Business Continuity Governance: ORBIT per il nuovo CAD

Transcript

1 Business Continuity Governance: ORBIT per il nuovo CAD

2 Il nuovo CAD articolo 50-bis E obbligatorio per le Pubbliche Amministrazioni italiane la definizione di : UN PIANO DI CONTINUITÀ OPERATIVA che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; UN PIANO DI DISASTER RECOVERY che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione. entro 15 mesi dalla data di entrata in vigore del D. Lgs 235/2010 (Gazzetta Ufficiale N. 6 del 10 Gennaio 2011)

3 Business Continuity & Disaster Recovery

4 Business Continuity Qualche definizione Per business continuity si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi catastrofici che possono colpirla. Il Piano di continuità del business (BCP) contiene informazioni riguardo le azioni da intraprendere in caso di incidente, chi è coinvolto nell attività e come deve essere contattato. Il piano riflette la posizione dell organizzazione e degli stakeholders Business Continuity is an holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience and the capability for an effective response that safeguards Processo olistico di management che individua le potenziali minacce alle quali è esposta l organizzazione e gli impatti che esse possono causare sul business nel caso in cui si manifestassero; fornisce un framework per la costruzione della resilienza dell organizzazione che abbia capacità di un effettiva risposta per la salvaguardia degli interessi dei suoi stakeholder chiave, della reputazione dell organizzazione, del brand e delle attività con le quali crea valore.

5 Obiettivo di un BCMS Essere sicuri che in caso di un evento critico, il BCP sia l immagine esatta delle azioni da fare Gestire gli aggiornamenti Avere un piano efficace di test Avere gli appropriati tool per gestire il processo Perchè? Ho già il mio Piano di Disaster Recovery Posso fare tutto con dei fogli Excel!

6 Business Continuity vs Disaster Recovery E sufficiente avere dei piani di disaster recovery per avere una copertura dei rischi? per rispondere a questa domanda bisogna capire quali sono le risorse critiche da considerare per definire i piani di emergenza Business Continuity Disaster Recovery

7 Business Continuity vs Disaster Recovery Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio) Siti Rischi Meteorologici Rischi vulcanici Rischi di Ordine Pubblico Rischi di mancanza del personale Risorse Umane Rischi ambientali Interruzione apparati (non S. I.) Rischi idrogeologici Rischi di incendio Rischi ambientali e sanitari Rischi trasporti Sis. Informativi Interruzione trasporto valori Malfunzionamento grave Sist. e Reti Infrastruttura Interruzione servizi amministrativi Perdita o corruzione dei dati Altri Servizi Perdita di doc. per allagamento incendio Perdita di doc. per frode interna Interruzione erogazione gas Interruzione energia elettrica Interruzione erogazione acqua Razionamento Combustibili Blocco Applicazioni Attacchi esterni tramite reti telem Documentazione Perdita di doc. per furto Interruzione Telecomunicazioni Interruzione Condizionamento Frode grave con perdita di dati

8 Business Continuity vs Disaster Recovery Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio) Quali sono i rischi coperti da un Piano di Disaster Recovery? Siti Rischi Meteorologici Rischi vulcanici Rischi di Ordine Pubblico Rischi di mancanza del personale Risorse Umane Sis. Informativi Infrastruttura Altri Servizi Documentazione Rischi Rischi Rischi di ambientali idrogeologici incendio Quindi un progetto di Business Continuity e molto piu vasto e articolato di un progetto di disaster recovery, anzi il piano di disaster recovery e un sottoinsieme del progetto di business continuity Interruzione apparati (non S. I.) Interruzione trasporto valori Interruzione servizi amministrativi Perdita di doc. per allagamento incendio Interruzione erogazione gas Interruzione erogazione acqua Perdita di doc. Interruzione Razionamento per frode interna energia elettrica Combustibili Perdita di doc. per furto Interruzione Telecomunicazioni Interruzione Condizionamento Rischi ambientali e sanitari Rischi trasporti Malfunzionamento grave Sist. e Reti Perdita o corruzione dei dati Blocco Applicazioni Attacchi esterni tramite reti telem Frode grave con perdita di dati??

