Business Continuity Management

Slides:



Advertisements
Presentazioni simili
Piano di Formazione per la Riqualificazione del Personale
Advertisements

Il check-up dell’innovazione
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
“L’ESPERIENZA DELLA AUSL DI RIETI”
1 CONVEGNO SOCI ANSSAIF settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.
Anthony Cecil Wright Roma, 20 Giugno 2006 Prima indagine sul Phishing in Italia.
Le tecnologie informatiche per l'azienda
il Rappresentante dei Lavoratori per la Sicurezza
1 DECRETO LEGISLATIVO 626/94 19 SETTEMBRE 1994 MODIFICHE ED INTEGRAZIONI DECRETO LEGISLATIVO 242/96 19 MARZO 1996 CORSO DI FORMAZIONE ED INFORMAZIONE IN.
AZIENDA PRODUTTRICE DI SERVIZI IMMOBILIZZAZIONI MATERIALI CAPITALI PERMANENTI CAPITALE PROPRIO CAPITALE DI TERZI.
L. De Benedetti: Contributo operativo alla redazione del manuale 1 Dibattito guidato sulle problematiche nella redazione del Manuale Qualità nei laboratori.
Associazione Nazionale Direttori Amministrativi e Finanziari Sezione Liguria Borsa e Mercati Finanziari – La comunicazione con gli investitori tra opportunità
GLI ORGANI AZIENDALI.
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
Corso “Organizzazione Aziendale e Formazione Continua”
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
TECHNICAL COMPETENCES
rendicontazione delle Aziende Sanitarie
Identificazione delle attività
MILLEGPG uno strumento per migliorare e migliorarsi
GESTIONE DEI SISTEMI INFORMATIVI IN AZIENDA
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
18 luglio 2007 Razionalizzazione dei sistemi di back-office Il ruolo del CNIPA Ing. Rosanna Alterisio Responsabile Area Progetti applicazioni e servizi.
Area: la gestione dei progetti complessi
DCO Roma, CONTROLLO PRESTAZIONI IMPIANTO PROGETTO Insourcing delle attività di Assistenza Tecnica allEsercizio Operativo.
FONDAMENTI DI INFORMATICA III A2A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2 Approfondimento 2 CARATTERISTICHE E MODELLIZZAZIONE.
Roma, 17 novembre 2003 Michele Morciano 1 Roma, 17 novembre 2003 Michele Morciano 1 Programmazione e controllo di gestione nelle amministrazioni pubbliche:
Con la collaborazione di E3 S.r.l.. Le linee guida del Progetto.
Fabrizio Conti Borsa Italiana S.p.A. Il progetto Anno 2000 di Borsa Italiana S.p.A. Conferenza nazionale sulladeguamento informatico allanno 2000 Roma,
Posizione di Telecom Italia sullAnno Indice Organizzazione del Progetto Anno 2000 Aree di Presidio Piano di Adeguamento Test di Interoperabilità
Trasparenza e rendicontazione in sanità
Il processo del controllo
La struttura organizzativa e informativa del controllo
Il credito nelle aziende italiane in tempo di crisi Roma, 19 aprile 2012.
Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.
Segni,03/06/13 ACCORDO DI RETE. costituzione di reti territoriali tra istituzioni scolastiche, al fine di conseguire la gestione ottimale delle risorse.
La crisi del lavoro in ValcavallinaFondazione Ikaros 1 QUALE FUTURO OLTRE LA CRISI: UNA RICERCA QUALITATIVA Trescore Balneario, 2 dicembre 2010.
Come riconoscere gli operatori della ICT Security SMAU ottobre 2002.
Lo stage Enrica Savoia.
La funzione del magazzino e la politica delle scorte
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
MODELLI DI ORGANIZZAZIONE E GESTIONE DELLA SICUREZZA,
Progettare per competenze
NUOVO MODELLO DI FUNZIONAMENTO DELL’AMMINISTRAZIONE DEL PERSONALE
Indicazioni per il coinvolgimento dei cittadini: le Raccomandazioni generali e operative Alessandro Bazzoni 14/16 Novembre 2011.
Fasi di progetto di SI Impostazione strategica e di disegno concettuale Implementazione Utilizzo e monitoraggio.
“La gestione integrata del rischio nelle strutture sanitarie”
IL SISTEMA DI GESTIONE QUALITA’
1 Michellone Giancarlo Allo stato attuale i contenuti del presente documento non impegnano ancora il Project Manager e non riflettono necessariamente la.
Campagna europea sulla valutazione dei rischi Errori frequenti nella valutazione dei rischi.
COO/RU - Organizzazione Operativa 0 CHIEF OPERATING OFFICE COMMISSIONE INQUADRAMENTO Roma, 25 luglio 2007 Incontro con le OO.SS. Nazionali.
Gli affidamenti bancari ai gruppi di imprese nell’attuale scenario economico Tempo di crisi, tempo di scelte - Il credito oltre la crisi.
La percezione del rischio
RUO – Sviluppo Organizzativo e Pianificazione 10 Marzo 2010 Aree Territoriali Controllo Interno.
1 Politecnico Calzaturiero Capriccio di Vigonza (PD) Corso RESPONSABILI DI PRODUZIONE IL SISTEMA MODA ED IL SISTEMA AZIENDALE: ORGANIZZAZIONE E GESTIONE.
Claudio Cacciamani Università di Parma
Master MATITCiclo di vita del Sistema Informativo1 CICLO DI VITA DEL SISTEMA INFORMATIVO.
Le norme ISO 9000 ed il Manuale della Qualità
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
Roma – 9 maggio 2005La Sicurezza informatica nella P.A.: strumenti e progetti Continuità Operativa per le PA Gaetano Santucci CNIPA Responsabile Area Indirizzo,
Business Continuity Come andare in On-Line con serenità Trento, 11 novembre 2004 Autore: C. Mascarello (11/11/2004)
Gruppo Itas Assicurazioni
Sistema di Riferimento Veneto per la Sicurezza nelle Scuole
Studio Crotti Consulenti di direzione e servizi integrati Studio Crotti – Via A. Moro, 5 – Capriate S.G. – Bergamo - Italy Tel. e Fax.:
AD&D Professionalità integrate a misura d’azienda consulting AD&D Consulting Via Saragozza Bologna
CONTROLLO OPERATIVO L'Azienda individua, tramite il Documento di Valutazione dei Rischi, le operazioni e le attività, associate ai rischi identificati,
Revisione Aziendale Lezione del Il Sistema di controllo interno.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Punti Norma ISO 9001 Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Transcript della presentazione:

Business Continuity Management Alcune riflessioni alla luce della normativa, della metodologia ABI e delle “best practice” Ing. Anthony Cecil Wright Presidente ANSSAIF Responsabile progetto di Business Continuity Banca Nazionale del Lavoro Roma, 16 giugno 2005

Premessa Obiettivo di questa relazione è quello di proporre alcune considerazioni relativamente alla gestione della Business Continuity. Infatti, mentre i progetti, richiesti dalla recente normativa di Banca d’Italia, stanno procedendo nella redazione dei piani operativi per la mitigazione dei rischi, bisogna realizzare la struttura di Business Continuity Management che deve anche aggiornare le analisi d’impatto; in caso contrario, si rischia che a fine progetto (2006) i piani redatti non tengano conto dei mutamenti nel frattempo intervenuti, sia in termini di scenari e rischi, sia di processi critici. Assume quindi particolare attenzione il posizionamento organizzativo del Business Continuity Manager, soprattutto per le interrelazioni con la Sicurezza (ICT e fisica) ed il rischio operativo. Nel fare ciò, ho ritenuto opportuno trarre anche degli spunti per accennare ad alcune tipiche problematiche che sorgono nel corso del progetto. Prima, però, concedetemi due parole su ANSSAIF.

Premessa - ANSSAIF Lo Statuto - Art. 1 È costituita l’associazione senza fini di lucro “Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria (ANSSAIF)”, (…) avente come scopo: la partecipazione alla maturazione, in tutte le sedi opportune, anche universitarie, della consapevolezza dei problemi connessi alla necessaria protezione dei beni informatici, dei dati e delle informazioni, per garantirne la riservatezza, l’integrità e la disponibilità; la promozione di studi e ricerche nel campo della sicurezza ICT, curando altresì di individuare processi e momenti di integrazione della sicurezza logica e di quella fisica; la conservazione del patrimonio di esperienze professionali degli specialisti di sicurezza del settore, anche al termine della loro attività lavorativa.

