibilizzazione Entrata in vigore e disposizioni transitorie...8 Appendice A Glossario...9 Appendice B Scala di gravità degli eventi...11 Appendice C Andamento di una crisi...12 Appendice D Fonti di riferimento...13 Raccomandazioni della ASB per il Business Continuity Management (BCM) 1

3 1. Premessa e obiettivi Molti degli eventi accaduti negli ultimi anni, in particolare gli atti terroristici e le minacce di pandemia, hanno messo in evidenza la vulnerabilità degli operatori e dei sistemi del mercato finanziario. Di pari passo si sono acuite la sensibilità e l attenzione verso avvenimenti del genere e le loro possibili conseguenze. A livello internazionale e nazionale le associazioni di categoria hanno diramato direttive e raccomandazioni nell ambito del Business Continuity Management (BCM), formulando delle linee guida valide sia per gli operatori delle piazze finanziarie che per le autorità di sorveglianza. La Commissione federale delle banche (CFB) considera un adeguato Business Continuity Management uno dei requisiti indispensabili per l ottenimento da parte di una banca dell autorizzazione a svolgere la propria attività, conformemente a quanto disposto all art. 3 della legge sulle banche. La CFB appoggia l emanazione di una normativa autonoma a cura dall Associazione svizzera dei banchieri (ASB). La presente autoregolamentazione dell ASB, destinata ai suoi membri, contiene una serie di raccomandazioni («best practice») per l allestimento di un BCM in seno a ogni istituto che deve tenere conto degli aspetti peculiari della situazione specifica, soprattutto per quanto attiene la situazione di rischio e la rilevanza sistemica dei singoli istituti. Le indicazioni contenute in questo testo sono da intendere quali raccomandazioni senza carattere vincolante, così come definite dalla Circolare CFB 04/2 Norme di autoregolamentazione come standard minimo. Uniche eccezioni sono lo svolgimento di una Business Impact Analysis (paragrafo 5.4.1) e la definizione della Business Continuity Strategy (paragrafo 5.4.2). Questi due importanti aspetti sono considerati dalla CFB quale standard minimo obbligatorio. L ambito di applicazione delle presenti raccomandazioni si estende a tutte le banche e a tutti i commercianti di valori mobiliari (in seguito: istituti). Non sono contemplati gli effetti delle raccomandazioni sul rapporto di diritto civile tra l istituto e i propri clienti. 2. Relazione con il gruppo di lavoro «BCP Piazza finanziaria svizzera» 2.1 Indicazioni generali Per far fronte a eventuali disfunzioni impreviste che sorgono all interno della rete del sistema finanziario è necessario che tutti i principali operatori intervengano in modo coordinato e solo dopo aver definito, armonizzato e applicato le procedure del caso. Nel dicembre 2003 è stato istituito in Svizzera il «BCP Piazza finanziaria svizzera», un gruppo di lavoro composto da rappresentanti degli interessi del mondo finanziario e presieduto dalla Banca nazionale svizzera (BNS), che si prefigge di verificare e valutare il Business Continuity Planning dei singoli istituti e provider di infrastrutture sulla piazza finanziaria svizzera. Il controllo si è concentrato sui processi che possono pregiudicare la stabilità del mercato finanziario. Partendo da un analisi preliminare dei rischi, il gruppo di lavoro ha individuato due processi critici in termini di sicurezza: i «pagamenti di grossi importi tramite SIC» e la «raccolta di liquidità con operazioni Repo». In quest ottica, gli altri settori delicati quali il regolamento dei pagamenti retail, l approvvigionamento di contante da parte della popolazione e la negoziazione di borsa sono stati ritenuti non prioritari. Sulla scorta delle risultanze degli esami svolti, la BNS ha sollecitato le infrastrutture centrali Telekurs / SIC e SIS a integrare i requisiti relativi al BCM nei propri dispositivi contrattuali con i partecipanti al sistema. Raccomandazioni della ASB per il Business Continuity Management (BCM) 2

