Presentazione di PowerPoint - PowerPoint PPT Presentation

About This Presentation
Title:

Presentazione di PowerPoint

Description:

Business Continuity Management: la FSA clear accountability senior management sponsorship day to day BCM responsibility of a dedicated function ... – PowerPoint PPT presentation

Number of Views:78
Avg rating:3.0/5.0
Slides: 30
Provided by: apas154
Category:

less

Transcript and Presenter's Notes

Title: Presentazione di PowerPoint


1
Business Continuity Management
Alcune riflessioni alla luce della normativa,
della metodologia ABI e delle best practice
Ing. Anthony Cecil Wright Presidente
ANSSAIF Responsabile progetto di Business
Continuity Banca Nazionale del Lavoro
Roma, 16 giugno 2005
2
Premessa
  • Obiettivo di questa relazione è quello di
    proporre alcune considerazioni relativamente alla
    gestione della Business Continuity.
  • Infatti, mentre i progetti, richiesti dalla
    recente normativa di Banca dItalia, stanno
    procedendo nella redazione dei piani operativi
    per la mitigazione dei rischi, bisogna realizzare
    la struttura di Business Continuity Management
    che deve anche aggiornare le analisi dimpatto
    in caso contrario, si rischia che a fine progetto
    (2006) i piani redatti non tengano conto dei
    mutamenti nel frattempo intervenuti, sia in
    termini di scenari e rischi, sia di processi
    critici.
  • Assume quindi particolare attenzione il
    posizionamento organizzativo del Business
    Continuity Manager, soprattutto per le
    interrelazioni con la Sicurezza (ICT e fisica) ed
    il rischio operativo.
  • Nel fare ciò, ho ritenuto opportuno trarre anche
    degli spunti per accennare ad alcune tipiche
    problematiche che sorgono nel corso del progetto.
  • Prima, però, concedetemi due parole su ANSSAIF.

3
Premessa - ANSSAIF
  • Lo Statuto - Art. 1
  • È costituita lassociazione senza fini di lucro
    Associazione Nazionale Specialisti Sicurezza in
    Aziende di Intermediazione Finanziaria
    (ANSSAIF), () avente come scopo
  • la partecipazione alla maturazione, in tutte le
    sedi opportune, anche universitarie, della
    consapevolezza dei problemi connessi alla
    necessaria protezione dei beni informatici, dei
    dati e delle informazioni, per garantirne la
    riservatezza, lintegrità e la disponibilità
  • la promozione di studi e ricerche nel campo della
    sicurezza ICT, curando altresì di individuare
    processi e momenti di integrazione della
    sicurezza logica e di quella fisica
  • la conservazione del patrimonio di esperienze
    professionali degli specialisti di sicurezza del
    settore, anche al termine della loro attività
    lavorativa.

4
Premessa - ANSSAIF
  • Soci dellAssociazione sono esperti di sicurezza
    ICT operanti, o che hanno operato per un congruo
    periodo, in aziende di intermediazione
    finanziaria.
  • Attualmente i soci appartengono a 14 tra le
    maggiori banche o gruppi bancari.
  • Soci sponsor possono essere tutte le aziende o
    Enti che sono interessati ad avere informazioni e
    studi sui sistemi di sicurezza.
  • Alla data, fra i soci sostenitori annoveriamo
    lASSOCIAZIONE BANCARIA ITALIANA, CLUSIT, ICAA,
    BMC, ET, EDS, KPMG, IBM, SYMANTEC, SIEMENS
    INFORMATICA, ERNSTYOUNG, ONESIS, CM Sistemi,

5
Premessa
  • Nella mia relazione, faccio riferimento ai
    seguenti documenti
  • Normativa della Banca dItalia (15 luglio 2004)
  • Metodologia ABI (settembre 2004)
  • British Bankers Association A Guide to
    Business Continuity Management
  • Financial Services Authority A Survey on best
    practices.

6
Premessa
  • Siccome non tutti i presenti potrebbero conoscere
    la normativa in vigore, faccio una breve
    ricapitolazione delle istruzioni di Vigilanza
    sulla continuità operativa.