Premessa - ANSSAIF Soci dell’Associazione sono esperti di sicurezza ICT operanti, o che hanno operato per un congruo periodo, in aziende di intermediazione finanziaria. Attualmente i soci appartengono a 14 tra le maggiori banche o gruppi bancari. Soci sponsor possono essere tutte le aziende o Enti che sono interessati ad avere informazioni e studi sui sistemi di sicurezza. Alla data, fra i soci sostenitori annoveriamo l’ASSOCIAZIONE BANCARIA ITALIANA, CLUSIT, ICAA, BMC, ET, EDS, KPMG, IBM, SYMANTEC, SIEMENS INFORMATICA, ERNST&YOUNG, ONESIS, CM Sistemi, …

Nella mia relazione, faccio riferimento ai seguenti documenti: Premessa Nella mia relazione, faccio riferimento ai seguenti documenti: Normativa della Banca d’Italia (15 luglio 2004) Metodologia ABI (settembre 2004) British Banker’s Association – “A Guide to Business Continuity Management” Financial Services Authority – A Survey on best practices.

Premessa Siccome non tutti i presenti potrebbero conoscere la normativa in vigore, faccio una breve ricapitolazione delle istruzioni di Vigilanza sulla continuità operativa.

Avvertenza Trattasi di una sintesi da me personalmente redatta. Cosa prevede la Vigilanza Avvertenza Trattasi di una sintesi da me personalmente redatta.

Banca d’Italia si è posta l’obiettivo di far sì che siano La normativa Banca d’Italia si è posta l’obiettivo di far sì che siano intraprese tutte le iniziative volte a ridurre a un livello ritenuto accettabile i danni conseguenti a incidenti settoriali e catastrofi estese che colpiscono direttamente o indirettamente l’azienda oppure sue controparti rilevanti. Ha quindi chiesto agli operatori di sistema e agli intermediari di predisporre un piano di continuità operativa entro il 2006. Scadenza intermedia: Le banche appartenenti a gruppi bancari con un attivo consolidato superiore a 5 mld.euro devono entro il 30.6.2005 presentare il progetto per la realizzazione del piano di continuità operativa.

La normativa Quali scenari vanno presi in esame? Distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche; Indisponibilità di personale essenziale per il funzionamento dell’azienda; Interruzione del funzionamento delle infrastrutture; Alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall’esterno attraverso le reti telematiche; Danneggiamenti gravi provocati da dipendenti.

Il piano di continuità operativa Il piano di continuità operativa, da realizzare entro il 2006… “è il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa dei processi aziendali critici”.

Il piano di continuità operativa Documenta: Le modalità per la dichiarazione di emergenza; L’organizzazione e le procedure da seguire in situazione di crisi; L’iter per la ripresa della normale operatività. Stabilisce: Il tempo massimo accettabile di ripartenza di sistemi e processi critici; Le regole di conservazione dei documenti importanti; Modalità e frequenza di generazione delle copie degli archivi di produzione; Le modalità per il ripristino presso i sistemi secondari; Le modalità di comunicazione con la clientela, le controparti rilevanti ed i media.

Il piano di continuità operativa Individua: Il personale essenziale per assicurare la continuità; Le località / siti da raggiungere; Le attività da porre in essere in caso di emergenza.

La normativa cosa richiede per giugno 2005 Per la nota scadenza di giugno si richiede di: Analizzare tutti i processi aziendali; Individuare i processi critici mediante: Identificazione del livello di rischio tenendo conto sia dei para- metri caratteristici della struttura organizzativa e della operatività Aziendale, sia dei rischi operativi, di mercato, liquidità,ecc.; Valutazione delle conseguenze di una interruzione del processo sotto i diversi profili (economico, reputazionale, ecc.);

La normativa cosa richiede per giugno 2005 E per ogni processo critico: Individuare il responsabile,le procedure informatiche di supporto,il personale addetto, le strutture logistiche interessate,le infrastrutture tecnologiche, di comunicazione … Definire il tempo massimo accettabile di interruzione; Definire i presidi organizzativi e le misure di emergenza commisurate ai rischi;

La normativa Individuare misure preventive, di emergenza e di ripristino, Valutare le soluzioni di continuità ipotizzate, sotto il profilo dei costi, investimenti, tempi e risorse previsti per la realizzazione; Documentare le soluzioni; Ottenere l’approvazione del Vertice Aziendale; Inviare le decisioni assunte alla Vigilanza.