4 2.2 Condizioni quadro In linea con le prescrizioni in materia impartite dal Federal Reserve System (Fed, vedi appendice D), il gruppo di lavoro ha proceduto a fissare i seguenti requisiti per i due processi principali «pagamenti di grossi importi tramite SIC» e «raccolta di liquidità con operazioni Repo» (vedi definizioni nell appendice A): Partecipanti al sistema finanziario Obiettivi di recovery RTO = Recovery Time Objective RPO = Recovery Point Objective Infrastrutture centrali (BNS, SIC e SIS) RTO <= 2h RPO = 0 Partecipanti critici al sistema RTO <= 4h RPO = 0 Altri partecipanti al sistema RTO <= 24h Si considerano «critici» i partecipanti al sistema che detengono in SIC una quota di mercato pari o superiore al 20%. Tutti gli altri sono catalogati, in base a questa terminologia, come «altri partecipanti al sistema». I vincoli temporali per i partecipanti al sistema (critici e non) si riferiscono esplicitamente ai due processi principali «pagamenti di grossi importi tramite SIC» e «raccolta di liquidità con operazioni Repo». Per il loro rispetto è consentito ricorrere a processi alternativi. Occorre rilevare che le crisi e la loro gestione possono protrarsi per più giorni o più settimane ed è pertanto essenziale predisporre le necessarie capacità. Il termine di 24 ore applicato agli altri partecipanti al sistema è un indicazione standard che i singoli istituti possono adeguare in funzione della propria strategia specifica BCM (valutazione documentata dei rischi). In questo contesto sono determinanti anche le circolari della CFB «Sorveglianza e controllo interno» (circ. CFB 06/6) e «Esigenze di fondi propri relative ai rischi operativi» (circ. CFB 06/3). Il contenuto esatto degli obiettivi di recovery è specificato nelle clausole tecniche dei contratti stipulati tra i provider delle infrastrutture centrali e i partecipanti al sistema. 3. Fondamenti Le presenti raccomandazioni si basano su diverse norme analoghe (vedi sintesi nell appendice D). In particolare si orientano agli «High-Level Principles for Business Continuity» varati dal Joint Forum e dal Comitato di Basilea per la vigilanza bancaria (Basel Committee on Banking Supervision, Bank for International Settlements, agosto 2006, I fondamenti degli «High-Level Principles» possono essere riassunti come segue: 1. Gli operatori del mercato finanziario e le autorità di sorveglianza devono disporre di un Business Continuity Management globale ed efficiente. La responsabilità della Business Continuity ricade sul Consiglio di amministrazione (Board of Directors) e sulla direzione (Senior Management). 2. Gli operatori del mercato finanziario e le autorità di sorveglianza devono inserire nel loro Business Continuity Management i rischi di disfunzioni a forte impatto operativo. 3. Gli operatori del mercato finanziario devono sviluppare degli obiettivi di recovery che tengano conto della loro rilevanza sistemica e dei rischi che essi rappresentano per l intero sistema finanziario. 4. Il Business Continuity Planning degli operatori del mercato finanziario e delle autorità di sorveglianza deve definire delle misure atte a garantire la comunicazione interna ed esterna in caso di interruzioni prolungate dell attività operativa. 5. Qualora le interruzioni dell attività operativa comportino implicazioni internazionali, occorre che i piani informativi prevedano anche comunicazioni con le autorità di sorveglianza estere. Raccomandazioni della ASB per il Business Continuity Management (BCM) 3