7
Cosa prevede la Vigilanza
  • Avvertenza
  • Trattasi di una sintesi da me personalmente
    redatta.

8
La normativa
Banca dItalia si è posta lobiettivo di far sì
che siano intraprese tutte le iniziative volte a
ridurre a un livello ritenuto accettabile i
danni conseguenti a incidenti settoriali e
catastrofi estese che colpiscono direttamente o
indirettamente lazienda oppure sue controparti
rilevanti.
Ha quindi chiesto agli operatori di sistema e
agli intermediari di predisporre un piano di
continuità operativa entro il 2006.
Scadenza intermedia Le banche appartenenti a
gruppi bancari con un attivo consolidato
superiore a 5 mld.euro devono entro il 30.6.2005
presentare il progetto per la realizzazione del
piano di continuità operativa.
9
La normativa
  • Quali scenari vanno presi in esame?
  • Distruzione o inaccessibilità di strutture nelle
    quali sono
  • allocate unità operative o apparecchiature
    critiche
  • Indisponibilità di personale essenziale per il
    funzionamento
  • dellazienda
  • Interruzione del funzionamento delle
    infrastrutture
  • Alterazione dei dati o indisponibilità dei
    sistemi a seguito di
  • attacchi perpetrati dallesterno attraverso le
    reti telematiche
  • Danneggiamenti gravi provocati da dipendenti.

10
Il piano di continuità operativa
Il piano di continuità operativa, da realizzare
entro il 2006 è il documento che formalizza i
principi, fissa gli obiettivi e descrive le
procedure per la gestione della continuità
operativa dei processi aziendali critici.
11
Il piano di continuità operativa
  • Il piano di continuità operativa
  • Documenta
  • Le modalità per la dichiarazione di emergenza
  • Lorganizzazione e le procedure da seguire in
    situazione di crisi
  • Liter per la ripresa della normale operatività.
  • Stabilisce
  • Il tempo massimo accettabile di ripartenza di
    sistemi e
  • processi critici
  • Le regole di conservazione dei documenti
    importanti
  • Modalità e frequenza di generazione delle copie
    degli archivi
  • di produzione
  • Le modalità per il ripristino presso i sistemi
    secondari
  • Le modalità di comunicazione con la clientela, le
    controparti
  • rilevanti ed i media.

12
Il piano di continuità operativa
  • Il piano di continuità operativa
  • Individua
  • Il personale essenziale per assicurare la
    continuità
  • Le località / siti da raggiungere
  • Le attività da porre in essere in caso di
    emergenza.

13
La normativa cosa richiede per giugno 2005
  • Per la nota scadenza di giugno si richiede di
  • Analizzare tutti i processi aziendali
  • Individuare i processi critici mediante
  • Identificazione del livello di rischio tenendo
    conto sia dei para-
  • metri caratteristici della struttura
    organizzativa e della operatività
  • Aziendale, sia dei rischi operativi, di mercato,
    liquidità,ecc.
  • Valutazione delle conseguenze di una interruzione
    del processo
  • sotto i diversi profili (economico,
    reputazionale, ecc.)

14
La normativa cosa richiede per giugno 2005
  • E per ogni processo critico
  • Individuare il responsabile,le procedure
    informatiche di
  • supporto,il personale addetto, le strutture
    logistiche
  • interessate,le infrastrutture tecnologiche, di
    comunicazione
  • Definire il tempo massimo accettabile di
    interruzione
  • Definire i presidi organizzativi e le misure di
    emergenza
  • commisurate ai rischi

15
La normativa
  • Individuare misure preventive, di emergenza e di
    ripristino,
  • Valutare le soluzioni di continuità ipotizzate,
    sotto il profilo
  • dei costi, investimenti, tempi e risorse
    previsti per la
  • realizzazione
  • Documentare le soluzioni
  • Ottenere lapprovazione del Vertice Aziendale
  • Inviare le decisioni assunte alla Vigilanza.

16
Business Continuity Management process
metodologia ABI
  • Di seguito è schematizzata la metodologia
    KPMG-NNI per la definizione e realizzazione di
    una strategia di continuità
  • Le attività dalla 0 alla 3 sono attività
    progettuali necessarie allo sviluppo della
    strategia di continuità con scadenze diverse 0-2
    entro il 30/6/2005 e la 3 entro il 2006.
    Lattività 4 è una attività continuativa nel
    tempo a carico delle strutture della Banca che
    consiste nel mantenimento e aggiornamento della
    strategia e delle soluzioni di continuità adottate

