Il percorso di approfondimento della continuità operativa Massimiliano Magi Spinetti Responsabile settore tecnologie e sicurezza ABI Segretario ABI Lab
e attività svolte sulla continuità operativa n seguito agli eventi disastrosi dell 11 settembre le Banche Centrali hanno avviato n processo di definizione delle misure da adottare per garantire la continuità di sercizio sia a livello di sistema che di singolo operatore. Le attività di Banca d Italia Il cammino dell ABI imavera 2002: avvio iniziative di coordinamento glio 2004: normativa Gestione della continuità erativa per le banche; vembre 2004: Linee guida per la continuità di rvizio delle infrastrutture qualificate dei sistemi di gamento. Partecipazione alle attività coordinate da Banca d Italia; Consultazione del sistema bancario Metodologia per la realizzazione del piano di continuità operativa; Coinvolgimento terze parti e infrastrutture critiche.
li elementi normativi per la gestione della usiness continuity percorso strutturato sulla base degli elementi previsti dalla normativa Banca d Italia del 15 Luglio 2004 sulla Gestione della continuità operativa 0 Pre-Project Planning 1 Assessment (BIA) 2 Design 3 Implementation 4 Maintena Testing Improvem 4.1 Ruolo dei vertici aziendali 4.3 Responsabilità del piano 3. Ambito del piano di continuità operativa 3.1 Correlazione ai rischi 4.2 Processi critici 5. Requisiti particolari 4.7 Esternalizzazione delle attività critiche 4.8 Infrastrutture e controparti rilevanti 4.4 Contenuto del piano 4.6 Risorse umane 4.10 Comunicazioni alla Banca d Italia 4.5 Verific 4.9 Contro interni
rime analisi di Banca d Italia alla rilevazione di settembre 2004 Indicazioni dell Istituto di Vigilanza in merito agli elementi di attenzione (primi elementi di discussione)
rime analisi di Banca d Italia alla rilevazione di settembre 2004 (primi elementi di discussione)
o stato dell arte nelle banche Grazie ad un questionario abbiamo cercato di fare emergere dalle banche partecipanti ai corsi le prospettive di analisi e i relativi key issue sulla Business Continuity nei loro contesti Relativamente alla Metodologia ABI Lab a quale fase di realizzazione è giunta la vostra azienda? re project planning 97% 3% ase 1 BIA 57% 43% ase 2 Design 11% 89% ase 3 Implementation 3% 97% ase 4 Maintenance, testing & improvement 3% 97% Si No Risposte di un campione di 60 banche raccolto a feb/mar/apr 2005
Lo stato dell arte nelle banche Nell ambito dell applicazione delle attività fino ad oggi realizzate che tipo di difficoltà sono state riscontrate? DIFFICOLTA DI TIPO Culturali Difficoltà di coinvolgimento sul progetto, non si percepisce l abbinamento processi aziendali e rischi da mitigare, si tende a pensare più ai rischi solamente da disaster Difficoltà da parte dei responsabili in fase di compilazione del questionario preposto per la BIA, perché c è ancora scarsa consapevolezza Difficoltà di individuazione e coinvolgimento dei referenti delle unità produttive E importante la trasmissione della cultura della BC nell azienda Tutta l'azienda è direttamente coinvolta per lo sviluppo e l'effettivo successo del piano e una cultura di responsabilizzazione della completa struttura aziendale è necessaria come requisito primario.
