BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ Angela Pietrantoni Managing Director cienze per la sicurezza consulting
Garantire la Continuità Possiamo definirla come un insieme di azioni preventive che un organizzazione deve mettere in atto per poter mantenere la sua capacità di fornire il proprio servizio o prodotto senza interruzioni anche a fronte di minacce impreviste di qualsiasi entità e tipologia BCMS Standard BS 25 999 Societal Security & Continuity ISO 22301, 22313 2
Approccio di Gestione Policy di Gestione Resiliente fortemente improntata sulla prevenzione e sulla ripartenza del Business Sicurezza preventiva a sostegno del Business Beni immateriali Reputazione Risorse umane Attività 3
Tre Pilastri della Continuità Operativa Act Check Business Continuity Plan Plan Do Act Plan Act Plan Crisis Management Disaster Recovery Check Do Check Do 4
BS 25999 ISO 22301 PA 235/2010 ICE 61/2011 Norme e Standard Banca Internazionali Accordi di Basilea Nazionali Normative di Banca d Italia Outcome Business Continuity Plan Disaster Recovery Plan 5
Accordi Basilea Tre Pilastri Rischio operativo: Per rischio operativo si intende il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni [ ] 6
Qualità dei dati, Errori di programmazione, Violazione sicurezza, Rischi strategici: Piattaforma, fornitori, Sistema: capacità, compatibilità, guasto Classificazione Interruzioni Sistemi Rischio Operativo Processi Interni Esterni Sheraton Padova Errori contabili, Rischio capacità/valutazioni, Rischi contrattuali, Complessità dei prodotti, Segnalazione degli errori outsourcing, politico, Regolamentazione Crimine, Responsabilità, Errore di pagamenti/transazioni, Collusione, Frode, Mancanza di conoscenza/competenza, Salute e sicurezza sul lavoro Persone Eventi esterni Incendio, Disastri naturali, Sicurezza fisica, Terrorismo, Furti, Rapine 7
Cultura e Consapevolezza Quale livello di conoscenza raggiungere? 8
Cantor Fitzgerald Tra le maggiori Istituzioni finanziarie Sede ai piani alti del World Trade Center New York, 11 settembre 2001 Dei 960 collaboratori, tra managers e dipendenti, 658 morirono nell attacco Distruzione totale dell infrastruttura Sito alternativo di Recovery su Londra Network di tecnologia e persone formate e motivate Recupero piena operatività in meno di una settimana 9
Rischio idrogeologico Terremoto Abruzzo 2009 Alluvioni Liguria Toscana 2011 Terremoto Emilia Romagna 2012 Roma, Sardegna, Puglia, Sicilia Giappone tsunami 2011 10
IT Infrastrucure? Hardware Mobile device Software Gestione delle Comunicazioni Gestione degli accessi Gestione degli antivirus Violazione del rapporto fiduciario, Abuso di informazioni confidenziali colposo o doloso; Errore di inserimento dei dati, Violazione dei dati dall esterno o dall interno Cloud Virtualizzazione De-materializzazione 11
In conclusione Attacchi Esterni Attacchi Interni Software Loss of service Hardware Processi Persone Reputazione Interazioni social media Competitor Alluvioni Criminalità Organizzata Incendi Terremoti 12
Quale livello di conoscenza raggiungere? Tecnologia DR Procedure Metodi Soluzioni BUSINESS CONTINUITY CAPABILITY Persone Formazione Responsabilità Consapevolezza Cultura Utile a formare le strategie continuative preventive per essere capaci di coprire sempre il livello minimo di erogazione del servizio 13
cienze per la sicurezza consulting www.scienzeperlasicurezza.it Milano Genova - Parma Contatti di approfondimento: E-mail: angela@scienzeperlasicurezza.it info@scienzeperlasicurezza.it Telefono: Cell +39 347 26 65 697 14