1
Business Continuity Management. Gli standard ISO 22301 e ISO
22313
Workshop formativo
Padova, 28 aprile 2016
2ISACA VENICE Chapter
Agenda
◆TERMINOLOGIA, QUALI SONO I TERMINI UTILIZZATI E IL LORO SIGNIFICATO
◆INTRODUZIONE ALLA NORMA, IL SISTEMA DI GESTIONE DELLA CONTINUITÀ OPERATIVA
◆COSA DEVE FARE UNA ORGANIZZAZIONE PER CERTIFICARSI; GLI ELEMENTI PRINCIPALI CHE DEVONO ESSERE PREDISPOSTI
28/04/2016
3
La continuità operativa rappresenta la capacità di una organizzazione di continuare a fornire i servizi strategici in conformità a livelli accettabili e predefiniti, a seguito di un evento destabilizzante.
Business Continuity: social security
Il fatto di inserire la gestione della continuità operativa (BCM) nel quadro e nelle discipline di un sistema di gestione crea unsistema di gestione per la continuità operativa (BCMS) che consente al BCM di esserecontrollato, valutato e continuamente migliorato.
ISO 22300 (Terminologia)ISO 22301 (Requisiti)ISO 22313 (Guida applicativa)
4
Le attività possono essere destabilizzate da una grande varietà di eventi, molti dei quali sono difficili da prevedere o analizzare.
Concentrando l’attenzione sull’impatto dell’evento destabilizzante, piuttosto che sulla causa, la continuità operativa
identifica quelle attività e risorse sulle quali l’organizzazione si basa per la propria sopravvivenza e consente all’organizzazione di determinare cosa sia necessario per continuare a soddisfare i suoi impegni.
•processi operativi •persone, siti, tecnologie e informazioni•catena di fornitura•parti interessate•reputazione
Business Continuity: social security
La resilienza è la capacità di un sistema di adattarsi al
cambiamento
❑ in ingegneria, la resilienza è la capacità di un materiale di
assorbire energia di deformazione elastica
❑ in informatica, la resilienza è la capacità di un sistema di
adattarsi alle condizioni d'uso e di resistere all'usura in modo
da garantire la disponibilità dei servizi erogati
❑ in ecologia e biologia, la resilienza è la capacità di una
materia vivente di autoripararsi dopo un danno, o quella di
una comunità o di un sistema ecologico di ritornare al suo
stato iniziale, dopo essere stata sottoposta a una
perturbazione che ha modificato quello stato
5
Resilienza
La norma ISO 22301:2012
PLAN
4 Contesto dell’organizzazione
5 Guida e direzione (Leadership)
6 Pianificazione
7 Supporto
DO
8 Attività operative CHECK
9 Valutazione delle prestazioni ACT
10 Miglioramento
0 Introduzione
1 Campo di Applicazione
2 Riferimenti Normativi
3 termini e Definizioni
0 Introduzione
PLAN
4 Contesto dell’organizzazione
5 Guida e direzione (Leadership)
6 Pianificazione
7 Supporto
DO
8 Attività operative CHECK
9 Valutazione delle prestazioni ACT
10 Miglioramento
0 Introduzione
1 Campo di Applicazione
2 Riferimenti Normativi
3 termini e Definizioni
Poiché si parla di requisiti la norma è certificabile, come
precisato al paragrafo 1 punto d).
La norma si riferisce all'attività di prevenzione-contrasto-
recupero da mettere in atto in un qualsiasi settore di attività:
ambiti produttivi, servizi in genere …
La norma si pone l'obiettivo di specificare i requisiti per
istituire, mettere in opera e gestire un efficace Sistema di
Gestione della Continuità Operativa (BCMS – Business
Continuity Management System).
ISO 22301:2012
8
1 Campo di Applicazione
PLAN
4 Contesto dell’organizzazione
5 Guida e direzione (Leadership)
6 Pianificazione
7 Supporto
DO
8 Attività operative CHECK
9 Valutazione delle prestazioni ACT
10 Miglioramento
0 Introduzione
1 Campo di Applicazione
2 Riferimenti Normativi
3 termini e Definizioni
Campo di applicazione
la norma è orientata a tutte le organizzazioni
indipendentemente dalla dimensione, settore
commerciale o tipologia e fornisce le specifiche ai
responsabili di gestione del programma della Continuità
Operativa (Business Continuity)
Approccio
L'approccio della norma si basa sull' analisi del contesto
dell'organizzazione con l'obiettivo di capire quali sono i
processi i/servizi critici e quali sono le esigenze di
continuità da parte degli stakeholder principali
ISO 22301:2012
10
2 Riferimenti Normativi
PLAN
4 Contesto dell’organizzazione
5 Guida e direzione (Leadership)
6 Pianificazione
7 Supporto
DO
8 Attività operative CHECK
9 Valutazione delle prestazioni ACT
10 Miglioramento
0 Introduzione
1 Campo di Applicazione
2 Riferimenti Normativi
3 termini e Definizioni
12
Requisiti legali e regolamentari
Tutti i sistemi di gestione dovrebbero operare nel quadro dell’ambiente legale e regolamentare, in cui l’organizzazione opera.