9 Business continuity & Disaster Recovery I vantaggi di un approccio integrato Benefici attesi Business Continuity (BCP) Disaster Recovery (DRP) Informatizzare il processo di manutenzione e aggiornamento Omogeneizzare gli RTO / RPO dei processi e delle apparecchiature Gestire la mitigazione del rischio Gestire test congiunti di BC e DR Gestire la crisi in maniera integrata

10 Il processo integrato Il BCM non è da considerarsi dedicato solo alla gestione dei piani di emergenza ad alto impatto e bassa probabilità. Incidenti a prima vista minimali possono evolvere in crisi aziendali a causa di un non previsto effetto domino. La crescente complessità delle infrastrutture IT rende necessario un approccio comune fra il Disaster Recovery e la Business Continuity Un adeguato Risk evidenzia tutte le possibli minacce e quindi la vulnerabilità dei singoli processi aziendali Un piano di Business Continuity non ha effetto se non è supportato da una efficace ed efficente Gestione della Crisi

11 Business Continuity Le componenti del processo integrato Business Continuity Planning Dominio dell emergenza ha come obiettivo primario l evitare l interruzione del business in generale. Prende in considerazione tutti gli eventi indesiderati e tutte le risorse a sostegno dei processi aziendali E una evoluzione del concetto di Disaster Recovery proprio dell IT. E indirizzato alla identificazione delle vulnerabilità nell ambito di tutta l organizzazione aziendale. Non si occupa di identificare e gestire tutte le possibili minacce Ha lo scopo di identificare e mappare le informazioni necessarie per un risk assessment. Disaster Recovery Prende in esame gli eventi IT disastrosi, che possono provocare un danno di rilevante entità alle infrastrutture tecnologiche. Il DRP considera il quindi il sistema informatico e tutte le risorse che ad esso afferiscono. Storicamente il concetto di Disaster Recovery nasce molto tempo prima della Business Continuity. Si basa sul fatto che l azienda non può sopravvivere senza I sistemi informativi e che la ripartenza è un processo lungo e complesso. Risk Il risk management è il processo mediante il quale si misura o si stima il rischio e successivamente si sviluppano delle strategie per governarlo. Di regola, le strategie impiegate includono il trasferimento del rischio a terze parti, l'evitare il rischio, il ridurre l'effetto negativo ed infine l'accettare in parte o totalmente le conseguenze di un particolare rischio. Crisis Il Crisis è il processo attraverso il quale una organizzazione si occupa di un evento che minaccia di danneggiare l'organizzazione, i suoi stakeholder, o il pubblico in generale. Gli elementi comuni alla maggior parte delle definizioni di crisi sono: (a) una minaccia per l'organizzazione, (b) l'elemento sorpresa, e (c) un breve periodo decisione Emergency L Emergency è il processo che si occupa della gestione strategica dei processi organizzativi utilizzati per proteggere le risorse critiche di un'organizzazione contro i rischi di pericolo che possono causare disastri o catastrofi, e per garantire il mantenimento della organizzazione all'interno del loro ciclo di vita previsto. Incident L Incident è il processo che consente ad un'organizzazione di identificare, analizzare e correggere gli incidenti.

12 Business Continuity Le componenti del processo integrato

13 Business Continuity Le componenti del processo integrato Business Continuity Planning Crisis Incident Risk Assessment Emergency Disaster Recovery Planning

14 Business Continuity Le componenti del processo integrato Business Continuity Planning Dominio dell emergenza ha come obiettivo primario l evitare l interruzione del business in generale. Prende in considerazione tutti gli eventi indesiderati e tutte le risorse a sostegno dei processi aziendali E una evoluzione del concetto di Disaster Recovery proprio dell IT. E indirizzato alla identificazione delle vulnerabilità nell ambito di tutta l organizzazione aziendale. Non si occupa di identificare e gestire tutte le possibili minacce.