Lo stato dell arte nelle banche Nell ambito dell applicazione delle attività fino ad oggi realizzate che tipo di difficoltà sono state riscontrate? DIFFICOLTA PROGETTUALI LEGATE AI Tempi/Complessità/Novità Impatto sui tempi molto ristretti di realizzazione. Complessità nella gestione della Bia relativamente a 14 direzione e 3 società controllate, in pochissimi giorni, partendo da zero per quanto riguarda l analisi dei processi.. Difficoltà nello stimare l impatto di blocchi relativamente ai processi. E una cosa nuova Difficoltà nello stimare l impatto sul business dei processi definiti critici Difficoltà nel reperire dati economici relativi a processi e non a prodotti
e prossime iniziative dell ABI in merito alla usiness continuity L ABI ha individuato l opportunità di proseguire nell approfondimento delle logiche di gestione della business continuity con l ausilio di Gruppi di lavoro banche e aziende ICT Partecipazione alle attività coordinate da Banca d Italia e al grup di lavoro per la realizzazione del piano di continuità di sistema Partecipazione alle attività di Gruppi di lavoro istituzionali per il presidio della continuità delle Utilities della PA e del Sistema Paese Erogazione di un sistema info/formativo per l acquisizione di competenze trasversali metodologiche sulla realizzazione del piano continuità operativa Definizione di soluzioni cooperative e standard in autoregolamentazione Approfondimenti con il GdL ABI di tematiche di interesse
e iniziative dell ABI in merito ai servizi nfrastrutturali e le utilities L ABI ha intrapreso numerose iniziative al fine di supportare le banche nell analisi della continuità offerta sui servizi infrastrutturali e le utilities dagli operatori del sistema Paese trutture he comunicazioni bblica ministrazione IPA Approfondimento della Protezione delle infrastrutture critiche informatizzate promosso dalla Presidenza del Consiglio dei Minist Adesione al GdL Infrastrutture critiche di telecomunicazione promosso da Ministero delle Comunicazioni. Partecipazione ai sotto-gruppi di approfondimento: Servizi e Sicurezza analisi dei rapporti di outsourcing instaurati o instaurabili dalle infrastrutture critich Gestione delle emergenze e degli incidenti analisi della gestione delle emergenze ICT locali Partecipazione al GdL sulle logiche di sviluppo della Continuità operativa nella Pubblica Amministrazione: sottogruppi sulle Metodologie, Tecnologie e Outsourcing
e attività info/formative ulla metodologia Partner ICT che hanno partecipato ai corsi Con lo scopo di sostenere l azione delle banche, l ABI, in collaborazione con ABI Lab, ha predisposto un sistema info-formativo costituito da moduli formativi differenziati, messo a punto con ABIFormazione, per l approfondimento della metodologia e dei tool a supporto. Banche che hanno partecipato ai corsi Banca 24-7, Banca Agricola Popolare Ragusa, Banca Akros, Banca Antonveneta, Banca Carige Cremonese, Banca delle Marche, Banca di Piacenza, Banca di Roma, Banca Etruria, Banca Fide Intesa, Banca Lombarda, Banca Mediolanum, Banca Monte dei Paschi di Siena, Banca Naziona Banca OPI, Banca Passadore, Banca Popolare del Lazio, Banca Popolare dell'emilia Romagna, B Popolare di Fondi, Banca Popolare di Lodi, Banca Popolare di Milano, Banca Popolare di Sondri Popolare di Sviluppo, Banca Popolare di Vicenza, Banca Popolare Provinciale Lecchese, Banca Pugliese, Banca Sella, Banco Bilbao Vizcaya Argentaria, Banco di Desio e della Brianza, Banco Banco Popolare di Verona e Novara, Bcc del Veneziano, Bcc di Roma, BNP Paribas, BPU Banc Capitalia, Cassa Centrale Casse Rurali Trentine, Cassa dei Risparmi di Forlì, Cassa di Risparmio Cassa di Risparmio di Alessandria, Cassa di Risparmio di Ferrara, Cassa di Risparmio di Firenze Giudiarie Valsabbia Paganella, Centro Leasing, Citco Bank Nederland, Credem, Federazione Ma BCC, Findomestic Banca, Hypo Alpe Adria Bank, ICCREA Holding, Ing Direct, Interbanca, Is Centrale Banche Popolari, Mediobanca, Mediocredito Trentino Alto Adige, SanPaolo IMI, Terc Provincia di Teramo, UBAE - Arab Italian Bank, UniCredit Saranno erogati nel corso del 2005 ulteriori moduli formativi differenziati per livello di approfondimento
l cammino dell ABI per supportare il sistema ancario Attraverso il GdL, l ABI continuerà ad approfondire la definizione di soluzioni cooperative e standard in autoregolamentazione per le banche appartenenti a Gruppi con attivo minore di 5 mld come previsto tra le attività delle associazioni di categoria nella normativa di Banca d'italia. Inoltre il gruppo di lavoro ha individuato ulteriori punti di attenzione che svilupperà come tematiche di interesse: L analisi e individuazione delle soluzioni di continuità su alcuni processi critici della banca; in prima istanza sono stati considerati di interesse i processi dell'area finanza Lo studio della correlazione tra capitale di garanzia della banca e gli investimenti in Business Continuity per la conseguente attenuazione del rischio operativo La realizzazione di un osservatorio sulle migliori soluzioni e tecnologie di Disaster Recovery delle banche L analisi delle problematiche relative alle Risorse Umane nella gestione della continuità operativa (es. reperibilità, formazione, retribuzione) La risoluzioni e l approfondimento dei quesiti legali relativi alla gestione contrattuale della continuità con clienti, fornitori di servizi e outsourcer Lo studio degli impianti e dei servizi per la continuità dell'energia elettrica