5 6. Gli operatori del mercato finanziario e le autorità di sorveglianza devono sottoporre il loro Business Continuity Planning a test periodici, per verificarne l efficacia e l affidabilità ed eventualmente adeguare di conseguenza il Business Continuity Management. 7. Si raccomanda alle autorità di sorveglianza di valutare, nel quadro di un monitoraggio costante, il Business Continuity Management degli istituti sottoposti al loro controllo. 4. Ambito di applicazione e possibili scenari Gli istituti devono considerare tutti i principali scenari che possono portare l azienda a una crisi. Per «crisi» si intende una situazione di emergenza che richiede decisioni critiche e che esula dalle normali competenze direttive e decisionali e non può essere gestita con i mezzi ordinari. In questa accezione, gli «incidenti» non sono oggetto delle presenti raccomandazioni («Availability Management», vedi definizioni nelle appendici A e B). Esempi di situazioni di crisi: eventi a carattere «accidentale» come incendi o esplosioni atti di matrice terroristica, sabotaggi catastrofi naturali come inondazioni o terremoti assenza massiccia di personale (ad es. a causa di una pandemia) avaria degli impianti tecnici degli edifici e/o di quelli di alimentazione energetica (ad es. elettricità) interruzione dei sistemi o delle infrastrutture IT (errori dell hardware o dei software) interruzione dei sistemi di comunicazione o defezione dei provider telecom assenza dei fornitori esterni (vedi Outsourcing), ad es. provider nel settore delle informazioni. Gli istituti devono individuare, nel quadro del BCM, i pericoli più gravi e i tipi di crisi, definendoli e valutandoli in base al loro impatto (scala di gravità) e alla loro probabilità. Questi eventi possono comportare in particolare l indisponibilità di collaboratori e/o di elementi infrastrutturali (soprattutto a livello direttivo, delle telecomunicazioni, degli edifici e delle postazioni di lavoro) necessari per lo svolgimento di funzioni operative critiche. Non è inoltre da escludere che eventuali problemi nelle prestazioni informatiche o presso i provider delle infrastrutture possano causare interruzioni non tollerabili dei servizi critici. Per quanto riguarda il rischio di pandemie si rimanda agli scenari e alle raccomandazioni dell Ufficio federale della sanità pubblica (UFSP) e specificatamente al «Piano pandemico svizzero 2006» (cap. 8 «Pandemia e aziende») riportato al sito Il BCM deve garantire, nel modo migliore possibile, l osservanza delle disposizioni legali, normative, contrattuali e interne anche in caso di crisi. 5. Raccomandazioni 5.1 Definizione ed estensione Con l espressione Business Continuity Management (BCM) si designa un approccio su scala aziendale in grado di assicurare che, al verificarsi di eventi straordinari interni o esterni, le funzioni operative critiche continuino a essere svolte o vengano ripristinate nel più breve tempo possibile. Tra i suoi scopi il BCM mira a minimizzare i danni finanziari, legali o di reputazione conseguenti a tali eventi. Nel suo complesso il BCM deve garantire la continuità o la ripresa tempestiva dell attività operativa nelle situazioni di crisi. Il BCM concerne quindi, in linea di principio, tutti i settori Raccomandazioni della ASB per il Business Continuity Management (BCM) 4

6 operativi e organizzativi di un azienda. A questo proposito occorre fare una distinzione tra il Business Recovery Planning a monte e la gestione delle crisi effettivamente svolta. Nella Business Continuity Strategy l istituto definisce le proprie procedure generali in caso di perdita delle risorse critiche. Per farlo vengono individuate, nel contesto di una Business Impact Analysis, le risorse e i processi operativi che presentano una criticità e vengono fissati tempi congrui per il loro ripristino e la loro disponibilità. La Business Continuity Strategy costituisce la base per il Business Continuity Planning, che stabilisce (sotto forma di piani preventivi d intervento, check list e strumenti ausiliari di lavoro) le procedure per una ripresa rapida e ordinata dell attività operativa. La Business Continuity Strategy può costituire parte integrante della strategia operativa dell istituto. Nel caso in cui si intenda assumere intenzionalmente alcuni rischi residui, è obbligatorio farne menzione esplicita nella strategia. L allestimento e l attuazione di un BCM prevedono in particolare le seguenti operazioni: determinazione e fissazione dell estensione del BCM ancoraggio del BCM all interno dell organizzazione aziendale creazione di una struttura di governance in linea con l organizzazione aziendale definizione dei ruoli e delle responsabilità nel BCM delineazione degli scenari di crisi (vedi cap. 4) e delle ripercussioni sulle risorse dell azienda (base di pianificazione) individuazione delle risorse e dei processi operativi che presentano una criticità ed esame, nel quadro della Business Impact Analysis (BIA), delle conseguenze di eventuali interruzioni dell attività operativa definizione della Business Continuity Strategy per il trattamento generale di eventuali perdite di singole risorse dell architettura operativa redazione di Business Continuity Planning volti a ripristinare le risorse e i processi critici ai fini operativi dopo situazioni di crisi svolgimento di Business Continuity Review e di Business Continuity Test relativi ai Business Continuity Planning e all organizzazione della gestione delle crisi reportistica, comunicazione, formazione. 5.2 Componenti Una situazione di crisi è caratterizzata dall assenza totale o parziale di risorse oppure dall interruzione di uno o più processi. Per lo svolgimento regolare dei processi occorre in generale poter disporre delle seguenti risorse: collaboratori edifici IT/dati fornitori esterni. È quindi consigliabile, nel quadro del Business Recovery Planning, considerare in primo luogo la perdita di queste risorse. Il BCM deve contenere in particolare le seguenti componenti: Business Impact Analysis Individuazione dei processi operativi che presentano una criticità e delle relative risorse, identificazione e descrizione delle ripercussioni di eventuali interruzioni dell attività operativa in seguito alla perdita di una o più risorse critiche. Raccomandazioni della ASB per il Business Continuity Management (BCM) 5

