Business Continuity
Transcript
Business Continuity
BUSINESS CONTINUITY Business Continuity Experts BUSINESS CONTINUITY: CONCETTI E APPROFONDIMENTI CONTENUTI Business Continuity: Concetti e Approfondimenti ......................... Pag. 1 Il Piano della Continuità Operativa ................................................ Pag. 1 La differenza tra disaster recovery e continuità operativa ………... ... Pag. 2 Gli errori principali da evitare all’avvio di un progetto di Business Continuity .. ................................................ Pag. 2 Come posso iniziare? .. ........... Pag. 3 Cosa devo fare per gestire incidenti e crisi? .. ..................................... Pag. 3 Le caratteristiche di ORBIT? .... Pag. 3 L’obiettivo di un programma di BCM ................................................ Pag. 4 ORBIT® è una soluzione software per la gestione completa del ciclo di vita della Business Continuity che permette alle aziende di manutenere facilmente ed evolvere la propria soluzione di Business Continuity Garantire la continuità operativa in caso di interruzioni, siano esse dovute a eventi catastrofici, guasti gravi o inconvenienti minori, è un requisito fondamentale per qualsiasi organizzazione. La ISO 22301, la prima norma al mondo per la gestione della business continuity (BCM), è stata sviluppata per aiutare le aziende a ridurre al minimo il rischio di simili interruzioni. Mettendo in atto in atto gli elementi fondamentali di un sistema di gestione per la continuità operativa, le aziende possono mantenere la continuità del business anche nelle circostanze più problematiche e impreviste, salvaguardando il personale e la reputazione dell'azienda e permettendo di continuare a produrre e a vendere. La metodologia e in particolare la ISO 22301 è stata sviluppata da un gruppo di esperti mondiali, in rappresentanza dei principali settori industriali e della pubblica amministrazione, per stabilire il processo, i principi e la terminologia della gestione della business continuity. Gestire il processo di business continuity è una prerogativa di qualsiasi organizzazione, grande o piccola, di qualsiasi settore. È particolarmente raccomandabile per le organizzazioni che operano in contesti ad alto rischio, quali la finanza, le telecomunicazioni, il trasporto e la Pubblica Amministrazione, la Sanità, dove la capacità di assicurare la continuità delle operazioni è fondamentale per l'organizzazione stessa, per i suoi clienti e per le parti interessate. Il Piano di Continuità Operativa Il Piano di Continuità Operativa (BCP) è il risultato di un processo che aiuta le organizzazioni a prepararsi per gli eventi dirompenti. Tali eventi potrebbero essere: un uragano, una interruzione di corrente causata da un escavatore nel parcheggio, allagamenti degli uffici, o ancora, la carenza di personale a causa di uno sciopero dei mezzi pubblici. Il coinvolgimento in questo processo può variare dal disegno delle misure di emergenza alla supervisione del piano, a fornire input e supporto o essere un partecipante attivo all’esecuzione del piano durante un’emergenza. Il piano della Continuità Operativa è il risultato della collaborazione di diversi ruoli. © 2015 Orbit Italy S.r.l. Tutti i diritti riservati. Nessuna parte di questo documento può essere riprodotta in qualsiasi forma o mezzo elettronico o meccanico, per alcun uso, senza il permesso scritto di Orbit Italy S.r.l. Pagina 2 La differenza tra Disaster Recovery e Continuità Operativa La business continuity è il processo che permette la “ripartenza” del business dopo un evento critico. Molto spesso si nota, anche a livelli alti di management, un atteggiamento che ignora le peculiarità del processo di business continuity solo perché si pensa la propria azienda sia “immune dagli eventi critici”. Il piano della continuità operativa suggerisce un approccio completo per garantire che il processo di business e i profitti aziendali non si interrompano, non solo in caso di una calamità naturale, ma anche in caso di interruzioni più piccole tra cui la malattia o le dimissioni di personale che ricopre ruoli chiave, di problemi dei fornitori o di altri problemi che possono capitare di volta in volta. Bisogna porre attenzione su un aspetto: il termine “business continuity” è a volte confuso con il termine “disaster recovery”,anzi i due termini sono usati come sinonimo. Niente di più sbagliato. Il Disaster Recovery ha a che fare con l’emergenza in caso di un evento che rende la tecnologia indisponibile, la continuità operativa tiene conto di tutti gli eventi che hanno impatti economici, normativi o reputazionali sull’azienda, sia a causa della mancanza di supporto tecnologico o della mancanza di infrastrutture o di personale. Quindi il Disaster Recovery è un sottoinsieme della Continuità Operativa. Nonostante queste differenze, i due termini sono spesso associati sotto la sigla BC/DR a causa delle loro molte considerazioni comuni. Gli errori principali da evitare all’avvio di un progetto di Business Continuity Non avere avuto il supporto dal Top Management aziendale Aver considerato che un foglio di calcolo excel o un documento word sia sufficiente alla gestione della continuità operativa e alla gestione della crisi. Non aver previsto un’adeguata pianificazione; chiedersi se sono state identificate tutte le risorse ed i processi critici, se sono stati fatti piani dettagliati di ripristino secondo il loro livello di criticità. Non aver valutato correttamente lo sforzo richiesto in termini di risorse per la gestione di un sistema di continuità operativa. Non condurre una Business Impact Analysis che indirizzi tutte le lacune presenti nel vostro modello di recovery Non costruire piani di emergenza adeguati ai vostri tempi di ripristino, ai sistemi e alle applicazioni critiche, ai documenti vitali necessari per il business, con l’implementazione di piani per le attività operative da mettere in atto dopo un disastro. Non avere coinvolto gli auditors nella pianificazione dei test dei piani di emergenza. Pensare che la manutenzione del piano della continuità operativa può essere effettuato una volta all'anno. Pagina 3 Come posso iniziare? 