L’organizzazione dovrebbe identificare e tenere in considerazione tutti i requisiti rilevanti ed applicabili di tipo legale e regolamentare, ai quali essa aderisce, e le esigenze di soggetti interessati.
Le informazioni che riguardano questi requisiti dovrebbero essere documentate e tenute aggiornate.
Quando si stabilisce, attua e mantiene un BCMS, l’organizzazione dovrebbe tenere conto e documentare tutti i requisiti applicabili di tipo legale, nonché altri requisiti ai quali l’organizzazione aderisce, e le esigenze di parti interessate.
3 Termini e Definizioni
PLAN
4 Contesto dell’organizzazione
5 Guida e direzione (Leadership)
6 Pianificazione
7 Supporto
DO
8 Attività operative CHECK
9 Valutazione delle prestazioni ACT
10 Miglioramento
0 Introduzione
1 Campo di Applicazione
2 Riferimenti Normativi
3 termini e Definizioni
I due indicatori più noti della Continuità Operativa sono:
•RTO (Recovery Time Objective): esprime l'arco temporale massimo entro cui il ripristino delle risorse minime deve essere garantito, al fine di contenere gli impatti, legati all'indisponibilità, a livelli sopportabili.
• E' assunto come obiettivo e si determina in base al tempo di fermo accettabile in caso di disastro o di interruzione.
• Indica il momento più lontano nel tempo (in avanti e dopo il disastro) in cui occorre far ripartire le attività di business.
•RPO (Recovery Point Objective): rappresenta l'intervallo temporale massimo a cui far riferimento per individuare il punto di ripristino dei dati e/o del sistema (dall'ultimo salvataggio delle informazioni disponibili).
• E' assunto come obiettivo e si determina in funzione della perdita di dati ammissibile in caso di interruzione delle attività operative.
• Indica il momento più lontano nel tempo (all'indietro e prima del disastro) fino al quale occorre poter recuperare i dati. Può essere indicato come “massima perdita di dati”.
14
TERMINOLOGIA
Attività di Valutazione
Ultimo
Back-Up
Disastro
Crisi
RPO RTO
Attività di Ripristino
Ripartenza Fine Crisi
Fase di Rientro
RientroFase di Riattivazione
ISO 22301:2012 Terminologia
Maximum acceptable outage (MAO) - Massima interruzione accettabile
Maximum tolerable period of disruption (MTPD) – Massimo periodo di interruzione (del servizio) tollerabile
Minimum business continuity objective (MBCO) – Livello minimo di operatività accettabile durante la crisi
Terminologia: qualche altro termine particolarmente interessante
16
Terminologia: il senso del BCMS
17
Time
Servicelevel
Normal level of serviceMTPD
Incident
RTO
18
Minimum level of service
OK!
MTPD e RTO (A)
Time
Servicelevel
Normal level of serviceMTPD
Incident
RTO
19
Minimum level of service
OK! ma non è la situazione
ideale
MTPD e RTO (B)
Time
Servicelevel
Normal level of serviceMTPD
Incident
RTO
20
Minimum level of service
Disastro!
MTPD e RTO (C)
BCMS efficace a fronte di un improvviso eventodestabilizzante
BCMS efficace a fronte di un evento destabilizzante graduale, per esempio una pandemia
23
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
24
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
4.1 Capire l'organizzazione ed il suo contesto
Finalità aziendali e definizione dei fattori (interni-esterni)
rilevanti per il business e la continuità
4.2 Esigenze e requisiti
Definizione delle Parti interessate ed analisi delle
esigenze di ciascuna compresi gli obblighi di legge
4.3 Il sistema di gestione e l'ambito
Definizione dell'ambito della gestione e del perimetro del
sistema. Individuazione delle criticità in ambito
4.4 Sistema di gestione della Continuità Operativa
Il sistema BCMS deve rispettare i requisiti della norma
(non sono previste esclusioni).