Fasi progettuali da svolgere una tantum
Attività continuative a carico delle strutture
della Banca
Slide tratta da una presentazione KPMG NNI.
17
Business Continuity Management process
metodologia ABI
Le attività attualmente in corso
05-06 X-----------------------------------X-----
---------X
Slide tratta da una presentazione KPMG NNI.
18
Il Business Continuity Manager (BCMgr)
La normativa
  • LAlta Direzione nomina il responsabile del piano
    di emergenza ()
  • Il CdA stabilisce gli obiettivi e le strategie
    di continuità del servizio, assicura risorse
    umane, tecnologiche e finanziarie adeguate ()
    domande
  • Il budget per il BCM è annegato nei budget
    delle diverse Funzioni Aziendali, o cè uno
    specifico budget di cui risponde il BCMgr?
  • Dalla normativa si evince che il CdA deve
    approvare la struttura ed il posizionamento
    organizzativo del BCM ed assegnare uno specifico
    budget.
  • La responsabilità dello sviluppo, della
    manutenzione e delle verifiche del piano di
    emergenza è affidata dallAlta Direzione a un
    esponente aziendale con posizione
    gerarchico-funzionale adeguata ()
  • Questa frase conferma che il BCMgr è una figura
    di rilievo nellambito dellAzienda
  • Le unità operative coinvolte nei processi critici
    individuano i responsabili di settore del piano
    di emergenza. Essi coordinano, per gli aspetti di
    competenza, i lavori per la definizione del
    piano, per lattuazione delle misure previste
    nello stesso e per la conduzione delle verifiche.
  • Ogni U.O. ed ogni Società controllata ha un BCMgr.

19
Business Continuity Management il BCMgr
  • Nulla si dice riguardo al posizionamento del
    BCMgr (struttura di governance? line? Staff
    al DG?), ovvero, se trattasi di una funzione di
    indirizzo od operativa.
  • Vediamo allora cosa affermano altri autorevoli
    Enti.

20
Business Continuity Management la BBA
  • a dedicated team and adequate resources to
  • manage the project
  • Challenge and guide the business
  • Report to the Steering Committee and other
    stakeholders ()
  • Si parla di una struttura aziendale a ciò
    dedicata.
  • Appointed individuals in each business function
    to
  • Provide data
  • Analyze requirements
  • Help develop the strategy for their function ()
  • Anche la BBA mette laccento sulle responsabilità
    delle U.O. nel BCM
  • appointed individuals from critical resource
    areas such as Facilities, HR and IT Operations,
    Telecommunications and Desktop support, as part
    of the project team to develop, implement and
    test the recovery solutions.
  • Appare limitativo. Si parla di team di
    progetto e a regime?

21
Business Continuity Management la FSA
  • clear accountability
  • senior management sponsorship
  • day to day BCM responsibility of a dedicated
    function
  • staff involved in BCM are set clear objectives
    and key performance indicators
  • separate BCM budgets are allocated to the BCM
    function and the DR team within it
  • Anche la FSA parla di una struttura aziendale
    dedicata alla BCM.
  • Al personale addetto sono assegnati obiettivi e
    KPI.
  • Ogni BCMgr ha il suo budget
  • Il budget di Disaster Recovery è incluso in
    quello di BCM.
  • A differenza della normativa italiana, si
    introduce uno sponsor ad alto livello (forse
    proprio perché non è stata prevista la nomina del
    BCMgr da parte del Vertice Aziendale).

22
Business Continuity Management il BCMgr
  • Rimangono ancora aperte le domande che ci eravamo
    posti.
  • Proviamo allora a cercare una risposta andando ad
    esaminare le attività nelle quali è impegnato, a
    regime, il BCMgr, su quali fonti informative si
    basa per rispondere adeguatamente alla sua
    mission e, quindi, le corrispondenti funzioni
    aziendali.
  • Non ultimo, si devono analizzare le
    interrelazioni con il Crisis Manager.
  • A seguito di queste analisi probabilmente siamo
    in grado di rispondere alle domande che ci siamo
    posti.

23
Business Continuity Management le attività
  • Documentazione dei processi e procedure per i
    team per rispondere prontamente ad un incidente
  • Modifica alle procedure degli utenti per
    migliorare la qualità della risposta dellazienda
    in caso di disastro
  • Modifiche allICT necessarie per supportare le
    strategie di recovery stabilite
  • Modifiche alle applicazioni IT per agevolare la
    migrazione in unaltra installazione e per
    assicurare unoperatività degradata
  • Scelta di nuovo hardware e software per
    supportare l'infrastruttura di recovery
  • Incremento delle protezioni fisiche e degli
    apparati di continuità (UPS, generatori, ecc.)
  • Scelta di un sito alternativo, in house o in
    sourcing
  • Test dei piani e delle infrastrutture di
    recovery,
  • Aggiornamento dei piani
  • Formazione del personale coinvolto nel
    BCPlanning
  • Comunicazione al Vertice sulle risultanze dei
    test dei piani di emergenza e formulazione
    proposta di budget.