7 Business Continuity Strategy Business Continuity Planning Business Continuity Testing Organizzazione della gestione delle crisi BCM Reporting BCM Training BCM Communication Definizione delle procedure generali in caso di perdita delle risorse critiche, decisioni fondamentali sull approntamento delle risorse sostitutive. Piano circostanziato relativo alle misure atte a garantire la continuazione dell attività operativa o la ripresa tempestiva dei processi critici. Pianificazione dettagliata delle procedure e delle responsabilità in caso di perdita di risorse critiche. Verifica a intervalli periodici dei Business Continuity Planning sotto il profilo della loro implementazione, efficacia e attualità. L organizzazione della gestione delle crisi ha lo scopo di approntare un apposito management nei casi di emergenza che affronti e risolva con efficacia le situazioni di crisi. Reportistica sulle attività del BCM e sullo stato degli interventi propedeutici per far fronte alle crisi operative (anche all attenzione del Consiglio di amministrazione e della direzione). Formazione tecnica dei collaboratori che hanno assunto delle funzioni nell ambito del BCM. Misure per la comunicazione interna ed esterna nei casi di crisi. 5.3 Responsabilità La responsabilità del BCM ricade sul Consiglio di amministrazione e sulla direzione dei singoli istituti (si veda al riguardo anche la circolare della CFB «Sorveglianza e controllo interno», circ. CFB 06/6). Il Consiglio di amministrazione deve farsi carico del controllo dell ottemperanza alla strategia BCM formalizzata per iscritto. La direzione provvede a realizzarla e disciplina le altre responsabilità, competenze e i flussi informativi mediante direttive e regolamenti interni. In particolare la direzione regola (previa autorizzazione del Consiglio di amministrazione) i propri rapporti con l organizzazione di crisi (unità di crisi). 5.4 Business Recovery Planning e sua verifica Business Impact Analysis (standard minimo obbligatorio) Ogni settore operativo deve determinare le proprie risorse e i propri processi critici. Nel quadro di un analisi dell impatto vengono valutate le ripercussioni sui processi critici ai fini operativi di una perdita totale o parziale delle relative risorse. La valutazione comprende anche le interconnessioni tra settori operativi (processi a monte/a valle) e i rapporti di dipendenza dai provider esterni (outsourcing). L analisi deve permettere di ottenere i seguenti risultati: Raccomandazioni della ASB per il Business Continuity Management (BCM) 6