Requisito 4 Requisiti generali
25
Determinare i problemi interni ed esterni che sono rilevanti dell'ambito e che possono
influenzare la capacità di raggiungere i risultati attesi del Sistema di Gestione della
Buisness Continuity (BCMS) come:
– le attività dell'organizzazione, le funzioni, i servizi, i prodotti, le partnership, le catene di fornitura, i rapporti con le parti interessate e il potenziale impatto
legato ad un avvenimento dirompente;
– collegamenti tra la politica di continuità aziendale e gli obiettivi
dell'organizzazione e di altre policies, compresa la strategia generale di
gestione del rischio;– propensione al rischio dell'organizzazione (risk appetite);
– le esigenze e le aspettative delle parti interessate pertinenti;
– legislazione applicabile, regolamentazione e altri requisiti sottoscritti
dall'organizzazione.
Individuare l'ambito del Sistema di Gestione della Business Continuity (BCMS),
tenendo conto degli obiettivi strategici dell'organizzazione, i principali prodotti e
servizi, la tolleranza al rischio, e qualsiasi normative, contratti o obblighi con gli
stakeholder (parti interessate).
26
Requisito 4 : Contesto dell'organizzazione
L’organizzazione dovrebbe determinare il campo di applicazione del BCMS e assicurarsi che esso sia stato correttamente comunicato alle parti interessate.
Il campo di applicazione determina i prodotti e i servizi, i siti, le funzioni, i processi e le attività cui il BCMS si applica. Da ciò consegue che tutte le dipendenze saranno comprese nel campo di applicazione, anche se non sono state esplicitamente identificate nella dichiarazione di campo di applicazione.
Per esempio, se “salari dei dipendenti” è specificato nel campo di applicazione, per default la disponibilità di fondi, l’approvazione della direzione e le istruzioni alle istituzioni finanziarie per effettuare i pagamenti rientrano entro il campo di applicazione.
27
Requisito 4 : Campo di Applicazione
28
Esempio di “parti interessate”
29
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
Requisito 5 Leadership
Il top management deve dimostrare un impegno continuo per il Sistema di
Gestione della Business Continuity (BCMS).
La responsabilità avviene:– assicurando la compatibilità del BCMS con la direzione strategica
dell'organizzazione
– integrando i requisiti del BCMS nei processi di business dell'organizzazione
– fornendo le risorse necessarie per il BCMS
– comunicando l'importanza della gestione della continuità aziendale efficace– assicurando che il BCMS raggiunga i risultati attesi
– gestendo e sostenendo il miglioramento continuo;
– stabilendo e comunicando una politica di continuità aziendale;
– assicurando che siano stabiliti obiettivi e piani del BCMS
– assicurando l'assegnazione delle responsabilità e autorità per ruoli rilevanti
30
ISO 22301:2012
Requisito 5 Leadership
5.1 Generalità sulla capacità della Direzione
Orientare – pianificare - controllare la gestione
Mantenere allineati i comportamenti individuali e la strategia
delle operazioni e della continuità
5.2 Impegno della Direzione
Sviluppare organicamente la Strategia del business e politica
della continuità
Mettere a disposizione risorse adeguate alla strategia
5.3 Politica del BCMS
5.4 Ruoli, strutture, responsabilità autorità
31
ISO 22301:2012
a) Principi generali circa lo scopo del BCM
b) Criteri di finanziamento del progetto BCM
c) Principi, linee guida
d) Standard di riferimento
e) Prodotti/servizi esclusi, ubicazioni non incluse
f) Responsabilità per outsourcers
5.3 Politica del BCMS
32
ISO 22301:2012
Un Modello utilizzato per aiutare a definire i Ruoli e le Responsabilità.
33
RUOLI E RESPONSABILITÀ: MODELLO RACI
REGOLE DI COMPILAZIONE:
•Solo un A (accountable)•Deve esserci sempre un A (che può essere definito anche a livello di processo)•Posso attribuire + R…le responsabilità possono essere condivise solo se i ruoli sono sufficientemente chiari•Devo attribuire almeno un R•C e I solo se necessari…è necessario consultare altre persone? Sono stati identificati dei canali di comunicazione con altre persone?
34
RUOLI E RESPONSABILITÀ: MODELLO RACI
35
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
Requisito 6 - Pianificazione della realizzazione del BCMS
In coerenza con il quadro strategico e culturale si definiscono gli
obiettivi a lungo, medio e breve termine.
