Convegno APB Business Continuity: perchè un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa? Milano, 4 Aprile 2006 Roberto Perego Partner - esolutions Europe
Agenda esolutions Europe Business Continuity Come affrontare il progetto ORBIT: una soluzione innovativa
Agenda esolutions Europe Business Continuity Come affrontare il progetto ORBIT: una soluzione innovativa
esolutions Europe Società di consulenza nata nel 2000: il cui fatturato e cresciuto del 40% nel 2005 con un ROS del 7,7% nel 2005 con clienti importanti con i soci che lavorano in azienda Per il 2006 prevede: una crescita di fatturato del 210% un ROS del 15% Con un modello organizzativo basato sulla compartecipazione di chi lavora in azienda al profitto aziendale Con un totale di 20 persone tra soci, dipendenti, collaboratori esterni
esolutions Europe le aree di business Servizi consulenziali Design, gestione e implementazione di progetti ICT; Consulenza direzionale per l impostazione e revisione di soluzioni CRM, Enterprise Portal, Competence Management, Knowledge Management, Customer Satisfaction Surveys; Consulenza direzionale per programmi di change management; Consulenza marketing e marketing communication con attivita evolute come Media Analysis e ROI di comunicazione; Design e realizzazione di piani di formazione manageriale in collaborazione con Universita e Business Schools; Soluzioni applicative Realizzate in house per il settore bancario (Business Impact Analysis) In partnership con realtà locali e/o multinazionali con specifiche competenze di settore IT Education Interim Management
Agenda esolutions Europe Business Continuity Come affrontare il progetto ORBIT: una soluzione innovativa
Business Continuity: cosa e richiesto Disposizione Banca d Italia Le Istruzioni di Vigilanza in materia di controlli interni (Titolo IV, Cap. 11) richiedono agli intermediari di predisporre piani di emergenza dei sistemi informativi in grado di assicurare all'occorrenza la continuità delle operazioni vitali per l'azienda e il ritorno in tempi ragionevoli all'operatività normale. In relazione alla crescente complessità dell'attività bancaria, all'intenso utilizzo della tecnologia dell'informazione e ai nuovi scenari di rischio, questo Istituto ha attivato un complesso di iniziative volte a rafforzare i presidi di sicurezza del sistema finanziario e a promuovere lo sviluppo di piani di continuità operativa in grado di fronteggiare crisi di ampia portata. omissis con la presente nota viene emanata la normativa di vigilanza sulla continuità operativa delle banche incentrata, in particolare, sulla predisposizione di un apposito piano e sulla definizione delle responsabilità per la gestione delle emergenze (cfr Allegato). Le banche dovranno completare gli adempimenti previsti dalla nuova disciplina entro il 31 dicembre 2006. omissis Questo Istituto seguirà con attenzione il processo di attuazione della normativa da parte degli intermediari. omissis Allegato:Gestione della continuità operativa La crescente complessità dell'attività bancaria, l'intenso utilizzo della tecnologia dell'informazione e i nuovi scenari di rischio hanno messo in evidenza I' esigenza che le banche aggiornino la valutazione dei rischi operativi, adeguino le strategie in tema di sicurezza e rafforzino i presidi di emergenza in modo da garantire adeguati livelli di continuità operativa. L'approccio tradizionale dei piani di emergenza non considera ipotesi di crisi estesa e blocchi prolungati delle infrastrutture essenziali le soluzioni più comuni sono basate su misure tecnico-organizzative finalizzate alla salvaguardia degli archivi elettronici e al funzionamento dei sistemi informativi. Tali misure possono risultare insufficienti ad assicurare la continuità operativa dell'azienda in caso di eventi disastrosi. Nel nuovo contesto risulta essenziale adottare un approccio esteso che, partendo dalla identificazione dei processi aziendali critici, definisca per ciascuno di essi presidi organizzati vi e misure di emergenza commisurati ai livelli di rischio. omissis L'analisi di impatto, preliminare alla stesura del piano di emergenza e periodicamente aggiornata, individua il livello di rischio relative ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio. I rischi residui, non gestiti dal piano, 7sono documentati.