Business Continuity Management process: metodologia ABI Di seguito è schematizzata la metodologia KPMG-NNI per la definizione e realizzazione di una strategia di continuità Le attività dalla 0 alla 3 sono attività progettuali necessarie allo sviluppo della strategia di continuità con scadenze diverse: 0-2 entro il 30/6/2005 e la 3 entro il 2006. L’attività 4 è una attività continuativa nel tempo a carico delle strutture della Banca che consiste nel mantenimento e aggiornamento della strategia e delle soluzioni di continuità adottate Fasi progettuali da svolgere una tantum Attività continuative a carico delle strutture della Banca Slide tratta da una presentazione KPMG – NNI.

Slide tratta da una presentazione KPMG – NNI. Business Continuity Management process: metodologia ABI Le attività attualmente in corso ’05-’06 X-----------------------------------X--------------X Slide tratta da una presentazione KPMG – NNI.

Il Business Continuity Manager (BCMgr) La normativa: L’Alta Direzione nomina il responsabile del piano di emergenza (…): “Il CdA stabilisce gli obiettivi e le strategie di continuità del servizio, assicura risorse umane, tecnologiche e finanziarie adeguate (…)”; domande: Il budget per il BCM è “annegato” nei budget delle diverse Funzioni Aziendali, o c’è uno specifico budget di cui risponde il BCMgr? Dalla normativa si evince che il CdA deve approvare la struttura ed il posizionamento organizzativo del BCM ed assegnare uno specifico budget. La responsabilità dello sviluppo, della manutenzione e delle verifiche del piano di emergenza è affidata dall’Alta Direzione a un esponente aziendale con posizione gerarchico-funzionale adeguata (…): Questa frase conferma che il BCMgr è una figura di rilievo nell’ambito dell’Azienda Le unità operative coinvolte nei processi critici individuano i responsabili di settore del piano di emergenza. Essi coordinano, per gli aspetti di competenza, i lavori per la definizione del piano, per l’attuazione delle misure previste nello stesso e per la conduzione delle verifiche. Ogni U.O. ed ogni Società controllata ha un BCMgr.

Business Continuity Management: il BCMgr Nulla si dice riguardo al posizionamento del BCMgr (struttura di “governance”? “line”? Staff al DG?), ovvero, se trattasi di una funzione di indirizzo od operativa. Vediamo allora cosa affermano altri autorevoli Enti.

Business Continuity Management: la BBA “a dedicated team and adequate resources to: manage the project” Challenge and guide the business Report to the Steering Committee and other stakeholders” (…) Si parla di una struttura aziendale a ciò dedicata. “Appointed individuals in each business function to: Provide data Analyze requirements Help develop the strategy for their function” (…) Anche la BBA mette l’accento sulle responsabilità delle U.O. nel BCM “appointed individuals from critical resource areas such as Facilities, HR and IT Operations, Telecommunications and Desktop support, as part of the project team to develop, implement and test the recovery solutions”. Appare limitativo. Si parla di “team di progetto”: e a regime?

Business Continuity Management: la FSA “clear accountability” “senior management sponsorship” “day to day BCM responsibility of a dedicated function” “staff involved in BCM are set clear objectives and key performance indicators” “separate BCM budgets are allocated to the BCM function and the DR team within it” Anche la FSA parla di una struttura aziendale dedicata alla BCM. Al personale addetto sono assegnati obiettivi e KPI. Ogni BCMgr ha il suo budget Il budget di Disaster Recovery è incluso in quello di BCM. A differenza della normativa italiana, si introduce uno sponsor ad alto livello (forse proprio perché non è stata prevista la nomina del BCMgr da parte del Vertice Aziendale).

Business Continuity Management: il BCMgr Rimangono ancora aperte le domande che ci eravamo posti. Proviamo allora a cercare una risposta andando ad esaminare le attività nelle quali è impegnato, a regime, il BCMgr, su quali fonti informative si basa per rispondere adeguatamente alla sua “mission” e, quindi, le corrispondenti funzioni aziendali. Non ultimo, si devono analizzare le interrelazioni con il Crisis Manager. A seguito di queste analisi probabilmente siamo in grado di rispondere alle domande che ci siamo posti.

Business Continuity Management: le attività Documentazione dei processi e procedure per i team per rispondere prontamente ad un incidente; Modifica alle procedure degli utenti per migliorare la qualità della risposta dell’azienda in caso di disastro; Modifiche all’ICT necessarie per supportare le strategie di recovery stabilite; Modifiche alle applicazioni IT per agevolare la migrazione in un’altra installazione e per assicurare un’operatività degradata; Scelta di nuovo hardware e software per supportare l'infrastruttura di recovery; Incremento delle protezioni fisiche e degli apparati di continuità (UPS, generatori, ecc.) Scelta di un sito alternativo, in house o in sourcing; Test dei piani e delle infrastrutture di recovery, Aggiornamento dei piani; Formazione del personale coinvolto nel BCPlanning; Comunicazione al Vertice sulle risultanze dei test dei piani di emergenza e formulazione proposta di budget.