6.1 Azioni di indirizzamento del rischio ed opportunità - Rischi di
progetto
Fattori inibitori
Criteri per assicurare il miglioramento continuo
6.2 Obiettivi di BC e piani per il raggiungimento - Piani organici e
completi
Obiettivi definiti e misurabili, derivati dalla policy
Individuazione dei prodotti e servizi critici in ambito
Assegnazione obiettivi ai responsabili aziendali
Macro piano attività, risorse e criteri di completamento
36
ISO 22301:2012
Azioni indirizzate a rischi e opportunità
Obiettivi della continuità operativa
Obiettivi della continuità operativa: esempi
40
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
Nel requisito 7 sono dettagliati gli elementi essenziali per sostenere la definizione , l'implementazione , l'esercizio ed il mantenimento del Sistema di Gestione della Business Continuity (BCMS)
Tra questi:•I requisiti delle risorse coinvolte/utilizzate•Le competenze del personale coinvolto•Consapevolezza•La sensibilizzazione e le caratteristiche relative alla comunicazione con gli stakeholders•I requisiti per la gestione della documentazione
La gestione quotidiana di un efficace business continuity management system (BCMS) si basa sull'utilizzo di risorse appropriate per ogni attività.
Requisito 7 – Elementi chiave di Supporto
41
ISO 22301:2012
Per eseguire con successo i piani è necessario il supporto dell'organizzazione in termini di:
7.1 Risorse Finanziarie, di conoscenza e di altro tipoQueste includono personale competente con rilevante (e dimostrabile) formazione e supporto ai servizi, consapevolezza e comunicazione.
7.2 Competenze,Analisi dei fabbisogni e dei gap, obiettivi formativi
7.3 Consapevolezza7.4 Sistema di comunicazioni interne/esterne
Comunicazioni interne ed esterne dell'organizzazione devono essere trattate in questo requisito, incluso il formato, il contenuto e la corretta tempistica di tali comunicazioni.
7.5 Sistema documentaleIl tutto deve essere supportato da informazioni documentate adeguatamente gestite.
Requisito 7 - Supporto
42
ISO 22301:2012
Requisito 7 – Supporto
7.5 Sistema documentale
Necessità di gestire la documentazione con un sistema controllato (7.5) come previsto per le altre norme ISO, che assicuri la presenza dei documenti minimi specificati nei vari capitoli/paragrafi della norma. I principali documenti sono stati indicati in apertura di questo capitolo. L'estensione della documentazione può variare in funzione della complessità dell'organizzazione
Nota: secondo le indicazione della ISO Guide 83 non si parla più di procedure documentate o registrazioni, ma di informazioni documentate.
Nella ISO 22313 è proposto un elenco esaustivo della documentazione da prevedere.
43
ISO 22301:2012
Requisito 7 – Supporto Documentazione richiestaSi deve definire per ogni rischio collegabile alla Gestione della Business Continuity una serie di documenti relativi a:
• Politica di BC • Modello di funzionamento dell'organizzazione a cui si applica il sistema BC. • Processo per garantire la conformità a requisiti legali e regolamentari• Ambito dell'organizzazione a cui si applica il sistema BC• Piano della comunicazione• Obiettivi del sistema (scritti e quantificabili)• Business Impact Analysis (BIA): analisi dell'organizzazione ed individuazione dei
prodotti/servizi/processi critici e loro priorità in funzione dell'impatto e dei vari scenari di rischio
• Risk assessment: definizione di quali prodotti/servizi/processi saranno oggetto di soluzioni BC
• Strategie di progettazione della soluzione BC e dimensionamento risorse• Piano di gestione incidenti (per minimizzare l'evento), • Piano per il ripristino di servizi/processi• Piano per il ritorno alla normalità• Evidenza dei test dei piani BC• Evidenza del monitoraggio del sistema, degli audit, dei riesami di direzione, del ciclo di
miglioramento44
ISO 22301:2012
45
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
Un BCM comprende i seguenti elementi
46
ISO 22301:2012 – L’operatività
8.1 Pianificazione e controlli operativi
L’efficacia della pianificazione e dei controlli operativi rappresenta il punto focale della gestione per la continuità operativa. Questa attività dovrebbe essere guidata da un responsabile individuato dall’alta direzione.