24
Fonti Informative
  • La normativa prevede
  • le banche aggiornino la valutazione dei rischi
    operativi, adeguino le strategie in tema di
    sicurezza e rafforzino i presidi di emergenza in
    modo da garantire adeguati livelli di continuità
    operativa.
  • La continuità operativa
  • la gestione della continuità operativa
    comprende tutte le iniziative volte a ridurre ad
    un livello ritenuto accettabile i danni
    conseguenti a incidenti e catastrofi che
    colpiscono direttamente o indirettamente
    unazienda.
  • Danni
  • Probabilità x vulnerabilità x impatto economico

25
Fonti informative
  • Probabilità
  • Eventi rari / rarissimi chi fornisce il dato?
  • Il Risk management? Ha le perdite attese (loss
    collection archivio ABI ecc.). E quelle
    inattese? LORM deve dare linformazione.
  • Linformation sharing fra banche può essere una
    fonte da non trascurare.
  • ANSSAIF ha un team dedicato ed unapposita
    sezione sul sito.
  • Vulnerabilità
  • Lunico modo è eseguire periodicamente lanalisi
    del rischio.
  • Il rapporto CIPA sul rischio informatico
    costituisce una base di riferimento.
  • Impatto economico
  • Questo dato è fornito dalla Business Impact
    Analysis.

26
Business Continuity Management il BCMgr
  • Il BCMgr garantisce adeguati livelli di
    continuità operativa.
  • Lo sforzo che deve fare lazienda è più sulla
    prevenzione che sulla gestione dellemergenza
    (ridurre le probabilità di accadimento),
    specialmente quando si tratta di attacchi
    dallinterno o dallesterno, anche attraverso
    reti telematiche (cfr.normativa).
  • IL BCMgr necessita di informazioni e competenze
    fondamentalmente presenti in strutture di linea
    (Operations), fatta eccezione per le risorse
    umane e i rischi.
  • Riflessione il BCMgr non può essere responsabile
    di tutto, ma neanche limitarsi a verificare che
    tutto venga espletato al meglio!
  • Allora, forse è legittima la domanda è da
    escludere la sua collocazione in una struttura di
    linea, nella quale si presidiano i processi e le
    risorse?

27
Business Continuity Management il BCMgr
  • BCMgr e Crisis Manager.
  • Innanzitutto dobbiamo chiarire con Crisis
    Manager, chi si vuole indicare? Un alto dirigente
    della banca, in grado di prendere decisioni in
    modo autonomo, avendo anche dei poteri di spesa
    per il ruolo ricoperto? Oppure, è una figura
    prettamente operativa, che è sul luogo del
    disastro finché non è tutto risolto, e che
    riporta ad un Comitato ristretto di elevato
    livello?
  • il BCM predispone e prova il piano di emergenza.
    Il Crisis Manager interviene solo quando cè la
    crisi? Ed attua il piano predisposto da unaltra
    funzione?
  • BCMgr e CM sono due figure operative,
    decisionisti, esperti conoscitori delle
    problematiche in gioco (umane innanzitutto, ma
    anche organizzative e tecnologiche).
  • Quindi? Non si tratta della stessa persona?

28
Il BCMgr conclusioni
  • Il BCMgr è nominato dallAlta Direzione, ha un
    budget ed una struttura, approvati dal CdA, che
    devono consentirgli di far fronte a quanto
    necessario per assicurare allAzienda di ridurre
    le conseguenze derivanti dal verificarsi di
    incidenti o catastrofi anche estese.
  • Coordina le attività dei BCM delle Unità
    Organizzative e delle Società del Gruppo.
  • Può avere la responsabilità del Disaster
    Recovery il piano di D/R rientra nel Piano di
    Emergenza, di cui è responsabile.
  • Per la sua attività necessita di informazioni
    relative a scenari di rischio, probabilità di
    accadimento di incidenti e catastrofi,
    vulnerabilità degli assets. Esegue periodicamente
    una B.I.A.
  • E allocato in una struttura di linea, qualora
    abbia un ruolo di effettiva responsabilità nel
    garantire adeguati livelli di continuità o sia
    anche Crisis Manager. Ciò anche se sarebbe
    preferibile fosse in staff a DG / AD,
    possibilmente con responsabilità di Security ICT
    e fisica (cfr. ABILab Sicurezza Trasversale).
    Altrimenti, è allocato in una struttura di
    Governance (Risorse Umane Risk management), se è
    cioè responsabile di indirizzare e coordinare
    gli interventi di BCM.

29
The end
Spero di avervi fornito qualche spunto di
riflessione.
grazie per l'attenzione!
Write a Comment
User Comments (0)
About PowerShow.com