15 Business Continuity Le componenti del processo integrato Disaster Recovery Planning Prende in esame gli eventi IT disastrosi, che possono provocare un danno di rilevante entità alle infrastrutture tecnologiche. Il DRP considera il quindi il sistema informatico e tutte le risorse che ad esso afferiscono. Storicamente il concetto di Disaster Recovery nasce molto tempo prima della Business Continuity. Si basa sul fatto che l azienda non può sopravvivere senza I sistemi informativi e che la ripartenza è un processo lungo e complesso.

16 Business Continuity Le componenti del processo integrato Risk Assessment Il risk management è il processo mediante il quale si misura o si stima il rischio e successivamente si sviluppano delle strategie per governarlo. Di regola, le strategie impiegate includono il trasferimento del rischio a terze parti, l'evitare il rischio, il ridurre l'effetto negativo ed infine l'accettare in parte o totalmente le conseguenze di un particolare rischio.

17 Business Continuity Le componenti del processo integrato Crisis Il Crisis è il processo attraverso il quale una organizzazione si occupa di un evento che minaccia di danneggiare l'organizzazione, i suoi stakeholder, o il pubblico in generale. Gli elementi comuni alla maggior parte delle definizioni di crisi sono: (a) una minaccia per l'organizzazione, (b) l'elemento sorpresa, e (c) un breve periodo decisione

18 Business Continuity Le componenti del processo integrato Emergency L Emergency è il processo che si occupa della gestione strategica dei processi organizzativi utilizzati per proteggere le risorse critiche di un'organizzazione contro i rischi di pericolo che possono causare disastri o catastrofi, e per garantire il mantenimento della organizzazione all'interno del loro ciclo di vita previsto.

19 Business Continuity Le componenti del processo integrato Incident L Incident è il processo che consente ad un'organizzazione di identificare, analizzare e correggere gli incidenti.

20 Business Continuity Le componenti del processo integrato Business Continuity Planning Crisis Incident Risk Assessment Emergency Disaster Recovery Planning

21 Il Processo di Business Continuity Planning Crisis Business Incident Risk Assessment Continuity Emergency Disaster Recovery Planning

22 Processo BCM gli step principali Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti

23 Processo BCM: i punti di attenzione Essere sicuri che a fronte di un evento critico il BCP sia l immagine efficace delle azioni da intraprendere Business Continuity Planning Crisis Gestire gli aggiornamenti BCP Incident Risk Assessment Avere un efficace piano dei test Emergency Disaster Recovery Planning Avere gli strumenti e le procedure adeguate per la gestione della crisi e dei test

24 Qualche spunto di riflessione Costi Affidabilità Rischi Aggiornamenti Quanto potrebbe costare lo sforzo per produrre il BCP? A fronte di notevoli investimenti, qual e il grado dei sicurezza che a fronte del verificarsi di un evento critico, il vostro BCP sia aggiornato in modo da poter essere usato senza esitazioni per la gestione della crisi? Se non si riesce a a garantire il 100% il BCP non serve, anzi potrebbe essere fuorviante. Quindi, per avere un BCP efficace si devono adottare le opportune azioni di aggiornamento e manutenzione

25 Quanto spesso cambia l azienda?

26 Processo BCM gli step principali Aggiornamenti continui endogeni al processo di Business Continuity Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti Aggiornamenti continui esogeni al processo di Business Continuity

27 Aggiornamenti: dati di base Gli elementi di variabilità che richiedono l aggiornamento del Business Continuity Plan le strutture della società (o del Gruppo); l organizzazione, i processi e le attività svolte; nuovi rischi in relazione a variazioni legate all ambiente interno o esterno; le risorse umane dedicate alle diverse attività aziendali; le variazioni nei ruoli e nelle responsabilità del management aziendale; le liste di contatto interne ed esterne; l evoluzione delle tecnologie; le variazioni nei siti critici ; le variazioni nei siti alternativi ; contratti con nuovi outsourcer o variazione a contratti preesistenti Etc.