-La gestione dell’ambiente BCM (obiettivi, ruoli, costi, documenti, ecc.)-Mantenimento e aggiornamento; programmi di esercitazioni; riesame, …-Misurazione dell’efficacia, monitoraggio, audit, …
8.1 Pianificazione e controlli operativi: audit (8.1.5)
Quali elementi di efficacia dovrebbe riscontrare un’audit?
a) la garanzia che l’obiettivo, i ruoli e le responsabilità per la gestione per la continuità abbiano una costante rilevanza;b) la promozione e l’inserimento dell’operatività in tutte le aree dell’organizzazione e altre parti interessate, laddove appropriato;c) la gestione dei costi associati con la continuità operativa;d) lo stabilire e tenere sotto controllo la gestione del cambiamento e i regimi successivi di gestione, all’interno del sistema di del BCMS;e) l’allestimento o la somministrazione di appropriato addestramento per il personale, inclusa la sensibilizzazione; ef) il mantenimento della documentazione del programma, in modo che sia appropriata alla dimensione e alla complessità dell’organizzazione.
8.2 Analisi dell’impatto sull’operatività e valutazione del rischio
È possibile giungere a una comprensione delle priorità e dei requisiti della continuità operativa, grazie a un’analisi dell’impatto sull’operatività (business impact analysis - BIA) e una valutazione del rischio. L’analisi dell’impatto sull’operatività consente all’organizzazione di stabilire delle priorità nella ripresa, legata alle attività che supportano i suoi prodotti e servizi.
La valutazione del rischio facilita la comprensione dei rischi connessi alle attività primarie e le interconnessioni con le conseguenze anche potenziali di un evento destabilizzante. Questa comprensione permette all’organizzazione di individuare le appropriate strategie di continuità operativa.
8.2 Analisi dell’impatto sull’operatività e valutazione del rischio
L’obiettivo di un’analisi dell’impatto sull’operatività è:
- comprendere quali sono i prodotti e servizi principali dell’organizzazione e le attività che permettono di fornirli;- determinare le priorità e i tempi necessari per riprendere l’attività (RTO);- identificare le risorse principali che sono probabilmente necessarie per la ripresa della operatività;- identificare le dipendenze, le correlazioni tra attività sia interne sia esterne (inclusi i fornitori);- la stima del tempo necessario perché l’impatto associato con la destabilizzazione sull’attività dell’organizzazione possa diventare inaccettabile (MAO, MTPD);- il minimo livello di servizi o prodotti accettabile (MBCO);- valutare gli impatti.
Requisito 8.2.2 Business Impact Analysis (BIA)
Focus on risk reduction
Balancedcontinuityapproach
Critical
High
Medium
Low
1 week 2 weeks 3 weeks 4 weeks 5 weeks
Time
Im pa ct
Focus on recovery
BIA – Grafico di impatto sul
Business
Un output dell'attività della BIA può
identificarsi in un grafo che prevede
gli impatti causati dalla perdita di un
processo o di un servizio nel corso
del tempo
Con la BIA si identificano le funzioni di business vitali e le loro dipendenze. Queste
dipendenze possono includere fornitori, persone, processi altre aziende, servizi, ecc. La
Business Impact Analysis definisce i requisiti di ripristino. Questi requisiti includono
obiettivi dei tempi di recupero, gli obiettivi di recupero e punti di obiettivi minimi livelli di
servizio per ciascun servizio.
51
ALTO IMPATTO
BASSO IMPATTO
Impatti: spesso l’unico risultato della BIA
BIA e valutazione del rischio per comprendere chi siamo
8.2 Analisi dell’impatto sull’operatività e valutazione del rischio
Cosa dire del rischio che già non sia stato detto.
Il problema non è cosa si dice o si ascolta, il problema è capire che senza una attento, continuo e gestito processo di governo dei rischi non si può organizzare una risposta efficace ed efficiente.
Anche se a volte può funzionare, la fortuna non è una misura di sicurezza.
Con la BIA identifico processi, i tempi, ecc.; con l’analisi del rischio valuto i rischi; solo attraverso questo percorso posso identificare e gestire una strategia di Business Continuity, che sia realmente utile.
8.3 Strategia di continuità operativa
Identificare azioni necessarie per tenere sotto controllo i risultati dell’analisi dell’impatto sulla continuità e della valutazione di rischio, in modo tale da soddisfare gli obiettivi di continuità operativa dell’organizzazione; in altre parole: Quale strategia adottare? Quali opzioni?
Qui si determinano le scelte concrete di BC. Ad esempio:
•suddividere le linee di produzione e fabbricazione in due diversi siti;•installare un generatore elettrico;•trasferire l’attività a un soggetto terzo (anche se la responsabilità rimane all’organizzazione delegante);•creare una capacità di riserva nei magazzini;•temporanea modifica dei cicli di lavoro: alcune attività possono adottare un modo diverso di lavorare che permette di ottenere risultati accettabili per un tempo limitato.