Definizione dei principali elementi di uno scenario di crisi ni per la sicurezza personale e degli t aziendali nalazione ed lation tificazione accaduto lutazione situazione isione riguardo ocazione dello stato mergenza Crisis Management Processi che possono richiedere la predisposizione di soluzioni preventive Processi per i qua vengono appronta le misure più adeguate sotto il coordinamento de crisis manager tivita inaria Risposta alla crisi Ripristino processi immediatamente critici Ripristino altri processi critici Evoluzione dell operatività verso le condizioni a regime Periodo con operatività degradata (livello minimo accettato) Evento di Crisi Indisponibilità edificio e/o infrastrutture Indisponibilità risorse critiche Indisponibilità sistemi Garantire l operatività minima nelle situazioni di crisi peggiori ( worst case ) e per il periodo limitato alla finestra temporale definita
Realizzazione di un modello di correlazione tra capitale di garanzia e investimenti in BC Obiettivo Studio di un modello di correlazione tra capitale di garanzia della banca e investimenti in Business Continuity per la conseguente attenuazione dei rischi operativi nell ottica di Basilea II Modalità: Analisi con un Gruppo di Lavoro ristretto costituito da Risk Manage Security manager & BC manager di banche che hanno interesse sulla tematica Attività: Analisi delle tipologie di rischio operativo impattati dai piani di BC e valutazione della riduzione delle potenziali perdite conseguenti l implementazione delle soluzioni di BC sui processi di business Definizione del modello di correlazione tra capitale di garanzia della banca e gli investimenti in Business Continuity
Analisi e individuazione delle soluzioni di continuità sui processi critici Obiettivo Identificare possibili soluzioni di continuità su processi critici, con particolare attenzione all area finanza Modalità: Riflessioni e approfondimenti con il Gruppo di Lavoro sui diversi amb della finanza e sulle problematiche delle soluzioni di continuità Attività: Identificazione di un insieme condiviso di processi e rappresentazione dei diversi asset presenti nelle banche (risorse umane, logistica, piattaforme tecnologiche oggi presenti, fornitori di servizi critici, esposizione al rischio, soluzioni già operative) Descrizione delle possibili soluzioni alternative e delle problematiche connesse in funzione di macro assetti (schematizzazione in 2-3 tipologie tipiche) Valutazione per ogni soluzione dei driver di costo realizzativo per l identificazione corretta del rapporto investimento/beneficio Punti di attenzione Infoproviders Siti alternativi area finanza: distanza e tempo di raggiungimento
IA: Identificazione dell insieme di processi ritici per l Area Finanza rime valutazioni del Gruppo di Lavoro ABI Servizi di investimento Servizi di investimento Esemplificativo Tesoreria e portafoglio proprietà Tesoreria e portafoglio proprietà Back office Back office e valutazioni sulla criticità delle Aree sono esemplificative in quanto non efinite quantitativamente e non contestualizzate ad una singola banca.
Piano DR: Osservatorio sulle soluzioni di DR Obiettivo Identificare soluzioni di DR coerenti con livelli di investimento e assetti organizzativi-operativi sostenibili Modalità: Analisi di mercato con i maggiori operatori ICT per schematizzare/classificare le tipologie di offerta Riflessioni con il Gruppo di Lavoro Attività: Predisposizione di una check-list sui punti di attenzione e di un questionario per approfondire le modalità di approccio al DR delle banche partecipanti (ambiente mainframe e dipartimentale/distribuito) Organizzazione di incontri con operatori ICT sull offerta di servizi di DR Analisi di esempi basati su casi operativi delle diverse soluzioni Classificazione delle soluzioni e delle modalità di test necessarie per tipologia (soluzione tecnica) e per il livello di copertura offerto Valutazione dei driver di costo/investimento
e crescenti necessità delle banche verso gli utsourcer La continuità delle attività critiche in outsourcing, in base alla nuova normativa, rende necessaria una maggiore responsabilizzazione dell outsourcer sulla ualità del servizio offerto e sulla continuità Relazioni complesse e regolate da contratti Processo A Processo Outsourcer Proce Caso di Outs Si denota una sempre maggiore attenzione alla definizione di livell servizio contrattuali dettagliati p tipologia di servizio te: ABI CIPA, Rilevazione sullo stato dell automazione del ma creditizio, 2004, 145 banche