28 Aggiornamenti: organizzazione aziendale Monitorare nel continuo la struttura organizzativa aziendale per garantire l efficacia del BCP Chi stabilisce che una variazione avvenuta fuori dal contesto della Business Continuity, ha o meno impatto sul BCP? Chi può farsi carico di raccogliere ogni singola variazione che avviene nelle applicazioni del personale, della logistica e degli acquisiti e le analizza? Chi informa i soggetti interessati, che una variazione avvenuta ha impatto sul BCP e che qualcuno deve farsi carico di applicare delle variazioni? Chi controlla che le variazioni vengano effettivamente immesse nei tempi prestabiliti? Chi controlla che una variazione immessa ad esempio nella BIA non renda inefficace il relativo piano operativo o la schedulazione dei relativi test?

29 La Metodologia PDCA Business Continuity Planning Crisis Incident Risk Assessment Emergency Disaster Recovery Planning

30 La Metodologia PDCA

31 Processo BCM: gli step principali Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti

32 Processo BCM: la «governance» Mappatura dei processi aziendali Definizione del perimetro (valutazione iniziiale impatti) Scegliere uno strumento dedicato per la gestione del processo BCM Business Impact Analysis Creazione dei Piani Operativi di Continuità per i Processi di Business e per le Componenti Tecnologiche Redazione del BCP e del DRP Gestione del Piano dei Test Gestione della Crisi e degli Incidenti

33 Business Continuity Governance ORBIT la soluzione integrata per la Governance del processo di Business Continuity e Disaster Recovery

34 Business Continuity Crisis Incident Risk Assessment Emergency Disaster Recovery

35 Cosa è ORBIT ORBIT è una applicativo GRC (Governance, Risk and Compliance) per la gestione completa del processo di Business Continuity (BCM): per raccogliere, analizzare e gestire la mole di dati che deve essere censita per rispondere alle esigenze di un progetto di BCMS conforme agli standard internazionali (BS 25999); riducendo al minimo i costi generali di progetto; organizza il modello aziendale secondo le necessità dell'azienda con opzioni multisocietà, multigruppo, multilingua e multigergo; sviluppata in ottica web, offre la possibilità di interfacciamento al Single Sign On e ad altri repository di dati delle Aziende; in grado di adattare la propria struttura ai rapidi cambiamenti del mondo economico e tecnologico personalizzabile per rispondere nel miglior modo alle diverse esigenze del business.

36 Cosa è ORBIT

37 I moduli

38 Il modello di gestione della BC e il posizionamento di ORBIT Business Process mapping Business Continuity Exercising Perimeter definition Reporting Business Impact Analysis Cost / Benefits analysis BIA Results evaluation Continuity and Emergency plan definition

39 Perché ORBIT Efficienza nella fase di raccolta dati Rendendo possibile il decentramento della responsabilità della manutenzione dei dati e dei piani Razionalizzazione delle fasi di aggiornamento riducendo: i tempi di raccolta ed elaborazione dati i tempi di redazione del BCP (Business Continuity Plan) i tempi di realizzazione della documentazione operativa e per l Alta Direzione i tempi per gli aggiornamenti che avvengono negli ambienti operativi (Personale, Siti, etc) Semplificazione e standardizzare il processo BCM La ripresa parametrica della BIA e dei Piani di Emergenza in essere La facilità di integrazione con l ambiente di riferimento (BPM, IAM, Legacy systems, etc.) Uniformare a livello corporate le misure, la comunicazione, il gergo ed il reporting La facilità di adeguamento alle normative istituzionali, locali e di gruppo Riduzione costi per ridurre i costi ed i rischi complessivi del progetto (CTO)