8 grado auspicato di ripristino dei processi critici ai fini operativi periodo massimo di tempo per il ripristino dei processi critici ai fini operativi consistenza minima di risorse (sostitutive), in termini di edifici, collaboratori, IT/dati, provider esterni, che in caso di crisi devono essere disponibili per raggiungere il grado auspicato di ripristino. La frequenza dell aggiornamento della Business Impact Analysis dipende soprattutto dalla situazione di rischio dell istituto Business Continuity Strategy (standard minimo obbligatorio) La Business Continuity Strategy stabilisce le linee direttrici da seguire per il conseguimento da parte dell azienda degli obiettivi di recovery fissati nella Business Impact Analysis per gli scenari delineati e per le relative ripercussioni sulle risorse. La strategia deve essere formulata per iscritto Business Continuity Planning Il Business Continuity Planning descrive le procedure necessarie per il ripristino o la continuazione dei processi critici ai fini operativi (inclusa l osservanza delle disposizioni legali, normative, contrattuali e interne), le soluzioni di rimpiazzo e le risorse sostitutive minime per realizzarle. I piani devono contenere almeno i seguenti elementi: descrizione del caso di applicazione (scenario scatenante), procedure e repertorio delle misure con le rispettive priorità, risorse sostitutive necessarie e indicazione dell organizzazione di crisi con le specifiche responsabilità e competenze. È opportuno fissare la periodicità con cui il Business Continuity Planning sarà sottoposto ad aggiornamento. Modifiche sostanziali dell attività operativa esigono una revisione della pianificazione Business Continuity Review Le Business Continuity Review contengono un inventario della documentazione BCM elaborata dai singoli settori operativi e una valutazione della sua conformità ai criteri di esame prestabiliti. È consigliabile definire dei criteri di esame coerenti e un chiaro processo per il monitoraggio e l espletamento dei punti in sospeso Business Continuity Test I Business Continuity Test servono a esaminare e verificare l implementazione del Business Continuity Planning e la capacità dell organizzazione della gestione delle crisi. Il contenuto e la frequenza dei singoli test devono essere fissati in funzione della valutazione dei rischi (Business Impact Analysis). L aggregazione dei risultati dei test delle singole unità organizzative permette di valutare la capacità dell intero istituto di far fronte alle situazioni di crisi. Si raccomanda di coordinare le singole attività di test inserendole in un piano sistematico e di prevedere una reportistica omogenea, oltre a un processo di monitoraggio e rimozione delle carenze. 5.5 Gestione delle crisi Si deve mirare ad approntare un apposito management nei casi di emergenza che affronti e risolva con efficacia e tempestività le situazioni di crisi. In tali circostanze, che richiedono decisioni critiche nonché misure e competenze che vanno oltre la normale amministrazione, si ricorre all attivazione di una (o più) unità di crisi che assume la gestione dell emergenza fino al ristabilimento della situazione normale. Raccomandazioni della ASB per il Business Continuity Management (BCM) 7

9 È consigliabile disciplinare preventivamente in modo chiaro le modalità di attivazione, le responsabilità e le competenze dell unità di crisi, adeguando l organizzazione della gestione delle crisi all attività operativa e all assetto geografico dell istituto. Occorre prestare particolare attenzione a garantire, nel miglior modo possibile, la reperibilità dei responsabili designati, anche nelle situazioni di crisi. 5.6 Reportistica, comunicazione, formazione Reportistica Le attività del BCM e, in generale, lo stato degli interventi propedeutici per far fronte alle situazioni di crisi devono essere oggetto di rapporti redatti a cadenza periodica ai vari livelli, destinati al Consiglio di amministrazione e alla direzione. In essi devono essere riportati in particolare i risultati delle Business Continuity Review e dei Business Continuity Test Comunicazione La comunicazione ricopre un ruolo primario nella gestione delle crisi. L allestimento sistematico e accurato di modelli concettuali e piani di comunicazione (verso l interno e verso l esterno) nei casi di crisi esige quindi la massima cura. Occorre in special modo mantenere un grado elevato di professionalità e salvaguardare la credibilità e la fiducia dei partner nell istituto. I piani di comunicazione devono indicare le persone di contatto in caso di crisi (elenco con nomi e numeri di telefono delle autorità di sorveglianza, collaboratori, media, clienti, controparti, fornitori ecc.). Se la crisi diviene di portata internazionale è necessario che la comunicazione venga orientata di conseguenza. L autorità di sorveglianza deve essere debitamente informata su un eventuale situazione di crisi o sull istituzione di un unità di crisi Formazione e sensibilizzazione Deve essere garantita un adeguata istruzione dei collaboratori, in modo che siano perfettamente al corrente dei loro compiti, delle loro responsabilità e competenze nell ambito delle rispettive attività del BCM. Occorre quindi prevedere una formazione ad hoc dei nuovi assunti e aggiornamenti periodici delle conoscenze del personale in servizio. Un attenzione particolare deve essere dedicata alla formazione dei membri dell organizzazione di crisi. È inoltre necessario far sì, con l aiuto di una costante campagna d informazione, che tutti i collaboratori siano sensibilizzati sull importanza del BCM e ne seguano progressivamente l evoluzione. 6. Entrata in vigore e disposizioni transitorie Le presenti raccomandazioni sono state emanate dal Consiglio d amministrazione dell ASB con decisione del 18 giugno 2007 è approvate dalla CFB in data 19 ottobre Entrano in vigore il 1 gennaio Si raccomanda a gli istituti ad applicare le presenti raccomandazioni entro il 31 dicembre Raccomandazioni della ASB per il Business Continuity Management (BCM) 8