La continuità operativa: Fonti Informative La normativa prevede: “…le banche aggiornino la valutazione dei rischi operativi, adeguino le strategie in tema di sicurezza e rafforzino i presidi di emergenza in modo da garantire adeguati livelli di continuità operativa.” La continuità operativa: “… la gestione della continuità operativa comprende tutte le iniziative volte a ridurre ad un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un’azienda.” Danni: Probabilità x vulnerabilità x impatto economico

Fonti informative Probabilità: Vulnerabilità: Impatto economico: Eventi rari / rarissimi: chi fornisce il dato? Il Risk management? Ha le perdite attese (loss collection; archivio ABI; ecc.). E quelle inattese? L’ORM deve dare l’informazione. L’information sharing fra banche può essere una fonte da non trascurare. ANSSAIF ha un team dedicato ed un’apposita sezione sul sito. Vulnerabilità: L’unico modo è eseguire periodicamente l’analisi del rischio. Il rapporto CIPA sul rischio informatico costituisce una base di riferimento. Impatto economico: Questo dato è fornito dalla Business Impact Analysis.

Business Continuity Management: il BCMgr Il BCMgr garantisce “adeguati livelli di continuità operativa”. Lo sforzo che deve fare l’azienda è più sulla prevenzione che sulla gestione dell’emergenza (ridurre le probabilità di accadimento), specialmente quando si tratta di attacchi dall’interno o dall’esterno, anche attraverso reti telematiche (cfr.normativa). IL BCMgr necessita di informazioni e competenze fondamentalmente presenti in strutture di linea (Operations), fatta eccezione per le risorse umane e i rischi. Riflessione: il BCMgr non può essere responsabile di tutto, ma neanche limitarsi a verificare che tutto venga espletato al meglio! Allora, forse è legittima la domanda: è da escludere la sua collocazione in una struttura di linea, nella quale si presidiano i processi e le risorse?

Business Continuity Management: il BCMgr BCMgr e Crisis Manager. Innanzitutto dobbiamo chiarire: con Crisis Manager, chi si vuole indicare? Un alto dirigente della banca, in grado di prendere decisioni in modo autonomo, avendo anche dei poteri di spesa per il ruolo ricoperto? Oppure, è una figura prettamente operativa, che è sul luogo del disastro finché non è tutto risolto, e che riporta ad un Comitato ristretto di elevato livello? il BCM predispone e prova il piano di emergenza. Il Crisis Manager interviene solo quando c’è la crisi? Ed attua il piano predisposto da un’altra funzione? BCMgr e CM sono due figure operative, decisionisti, esperti conoscitori delle problematiche in gioco (umane innanzitutto, ma anche organizzative e tecnologiche). Quindi? Non si tratta della stessa persona?

Il BCMgr – conclusioni Il BCMgr è nominato dall’Alta Direzione, ha un budget ed una struttura, approvati dal CdA, che devono consentirgli di far fronte a quanto necessario per assicurare all’Azienda di ridurre le conseguenze derivanti dal verificarsi di incidenti o catastrofi anche estese. Coordina le attività dei BCM delle Unità Organizzative e delle Società del Gruppo. Può avere la responsabilità del Disaster Recovery; il piano di D/R rientra nel Piano di Emergenza, di cui è responsabile. Per la sua attività necessita di informazioni relative a: scenari di rischio, probabilità di accadimento di incidenti e catastrofi, vulnerabilità degli assets. Esegue periodicamente una B.I.A. E’ allocato in una struttura di linea, qualora abbia un ruolo di effettiva responsabilità nel garantire adeguati livelli di continuità o sia anche Crisis Manager. Ciò anche se sarebbe preferibile fosse in staff a DG / AD, possibilmente con responsabilità di Security ICT e fisica (cfr. ABILab– Sicurezza Trasversale). Altrimenti, è allocato in una struttura di Governance (Risorse Umane; Risk management), se è cioè responsabile di “indirizzare” e coordinare gli interventi di BCM.

grazie per l'attenzione! The end Spero di avervi fornito qualche spunto di riflessione. grazie per l'attenzione!