1. 2. 3. 4. Definire, condividere e avere l’approvazione sulla strategia aziendale di business continuity con regole strategiche e tattiche per il disegno del piano, ruoli e responsabilità, aziende, risorse interne ed esterne e fornitori da coinvolgere nel piano, tempi e costi per la realizzazione del progetto Mappare la struttura organizzativa delle Società e effettuare una Business Impact Analysis (BIA). Ciò consentirà di individuare i processi o i servizi più critici dell’azienda in termini di impatto economico che un evento critico avrebbe sull’azienda stessa. Maggiore è il potenziale impatto, più brevi dovranno essere le azioni per ripristinare velocemente un sistema o un processo Valutare i rischi: rischi più elevati su un processo obbligano il responsabile del piano operativo a prestare maggiore attenzione nella creazione di misure di emergenza per ripristinare il processo. Pertanto i due elementi, di impatto e di rischio, devono essere identificati per ogni processo critico di business o di servizio. Creare misure di emergenza (detti anche piani di emergenza) per ogni processo di business in relazione ad ogni evento di indisponibilità: sito indisponibile, personale indisponibile, tecnologia indisponibile, infrastrutture indisponibili e così via. Cosa devo fare per gestire incidenti e crisi? La gestione degli incidenti e delle crisi fanno parte dello stesso ciclo di vita. Vediamo un esempio: una società di distribuzione di acqua ha un certo numero di sistemi di monitoraggio per verificare eventuali perdite d'acqua. Quando si verifica un evento, si registra in primo luogo l’incidente per poi attivare le procedure per risolvere il problema. Di solito queste procedure hanno un tempo preciso per l'intervento e un tempo per la soluzione, diciamo 4 ore. Quando un incidente potrebbe diventare una crisi? C'è un tempo oltre il quale si deve innescare una crisi? In linea di principio sì, c'è, ma in generale è determinato sulla base di SLA (Service Level Agreement). La continuità operativa non tiene conto degli SLA, ma esclusivamente delle risorse aziendali impattate. Sempre nell'esempio della società di distribuzione di acqua, se la perdita è su un tubo che porta l'acqua alle famiglie il problema che porta alla crisi non esiste, almeno non nelle prime 3 o 4 ore. Ma, tuttavia, se la perdita è su un tubo che porta l'acqua di raffreddamento per un reattore nucleare, i tempi di risposta e di risoluzione devono essere nell'ordine di mezz'ora. Questa è la Business Continuity: il controllo delle risorse in caso di eventi che causano gravi conseguenze economiche o sociali. Le caratteristiche di ORBIT ORBIT è una soluzione software per la gestione della Continuità Operativa aziendale, che consente ai clienti di mantenere ed evolvere facilmente la propria soluzione di business continuity. Gestisce il processo completo della continuità operativa (BCM): Raccoglie, analizza e gestisce l'enorme quantità di dati che devono essere registrati per soddisfare le esigenze di un progetto BCMS conforme agli standard internazionali; Minimizza i costi di gestione operativa; Mappa il modello di business in base alle esigenze dell’azienda con opzioni multi-sito, multi-gruppo, multilingua e multi-gergo; Applicazione con accesso via web, con possibilità di interfacciamento al Single Sign On e altri archivi di dati della Società; E’ personalizzabile per permettere al cliente di soddisfare diverse esigenze di business. "La cosa più difficile da spiegare in una situazione di emergenza è trovare una scusa per giustificare di non averla pianificata prima" Pagina 4 ORBIT: L’OBIETTIVO DI UN PROGRAMMA DI BCM ORBIT ITALY S.r.l. si occupa di Business Continuity dal 2003, è membro attivo dell’Osservatorio ABILab, associata ad ANSSAIF, IBM Business Partner per la Business Continuity. Dal 2013 è Corporate Partner del Business Continuity Institute. ORBIT ITALY S.r.l. Via Natale Battaglia, 22 20127 Milano Tel. +39 02 67 100 846 Una significativa parte dei propri dipendenti hanno ottenuto la certificazione “Lead Auditor BS25999” e la certificazione ITIL V3 Foundation. E’ proprietaria della suite “ORBIT”, software che rispetta totalmente le specifiche indicate dalle metodologie e dagli standards italiani ed internazionali ed è stato adottato da primarie aziende ed istituzioni finanziarie. Dal 2011 ORBIT ITALY S.r.l. fa parte di GL GROUP s.p.a. che in questo modo amplia la propria offerta di servizi e di consulenza per il Risk Assessment, il Business Continuity Management ed il Disaster Recovery Management, che complementano le proprie metodologie, già adottate da molte realtà aziendali. Attivi dal 2003 nei settori della Consulenza Informatica, System Integration e Application Management. Nati con un forte orientamento alle Telecomunicazioni, abbiamo esteso con il tempo le nostre competenze ai mercati dell’Energy, dell’Industria, della Finanza, della Pubblica Amministrazione e dell’Utility. TopNetwork SpA Via Simone Martini 143, 00142 Tel: +39 06 3209531 Fax: +39 06 5030615 www.topnetwork.it Siamo in grado di offrire soluzioni informatiche innovative realizzate con cura dal nostro team composto da oltre 600 professionisti, che, distribuiti su tutto il territorio nazionale, lavorano con grande passione ed energia, ottenendo quotidianamente straordinari risultati operativi. Operiamo dal 2005 in regime di Qualità Controllata ed abbiamo ottenuto la certificazione del Sistema di Qualità, conforme alla normativa UNI EN ISO 9001:2008 e quella del Sistema di Gestione per la Sicurezza delle Informazioni (ISO/IEC 27001).