8.3.1.5 La continuità operativa dei fornitori
L’organizzazione deve accertarsi che i fornitori abbiano valutato la loro capacità dicontinuità operativa.L’organizzazione può concentrare i suoi sforzi sui fornitori che, nonessendo in grado di fornire, potrebbero causare più rapidamente una destabilizzazionedelle attività prioritarie.
Le tecniche possono includere:- una specifica dei requisiti da inserire in bandi di gara e contratti;- audit periodici dei piani del fornitore;- degli esercizi di continuità operativa congiunti.
Esclusioni
Prima di proseguire è bene chiarire una cosa:
Le opzioni strategiche di continuità operativa per stabilizzare, continuare, riprendere o recuperare un’attività prioritaria possono talvolta essere estremamente costose.
Quando l’organizzazione ritiene che possa verificarsi questo caso, dovrebbe scegliere o strategie alternative che siano economicamente accettabili e soddisfino gli obiettivi di continuità operativa, oppure indicare che i prodotti e servizi coinvolti sono esclusi dall’obiettivo del BCMS.
8.3.2 La definizione delle risorse
• Una volta decise le azioni (quali strategie attuare) si devono determinare con chi e con cosa dare seguito a queste azioni.
• Persone, squadre di intervento o singoli individui
• Informazioni e dati ( →RPO)
• Edifici, ambienti di lavoro e apprestamenti associati
• Locali, attrezzature, materiale di consumo
• Sistemi tecnologici (ICT)
• Trasporti
• Mezzi finanziari
• Fornitori
Un breve approfondimento sulle informazioni e i dati: la distanza
Se l’informazione duplicata è archiviata in una posizione troppo vicina alla copia originale, l’eventodestabilizzante può compromettere la sua integrità e impedire l’accesso. Tuttavia, il fatto che l’informazione siaarchiviata a grande distanza può opporsi al fatto che essa sia rapidamente disponibile quando necessario.È appropriato avere a disposizione un’evidenza scritta di come questi due elementi conflittuali sono stati risolti.
8.4 Predisposizione e attuazione di procedure per la BC
Il fatto di attuare delle procedure per la continuità operativa permette di
•creare una struttura di risposta a un incidente (punto 8.4.2),•i mezzi per individuare e fronteggiare un incidente (punto 8.4.3),•i piani di continuità operativa (punto 8.4.4) e•le procedure per il ritorno alla normale operatività (punto 8.4.5).
8.4 Predisposizione e attuazione di procedure per la BC
8.4 Predisposizione e attuazione di procedure per la BC
8.4 Predisposizione e attuazione di procedure per la BC
• Molta importanza viene data alla modalità di allerta e comunicazione, sia per quanto riguarda la definizione di procedure per la comunicazione degli incidenti, sia nel merito della individuazione degli strumenti per la comunicazione degli incidenti.
• Una valutazione dei canali di comunicazione che potrebbe essere stati coinvolti nell’incidente è richiesta.
• La ISO 22313 dimostra tutta la sua validità come guida alla produzione e gestione della documentazione e alla predisposizione di procedure operative.
8.4.4 Piani di continuità operativa
L’organizzazione «dovrebbe» definire delle procedure documentate che permettano all’organizzazione di rispondere a un incidente e trattare in modo appropriato la ripresa e il recupero delle proprie attività.
Queste procedure dovrebbero prendere in considerazione tutti gli aspetti della risposta a un incidente, con particolare attenzione ai problemi di salvaguardia della vita umana, e dovrebbero prendere in considerazione i requisiti di tutti coloro che utilizzeranno questi aspetti.
Per determinare questi requisiti, può essere appropriato:
- coinvolgere coloro che utilizzeranno le procedure nello sviluppo delle stesse;- utilizzare le informazioni ottenute durante le fasi di esercitazioni e le lezioni apprese durante precedenti eventi destabilizzanti.
La scala dei tempi e i livelli di prestazioni dovrebbero essere basati sulle informazioni raccolte durante l’analisi di impatto sull’operatività (punto 8.2.2) e la strategia di continuità operativa che è stata prescelta (punto 8.3.1).
8.4.4 Piani di continuità operativa: dettagli puntuali
• 8.4.4.2 Contenuto dei piani di CO
• 8.4.4.3 Tipi specifici di procedure
• 8.4.4.3.1 Procedure per la gestione dell’incidente e la gestione strategica
• 8.4.4.3.2 Procedure di comunicazione• 8.4.4.3.3 Procedure di sicurezza e tutela del benessere• 8.4.4.3.4 Procedure di salvataggio e sicurezza• 8.4.4.3.5 Procedure per la ripresa dell’attività• 8.4.4.3.6 Ripristino dei sistemi ICT (ulteriori linee guida
possono essere trovate nella ISO 27031)
8.4.5 Recupero
L’organizzazione dovrebbe disporre di procedure documentate per il ripristino dell’attività operativa, passando dalle misure temporanee, adottate dopo un incidente, sino al ripristino dell’attività normale. Queste procedure dovrebbero affrontare i requisiti pertinenti per gli audit e per la governance societaria.