10 Appendice A Glossario Availability Management: procedura comprendente la definizione, l analisi, la pianificazione, la misurazione e l ottimizzazione di tutti gli aspetti che influiscono sulla disponibilità dei servizi informatici. L Availability Management garantisce che l infrastruttura IT nel suo complesso, vale a dire tutti i processi, tool e compiti ecc. in ambito informatico, corrispondano ai canoni stabiliti nei Service Level Agreement per quanto concerne la disponibilità. Gli eventi che pregiudicano tale disponibilità possono essere controllati mediante le usuali procedure gestionali e competenze decisionali. Backlog Processing: trattamento a posteriori di lavori non ancora evasi o accumulati a causa di un interruzione dei processi operativi o l adozione di processi alternativi. Business Continuity Management (BCM): approccio gestionale su scala aziendale (policy e standard) in grado di assicurare che, al verificarsi di un evento straordinario interno o esterno, le funzioni critiche continuino a essere svolte o vengano ripristinate nel più breve tempo possibile. Il BCM comprende le fasi di pianificazione, implementazione e controlling e si estende all intera sfera di pertinenza (settori, processi, tecniche) necessaria per garantire la continuità dei processi critici (ai fini operativi) dopo un evento straordinario o il ripristino dell operatività entro un periodo di tempo predefinito. Business Continuity Planning: piano preventivo circostanziato relativo alle misure (incl. check list e strumenti ausiliari) atte a garantire la continuazione dell attività operativa o la ripresa tempestiva e ordinata dei processi critici (ai fini operativi) in casi di emergenza. Business Continuity Reporting: reportistica (anche all attenzione del Consiglio di amministrazione e della direzione) sulle attività nell ambito del BCM e specificatamente sullo stato degli interventi propedeutici per far fronte alle crisi. Nei Business Continuity Reporting devono essere riportati in particolare i risultati delle Business Continuity Review e dei Business Continuity Test. Business Continuity Strategy: definizione delle procedure generali per il mantenimento di un attività operativa continuativa in caso di perdita delle risorse critiche (incl. determinazione del limite di tolleranza al rischio, analisi delle opzioni di manovra e delle decisioni fondamentali per l approntamento di risorse sostitutive). La Business Continuity Strategy poggia sulla Business Impact Analysis e costituisce la base per i Business Continuity Planning. Business Continuity Testing: verifica sistematica a intervalli periodici dei Business Continuity Planning, in particolare sotto il profilo della loro implementazione, efficacia e attualità. Business Impact Analysis (BIA): procedura di individuazione e di misurazione (quantitativa e qualitativa) delle ripercussioni di eventuali interruzioni dell attività operativa o di singole risorse o singoli processi. La BIA comprende in particolare l individuazione di risorse e processi critici (ai fini operativi) sulla scorta di un analisi dei rapporti di dipendenza e delle conseguenze nonché di una valutazione e classificazione dei potenziali danni. Business Recovery: ripristino di specifici processi e attività operative dopo un interruzione o misure da adottare in seguito a un evento dannoso (vedi Business Continuity Planning). Business Resumption: soluzioni transitorie per i processi finalizzate alla ripresa dell attività operativa. Tali soluzioni possono essere realizzate in varie tappe fino alla normalizzazione dell attività operativa o al ripristino della piena capacità. Crisi: situazione di emergenza che richiede decisioni critiche e che esula dalle normali competenze direttive e decisionali e non può essere gestita con i mezzi ordinari. Raccomandazioni della ASB per il Business Continuity Management (BCM) 9