Business Continuity: dalla teoria alla pratica Per rispondere alla Direttiva della Banca d Italia ogni Banca deve: 1. Identificare i processi aziendali critici Identificare i processi critici valutando per ognuno l impatto economico, reputazionale e normativo Identificare il process owner per ognuno di questi processi, responsabile verso gli organi di vigilanza dei dati del processo Per ogni processo identificare tutte le risorse critiche necessarie al regolare svolgimento del medesimo Per ogni processo stabilire le condizioni minime per garantirne il funzionamento in caso di crisi In termini tecnici: svolgere una Business Impact Analysis (BIA) 2. Sviluppare dei piani di continuità operativa in grado di fronteggiare crisi di ampia portata Sulla base delle risultanze della Business Impact Analysis, in relazione ai diversi scenari di crisi ipotizzati, per ogni processo dovranno essere descritte: le procedure operative da seguire; le modalità di utilizzo delle strutture/soluzioni di continuità predisposte; le modalità di comunicazione all interno e all esterno della struttura; i ruoli e le responsabilità. 8
Business Continuity: dalla teoria alla pratica E sufficiente avere dei piani di disaster recovery per avere una copertura dei rischi? per rispondere a questa domanda bisogna capire quali sono le risorse critiche da considerare per definire i piani di emergenza Siti Risorse Umane Sis. Informativi Infrastruttura Altri Servizi Documentazione Rischi Meteorologici Malfunzionamento Rischi di mancanza Rischi grave del Sist. personale e Reti vulcanici Rischi Interruzione ambientali energia Perdita e sanitari elettrica Rischi o corruzione idrogeologici dei dati Interruzione Rischi Telecomunicazioni Rischi Blocco trasporti di Applicazioni incendio Interruzione Attacchi erogazione Rischi esterni gas tramite ambientali reti telem. Interruzione trasporto Interruzione valori Perdita erogazione Frode Rischi grave di doc. Ordine acqua con per allagamento-incendio Interruzione perdita Pubblico servizi dati amministrativi Razionamento Perdita Combustibili di doc. per Interruzione frode interna apparati Interruzione (non S. I.) Perdita Condizionamento doc. per furto 9
Business Continuity: dalla teoria alla pratica E sufficiente avere dei piani di disaster recovery per avere una copertura dei rischi? Quali sono i rischi coperti da un piano di disaster recovery? Rischi Meteorologici Rischi vulcanici Rischi di Ordine Pubblico Rischi di mancanza del personale Rischi ambientali Rischi idrogeologici Rischi di incendio Rischi ambientali e sanitari Interruzione apparati (non S. I.) Rischi trasporti Interruzione trasporto valori Malfunzionamento grave Sist. e Reti Interruzione servizi amministrativi Perdita o corruzione dei dati Perdita Frode Rischi grave di doc. Ordine con per allagamento-incendio perdita Pubblico dati Interruzione erogazione gas Interruzione erogazione acqua Blocco Applicazioni Perdita di doc. per frode interna Interruzione energia elettrica Razionamento Combustibili Attacchi Rischi esterni tramite ambientali reti telem. Perdita di doc. per furto Interruzione Telecomunicazioni Interruzione Condizionamento Frode Rischi grave con perdita ambientali di dati 10
Business Continuity: dalla teoria alla pratica E sufficiente avere dei piani di disaster recovery per avere una copertura dei rischi? Quali sono i rischi coperti da un piano di disaster recovery? Rischi Meteorologici Rischi vulcanici Rischi di Ordine Pubblico Rischi di mancanza del personale Rischi ambientali Rischi idrogeologici Rischi di incendio Rischi ambientali e sanitari Interruzione apparati (non S. I.) Rischi trasporti Interruzione trasporto valori Quindi Interruzione un servizi progetto di Business Continuity e molto amministrativi piu vasto e articolato di un progetto di disaster Perdita Frode Rischi grave di recovery, doc. Ordine con per anzi Interruzione il piano di disaster recovery allagamento-incendio perdita Pubblico e dati un sottoinsieme erogazione gas di dati del progetto di business continuity Perdita di doc. per frode interna Perdita di doc. per furto Interruzione energia elettrica Interruzione Telecomunicazioni Interruzione erogazione acqua Razionamento Combustibili Interruzione Condizionamento Malfunzionamento grave Sist. e Reti Perdita o corruzione dei dati Blocco Applicazioni? Attacchi Rischi esterni tramite ambientali reti telem.? Frode Rischi grave con perdita ambientali di dati 11