L’obiettivo del recupero è quello di riprendere le attività operative in grado di supportare la normale attività aziendale, a seguito di un evento destabilizzante. Il ritorno alla normalità può essere ottenuto mediante:
- la riparazione dei danni conseguenti all’incidente;- la migrazione delle attività da ubicazioni temporanee sino all’ubicazione principale della attività recuperata; o- lo spostamento in una nuova ubicazione.
Una decisione su come meglio “ritornare alla normalità” va assunta sulla base della gravità del danno causato dell’incidente e da una stima di quanto tempo ci vorrà per poter attivare le appropriate attrezzature.
Procedura di recupero: dettaglio esemplificativo
Le procedure documentate dovrebbero dare una dettagliata valutazione della situazione e del suo impatto e dovrebbero individuare i vari passi necessari per il recupero. Durante il recupero, l’organizzazione può aver bisogno di:
a) definire le risorse di recupero e relative infrastrutture;b) riprendere l’attività nelle infrastrutture di recupero;c) riparare le attrezzature danneggiate;d) assicurarsi la disponibilità di finanziamenti per le attrezzature di emergenza;e) recuperare le attrezzature che si trovano nei siti danneggiati;f) attivarsi per il recupero dei danni a fronte di esistenti polizze assicurative;g) ottenere manodopera supplementare a supporto dello sforzo di recupero;h) selezionare opzioni per il ritorno alla normalità;i) spostare le attività in siti recuperati;j) recuperare informazioni documentate eventualmente smarrite;k) comunicare con soggetti terzi coinvolti, con la frequenza appropriata;l) normalizzare le attività negli insediamenti recuperati;m) sviluppare un riesame delle attività a seguito del recupero; en) sviluppare una analisi sui propri comportamenti secondo i requisiti della governanceaziendale.
8.5 Esercitazioni e test
Le procedure di continuità operativa di un’organizzazione e le relative predisposizioni non possono essere considerate affidabili finché non vengano verificate con esercitazioni e il loro aggiornamento non sia garantito.
L’esercitazione è essenziale per garantire che le strategie, le politiche, i piani e le procedure che sono state attuate, siano adeguate e possano soddisfare gli obiettivi di continuità operativa.
Le esercitazioni sviluppano il lavoro di squadra, la competenza, la fiducia e la conoscenza e dovrebbero includere coloro che possono aver bisogno di utilizzare le procedure.
Il programma di esercitazionePer quanto le procedure sembrino essere elaborate e meditate con accuratezza, una serie di efficaci e realistiche esercitazioni potranno identificare aree di miglioramento. Un programma di esercitazioni dovrebbe essere coerente con l’obiettivo delle procedure di continuità operativa, prestando appropriata attenzione a ogni applicabile disposizioni di legge o regolamento.
8.5.3 Esercitazioni afferenti ai piani di continuità operativa
Le esercitazioni possono essere allestite in una varietà di differenti formati. La decisionecirca la idoneità del tipo di esercitazione dipende dal contesto del BCM, gli obiettividell’esercitazione, il budget, la disponibilità dei partecipanti e il livello di tolleranzadell’organizzazione a possibili sconvolgimenti operativi, causati dallo svolgimentodell’esercitazione.
I principali tipi di esercitazioni sono descritti nella ISO 22398 (Societal security -Guidelines for exercises).
Come parte dell’esercitazione, dovrebbe essere pianificato un riesame con tutti ipartecipanti, per discutere gli argomenti evidenziati e le lezioni apprese. Questainformazione dovrebbe essere documentata e dovranno essere apportati degliaggiornamenti alle procedure, secondo necessità.
L’organizzazione dovrebbe fissare un debriefing dopo l’esercitazione, per analizzare ilraggiungimento degli obiettivi dell’esercitazione. A seguito dell’esercitazione, dovrebbeessere elaborato un rapporto con raccomandazioni e scadenze temporali per le loroattuazione.