40 Business Continuity Governance La piattaforma software ORBIT

41 Le linee di prodotto enterprise Area Sicurezza: ORBIT Suite per la Business Continuity per la gestione a 360 della Business Continuity e dell Integrazione con il Disaster Recovery Licenza d uso Corporate o modalità ASP Conforme alla Normativa Banca d Italia e alla BS Area Sicurezza: ORBIT Essential per la gestione della Business Continuity dei fornitori critici per la gestione della BIA, Piani Operativi e BCP dei fornitori critici. Modalità ASP Integrata con ORBIT Suite del cliente Conforme alla Normativa Banca d Italia e alla BS Area Sicurezza: Emergency System per la gestione della war room per la gestione della war room con particolare riferimento alla gestione delle comunicazioni e della mobilità durante la crisi Licenza d uso Corporate Integrata con ORBIT Suite o in versione Stand Alone Conforme agli standard ITIL

42 Le linee di prodotto enterprise Area ICT: ORBIT DR per la Gestione del Disaster Recovery per la gestione della BIA, Piani Operativi, Test delle apparecchiature IT Licenza d uso Corporate Area Cross: ORBIT Monitor Strumento di self assessment per la misura del grado di raggiungimento degli obiettivi aziendali rispetto ad una policy Strumento di rilevazione dati (questionari per la gestione delle priorità di un progetto, customer satisfaction survey,etc) Licenza d uso Corporate o Modalità ASP Integrata con ORBIT Suite o in versione Stand Alone

43 ORBIT: i servizi

44 ORBIT: Le piattaforme tecnologiche

45 Orbit rel. 2.4

46 Business Continuity Governance ORBIT Customers

47 I principali utenti di ORBIT

48 Orbit user group Obiettivo: evolvere il prodotto secondo le necessità e le esigenze degli utenti. Nello User Group di ORBIT gli utenti hanno la possibilità di proporre e suggerire soluzioni evolutive al prodotto. Ciò garantisce un prodotto sia sempre allineato con le evoluzioni del mercato per soddisfare puntualmente i requisiti della gestione del Programma di Business Continuity. Lo User Group di ORBIT è una comunità che si riunisce ogni 4 mesi per discutere proposte, suggerimenti, best practice e condividere esperienze ed incontrare esperti, istituzioni e analisti di mercato.

49 Le certificazioni professionali

50 Le Certificazioni ORBIT Foundation (OF) ORBIT Certified Functional Analyst (OCFA) ORBIT Certified System Analyst (OCSA) ORBIT Master Project Manager (OMPM)

51 Le Certificazioni professionali Descrizione Codice Prerequisiti Durata corso ORBIT Foundation OF Conoscenza generale delle problematiche di BCM e DRM ORBIT Certified Functional Analyst OCFA Conoscenza approfondita delle problematiche di BCM e DRM Conoscenza generale degli standard e delle best practices in materia di BC Almeno 3 anni di esperienza nella BC ORBIT Certified System Analyst OCSA Conoscenza delle piattaforme tecnologiche di riferimento per ORBIT (AS, DB, OS) Conoscenza dei linguaggi Java, JSP, Javascript, Ajax, HTML Almeno 3 anni di esperienza come System Analyst ORBIT Master Project Manager OMPM Conoscenza approfondita delle problematiche di BCM e DRM Conoscenza generale degli standard e delle best practices in materia di BC Almeno 5 anni di esperienza nella BC Almeno 3 anni di esperienza come Project Manager 2 giornate + esame (4H) 5 giornate + esame (4H) 2 giornate + esame (4H) 3 giornate + esame (4H)

52 esolutions Europe

53 esolutions Europe Società di consulenza fondata nel 2000: Con una crescita continua di fatturato Con importanti clienti e progetti Con i soci che lavorano in azienda 25 persone (partners, dipendenti e collaboratori esterni) da febbraio 2011 fa parte di Associata al Consorzio ABILab Certificazioni BS25999 Associata ad ANSSAIF Certificazioni ITIL IBM Business Partner Certificazioni CISM /CISA Certificazioni CBCP DRI

54 DOMANDE?

55 GRAZIE!