Agenda esolutions Europe Business Continuity Come affrontare il progetto ORBIT: una soluzione innovativa
Le alternative per affrontare il progetto Senza soluzioni informatiche Con soluzioni informatiche Raccolta dati per la BIA Interviste di persona con questionari ai responsabili di processo Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo Strumenti di supporto DB o foglio di lavoro che ricalchi la struttura del questionario per facilitare l immissione dei dati DB relazionale strutturato nella logica delle valutazioni quantitative / qualitative, della reportistica e della creazione dei Piani Operativi Aggiornamento dati della BIA Interviste o spedizione dei questionari precompilati per catturare le eventuali variazioni Rilettura dei questionari. Immissione dei dati. Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo quando viene loro richiesto con monitoraggio dell avanzamento delle attività Redazione dei Piani Operativi Redazione manuale analizzando direttamente i dati BIA a video o su report cartaceo Redazione automatica dello scheletro del Piano sulla base dei dati disponibili nella BIA
I costi relativi delle alternative Esempio 100 processi (3 4 attivita per processo) 3 ore per la compilazione del questionario per ogni attività 1 ora per l immissione dati aggiornamento dei dati BIA, 2 volte all anno 1 ora per l aggiornamento dei questionari di ogni attività Redazione Piani Operativi 1 volta all anno, 5 ore per processo manuale, 3 ore su template generato automaticamente Assumption stesso tempo per raccogliere i dati su questionario che a video
I costi relativi e assoluti delle alternative Senza soluzioni informatiche Con soluzioni informatiche Raccolta dati per la BIA 100 50 Strumenti di Supporto 10 0 Aggiornamento dati della BIA 85 20 Redazione dei Piani Operativi 85 50 280 120
I costi relativi e assoluti delle alternative Senza soluzioni informatiche Con soluzioni informatiche Raccolta dati per la BIA Strumenti di Supporto Aggiornamento dati della BIA Redazione dei Piani Operativi Quindi un progetto di Business Continuity sviluppato con l ausilio di una soluzione informatica innovativa costa mediamente il 60% in meno e ha dei tempi di realizzazione pari a circa la meta rispetto ad un progetto senza questi strumenti
Agenda esolutions Europe Business Continuity Come affrontare il Progetto ORBIT: una soluzione innovativa
Cos e ORBIT La soluzione software ORBIT gestisce la raccolta dei dati con questionari via Intranet, con un Data Base coerente con la metodologia ABILab. ORBIT e stato sviluppato in ottica di gruppo, gestisce il modello aziendale con una struttura a piu livelli, prevedendo anche l operatività in ambiente multilingua e multigergo. ORBIT storicizza le singole rilevazioni consentendo tutta una serie di analisi storiche. Il modulo relativo prevede anche lo sviluppo di simulazioni dettate dalla necessità di misurare gli effetti degli interventi pianificati in anticipo rispetto alla loro realizzazione. ORBIT permette, con un modulo dedicato, di gestire i piani operativi che supportano la Continuità Operativa, creando una Base Dati delle azioni da eseguire in caso di disastro. La Business Impact Analysis fa riferimento all analisi per processi il cui sviluppo è a volte basato su sistemi di Business Process Management (BPM). Sono state quindi previste delle interfacce che consentono di trasferire in modo automatizzato i modelli dallo strumento di BPM scelto dalla Banca verso ORBIT. 18
Architettura di ORBIT
ORBIT: Modulo BIA Modulo Base di ORBIT per la gestione della Business Impact Analysis aziendale Soluzione Italiana basata su schede standard Conforme alle direttive Banca d Italia per i temi di Business Continuity Gestione multiazienda / multibanca Gestione multilingua / multigergo Accesso via web Parametrizzabile e customizzabile secondo le esigenze del cliente e per variazioni normative e/o ambientali Gestione dei profili utente con sistema di certificazione dei dati inseriti Gestione del modello aziendale Grafici e report 20