L’importanza di eseguire test ed esercitazioni
ISO 22398:2013Societal security — Guidelines for exercises
Relation between exercise programme, exercise projects and continual improvement
71
Possibili modalità di test
72
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
73
PLAN
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione per la continuità operativaSistema di gestione per la continuità operativa
5 Guida e direzione (Leadership)
Leadership e impegno
Politica
Ruoli, responsabilità e autorità nell’organizzazione
6 Pianificazione
Azioni per affrontare rischi e opportunitàObiettivi per la continuità operativa e pianificazione per conseguirli
7 Supporto
Risorse
Competenze
Consapevolezza
ComunicazioneInformazioni documentate
DO
8 Attività operative
• Pianificazione e controlli operativi
• Analisi dell’Impatto sul Business e Valutazione del rischio
• Strategia di continuità operativa• Progettare e realizzare le procedure della BC
• Esercizio e Test
CHECK
9 Valutazione delle prestazioni
• Monitoraggio, misurazione, analisi e valutazione
• Audit interno
• Riesame di Direzione
ACT
10 Miglioramento
• Non conformità e azioni correttive
• Miglioramento continuo
Struttura della norma: capitoli dal 4 al 10
74
Cosa comporta il BCM …
… in altre parole, cosa ci si dovrebbe aspettare da un’organizzazione con un BCM efficacemente gestito?
chiarezza sui prodotti e servizi principali dell’organizzazione e sulle attività che permettono di fornirli (SLA management);
conoscenza delle priorità necessarie per riprendere l’attività e le risorse necessarie;
chiara comprensione delle minacce a queste attività, incluse le attività dipendenti e la conoscenza dell’impatto, ove esse non vengano riattivate;
predisposizione di piani verificati e affidabili che permettano di riprendere queste attività a seguito di un evento destabilizzante; e
certezza che questi piani siano regolarmente riesaminati ed aggiornati in maniera che possano essere effettivi a fronte di ogni circostanza.
Cosa fare per Certificarsi
gli elementi principali che devono essere predisposti:
❖Scopo, Contesto e Politica
❖BIA (Business Impact Analisys)
❖Risk Assessment
❖Piani e Test
❖Gestione Fornitori
75
Cosa DEVE fare una Organizzazione per Certificarsi
Documentazione ESSENZIALE:
gli elementi principali che devono essere predisposti:
✓Determinazione del contesto dell'organizzazione
✓Procedura per l'individuazione dei requisiti di legge e dei regolamenti
applicabili
✓Elenco dei requisiti di legge, regolamentari e di altro
✓Campo di applicazione della BCMS (Business Continuity
Management System) e la spiegazione delle esclusioni
✓Politica di business continuity
✓Obiettivi di business continuity
76
Cosa DEVE fare una Organizzazione per Certificarsi
Documentazione ESSENZIALE:
…segue:
✓Competenze del personale (destinato alla B.C.)
✓La comunicazione con le parti interessate
✓Processo per la BIA e la valutazione del rischio
✓Risultati della BIA
✓I risultati della valutazione dei rischi
✓Procedure di business continuity
✓Procedure di risposta agli incidenti
77
Cosa DEVE fare una Organizzazione per Certificarsi
Documentazione ESSENZIALE:
…segue:
✓Decisione se i rischi e gli impatti devono essere comunicati all'esterno
✓La comunicazione con le parti interessate, tra cui il sistema di allerta
rischio nazionale o regionale
✓Registrazione delle informazioni importanti circa l'incidente, le azioni
intraprese e le decisioni prese
✓Procedure di risposta agli incidenti distruttivi
✓Le procedure per il ripristino e il rientro dell'operatività dalla situazione
temporanea di emergenza
✓I risultati di interventi volti a risolvere risultati negativi o tendenze
78
Cosa DEVE fare una Organizzazione per Certificarsi
Documentazione ESSENZIALE:
…segue:
✓Dati e risultati del monitoraggio e della misurazione
✓I risultati della revisione post-incidente
✓I risultati degli audit interni
✓Risultati del riesame della direzione
✓Natura delle non conformità e delle azioni intraprese
✓Risultati delle azioni correttive
79
Cosa DEVE fare una Organizzazione per Certificarsi
80
ISO 22300, Societal security — Terminology
ISO 22301, Societal security — Business continuity management systems —Requirements
ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance
ISO 22320, Societal security — Emergency management — Requirements for incident responseISO 22398:2013 Societal security -- Guidelines for exercisesISO 31000, Risk management — Principles and guidelinesISO Guide 73, Risk management — VocabularyISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuityISO 19011, Guidelines for auditing management systems
Bibliografia
81
Business Continuity Management. Gli standard ISO 22301 e ISO
22313
Workshop formativo
Padova, 28 aprile 2016
Grazie dell’attenzione
Ing. Bruno Bernardi