11 Incidente: evento che causa un interruzione dell attività operativa, una perdita e/o una limitazione della qualità dei servizi erogati. A differenza della crisi, il guasto può essere gestito nel quadro dell Availability Management. Processi critici (ai fini operativi): processi di un azienda la cui interruzione compromette fortemente o rende impossibile la continuazione dell erogazione dei servizi alla clientela, l osservanza degli obblighi legali dell azienda e/o la gestione delle posizioni a rischio, causando un danno critico (diretto o indiretto). Recovery Point Objective (RPO): valore definito pari alla perdita massima di dati sostenibile in caso di crisi. Recovery Time Objective (RTO): periodo definito entro il quale i processi critici (ai fini operativi) devono essere ripristinati. Risorse critiche: risorse di un azienda (personale, edifici, IT/dati, fornitori esterni ecc.) che, in caso di defezione, comportano l interruzione o la perdita di processi operativi (critici). Le risorse critiche vengono identificate nel quadro della Business Impact Analysis. Unità di crisi: team a cui viene affidata la responsabilità di far fronte a una crisi fino al ristabilimento della situazione ordinaria (minimizzazione dei danni economici e dei rischi d immagine). Raccomandazioni della ASB per il Business Continuity Management (BCM) 10

12 Appendice B Scala di gravità degli eventi A seconda della gravità delle conseguenze risultanti da uno o più eventi dannosi, si opera una distinzione tra incidente, incidente grave, crisi e calamità. Il Business Continuity Management concerne esclusivamente la prevenzione delle crisi o delle calamità e la gestione delle crisi. Calamità Crisi Crisis Management Calamità: incidente di ampia portata che ha un impatto critico sulla società e influisce sul suo sistema di valori è definito calamità dal team responsabile della gestione delle crisi. Le calamità sono per lo più gestite attuando piani di ripristino dell operatività. Crisi: evento aziendale che richiede decisioni cruciali e che non può essere risolto tramite le tecniche di gestione e le facoltà decisionali consuete. Incidente grave Incidente Attività consueta (ad es. Availability Management) Incidente grave: conseguenza di uno o più incidenti, dei quali eventualmente non si conosce la causa, ma che hanno un impatto significativo sull operatività aziendale. Incidente: evento che provoca (o può provocare) un interruzione di attività, un guasto, una perdita o una riduzione della qualità del servizio. Quando si viene a conoscenza del danno non è solitamente possibile specificare con esattezza il tipo e la gravità dell incidente. Raccomandazioni della ASB per il Business Continuity Management (BCM) 11

13 Appendice C Andamento di una crisi Andamento di una crisi in caso di Impact Type «Perdita di IT/dati» 100% Ultimo backup consistente Calamità Business Resumption Fase n Fase 2 Fase 1 Tempo Periodo di tempo con perdita di dati RPO Recovery Point Objective (in ore) Periodo di tempo con indisponibilità degli applicativi RTO Recovery Time Objective (in ore) Raccomandazioni della ASB per il Business Continuity Management (BCM) 12

14 Appendice D Fonti di riferimento Nell implementazione della Business Continuity Strategy e del Business Continuity Planning possono essere consultate, tra l altro, le seguenti norme (l elenco non è esaustivo): Basel Committee on Banking Supervision: High-Level Principles for Business Continuity, Bank for International Settlements, agosto 2006, Financial Services Authority (FSA): Business Continuity Management - Practice Guide, 2006, Australian Prudential Regulatory Authority (APRA): Prudential Standard APS 232 «Business Continuity Management» e Guidance Note 232.1, aprile 2005, British Standards Organisation: The Guide to Business Continuity Management, Publicly Available Specification PAS 56:2003, 2003, Federal Reserve System (Fed): Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System, 2003, Information Security Forum: Aligning Business Continuity and Information Security, marzo 2006, Segretariato di Stato dell economia (seco): Manuale in caso di pandemia, (in corso di stampa) Ufficio federale della sanità pubblica (UFSP): Influenza Piano pandemico svizzero 2006, (si prevede un aggiornamento continuo) Raccomandazioni della ASB per il Business Continuity Management (BCM) 13

15 Associazione Svizzera dei Banchieri Aeschenplatz 7 Casella postale 4182 CH-4002 Basilea T F office@sba.ch