ORBIT: Modulo Piani Operativi Permette di creare in modo automatico lo scheletro delle procedure operative per ogni soluzione identificata nella BIA, riducendone i tempi di redazione e garantendo il continuo aggiornamento delle procedure al cambiare dei dati della BIA In termini operativi, gestisce: la composizione dei testi delle procedure l workflow collegato al modulo BIA per modificare, verificare, approvare e rendere disponibili le modifiche organizzative che verranno catalogate nel DB del Modulo BIA Gestione multilingua / multigergo Processi di background per la catalogazione sia elettronica che cartacea delle procedure ogni volta che avviene un cambiamento 21
ORBIT: Modulo Interfacce Questo modulo di ORBIT permette di sincronizzare i dati di prodotti organizzativi (BPM) con i dati della BIA La sincronizzazione avviene nei due sensi: da BIA a BPM e da BPM a BIA. In termini operativi: mette a disposizione delle soluzioni BPM una stringa di dati con tutti gli aggiornamenti che avvengono nella BIA richiede alla soluzione BPM una stringa di dati con gli aggiornamenti che impatteranno la BIA Si fa carico di ottenere le approvazioni (workflow) e applica le variazioni approvate ai dati BIA 22
ORBIT: Modulo Simulazione e Gestione Scenari Questo modulo di ORBIT permette di creare degli scenari di simulazione temporanei, che partendo da dati consolidati, generi, attraverso dei processi di simulazione, degli scenari alternativi volti a mitigare la criticità di alcuni processi. Permette di creare un archivio storico consolidato dei dati BIA, sia per fini di storicizzazione interna alla Banca che per reportistica verso gli Istituti di Vigilanza. Gestisce la ricorsività e simulazione sulla base dati per: Adeguarsi al mutare delle condizioni al contorno Ipotizzare scenari alternativi 23
ORBIT: Modulo Rischi Operativi Questo modulo di ORBIT permette di rispondere alle disposizioni di Basilea II che richiede che le banche implementino ed applichino efficaci ed efficienti strategie di monitoraggio dei processi aziendali rispetto al loro tasso di rischio ed all impatto sul business. Questo modulo si occupa di tutti i processi aziendali per eseguire una: Analisi dell impatto Analisi della vulnerabilità Per giungere: Alla valutazione del Rischio Alle conseguenti attività di mitigazione dei rischi stessi 24
ORBIT: Modulo OROP Questo modulo di ORBIT permette di rilevare, di archiviare, gestire e analizzare i "fatti anomali" e le discontinuità operative che possono avere una relazione con i concetti di Business Continuity. OROP storicizza tutte le azioni intraprese per gestire l'eventuale fatto anomalo e per contrastare l'eventuale crisi che ne deriva al fine di monitorare l'andamento della crisi stessa e soprattutto per creare una repository di "soluzioni" che possano essere usate per eventi futuri simili o assimilabili. 25
ORBIT: Il portale della comunita Portale della comunità con funzione di single point of contact per: Documentazione Chi fa che cosa / chi sa che cosa News / Avvisi Forum Blogs Materiale formativo on line (e-learning) Piattaforma di Knowledge Management per i knowledge workers nell ambito della comunita di Business Continuity 26
. perche un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa? Tutte le società del Gruppo saranno dotate di uno specifico applicativo per la definizione, manutenzione ed aggiornamento della Business Impact Analysis. In proposito SANPAOLO IMI ha commissionato l allestimento di uno specifico prodotto (denominato ORBIT ), che verrà rilasciato in tempi brevi e che sarà implementato in coerenza con i principi della metodologia ABILab. Tale strumento sarà configurato come strumento multilingua e multigergo in previsione del suo utilizzo a livello dell intero Gruppo e costituirà il primo del genere nel sistema bancario italiano, atteso che attualmente il mercato nazionale ne è sprovvisto Dott. Lino Perazzo Responsabile Business Continuity Sanpaolo IMI
In conclusione. esolutions Europe fornisce: la soluzione software ORBIT il supporto tecnico applicativo per personalizzazioni della soluzione ORBIT L helpdesk applicativo esolutions Europe attraverso partnership con societa ed esperti del settore, fornisce: La formazione sulle problematiche della Business Continuity Il supporto consulenziale specialistico per tutte le fasi del progetto 28
per ogni ulteriore domanda 29