Il Business Continuity Plan

Transcript

Assurance and Advisory Business Services
AIEA, ROMA
Il Business Continuity Plan:
la situazione attuale e gli scenari evolutivi
11 Novembre 2009
[email protected]
Agenda
► Lo scenario di riferimento e il quadro normativo
► Il Business Continuity Plan
► Verso un sistema di gestione della Business Continuity
► Lo stato attuale della Business Continuity come emerge
dal Global Information Security Survey di Ernst&Young
► Una minaccia particolare: la pandemia
Confidential
Pagina 1
Lo scenario di riferimento e il
quadro normativo
Confidential
Pagina 2
Scenario di riferiemento e quadro normativo
Di seguito sono sintetizzate le principali disposizioni normative in materia di Business Continuity (settore finanziario)
Riferimenti Normativi
ISVAP
BANCA D’ITALIA
Luglio 2004: Bollettino di
Vigilanza nr. 7
Marzo 2007: Bollettino di
Vigilanza nr. 3
Marzo 2008: Regolamento
20, art.14 comma e
Descrizione
Ambito di applicazione
ü Definisce gli scenari di crisi da considerare
ü Identifica i contenuti minimi che deve presentare il Piano di
Continuità
ü Definisce i rapporti con gli Outsourcer, le principali
infrastrutture tecnologiche e finanziarie e le controparti rilevanti
ai fini della Business Continuity
ü Stabilisce la necessità di aggiornare la documentazione con
frequenza almeno annuale
ü Tutte le banche
ü Individua i processi a rilevanza sistemica e ne stabilisce i
tempi minimi di ripristino
ü Definisce le caratteristiche per la localizzazione dei siti di
recovery
ü Identifica scenari di rischio ad ampia portata da considerare
(e.g. pandemie, distruzioni fisiche su larga scala a dimensione
metropolitana)
ü Prevede verifiche accurate con frequenza almeno annuale dei
presidi di continuità operati
ü gruppi bancari e banche non
appartenenti a gruppi con una quota
di mercato (calcolata sui fondi
intermediati) superiore al 5% del
totale del sistema bancario
ü altri intermediari, incluse le
succursali italiane di banche estere,
con una quota di mercato superiore
al 5% in almeno uno dei segmenti di
mercato identificati1
ü Prevede la predisposizione di procedure e standard operativi
orientati alla individuazione e gestione degli eventi che
possono pregiudicare la continuità del business
ü Imprese di assicurazione e
riassicurazione
Ha assunto un’importanza chiave la valutazione del rischio e la definizione di strategie di continuità finalizzate a
garantire un adeguato livello di continuità operativa anche in presenza di eventi catastrofici.
Confidential
Pagina 3
Il Business Continuity Plan
Confidential
Pagina 4
La Struttura di un Business Continuity Plan
2.
Business
Business Impact
Impact
Analysis
Analysis
3.
1.
Struttura
Struttura
Organizzativa
Organizzativa
Business
Business
Continuity
Continuity Plan
Plan
6.
Gestione
Gestione ee
mantenimento
mantenimento del
del
Piano
Piano
Analisi
Analisi dei
dei rischi
rischi ee
Soluzioni
Soluzioni di
di
Continuità
Continuità
4.
Piano
Piano di
di emergenza
emergenza
5.
Piano
Piano di
di Test
Test
Confidential
Pagina 5
La struttura Organizzativa
OBIETTIVO: Identificazione della struttura organizzativa designata per la gestione della Business Continuity sia nelle
situazioni di operatività ordinaria sia durante le fasi di crisi
ATTIVITÀ:
►
►
Analisi della struttura organizzativa esistente;
Definizione dei ruoli chiave e delle funzioni svolte da ciascun attore coinvolto nel processo di gestione della
Business Continuity sia durante la normale operatività sia durante i periodi di emergenza
Gestione delle situazioni di emergenza
Escalation
Comitato
Crisi
Gestione delle situazioni ordinarie
ü Dichiara / revoca lo stato di
crisi
ü Definisce le decisioni
strategiche per la gestione
dell’emergenza
Crisis Manager
ü Supporta il Comitato di Crisi
ü Coordina e monitora le attività
dei differenti BET
ü Gestisce le comunicazioni con le
controparti istituzionali
Referenti diretti del Crisis
Manager (e.g. Responsabili
Unità operative)
Business Emergency Team (BET)
Chiunque
Chiunquepuò
puòsegnalare
segnalare un
un
possibile
possibiledisastro
disastro
Comitato di Contingency
Crisis Manager
ü Costituiscono il primo
supporto per chiunque
segnali un potenziale
disastro
ü Comunicano al Crisis
Manager l’evento disastroso
ü Esegue le procedure
operative definite nel
Piano di Continuità
ü Aggiorna costantemente il
Crisis Manager
Confidential
Pagina 6
ü Nomina il Crisis Manager
ü Contribuisce alla definizione
delle linee guida, obiettivi e
priorità per la gestione della
continuità
ü Formalizza, aggiorna e
presenta il Piano di
Continuità al Comitato di
Contingency
ü Pianifica i test
La Business Impact Analysis
OBIETTIVO: Identificazione dei principali impatti di business e definizione del perimetro dei processi che rientrano
all’interno del Piano di Continuità Operativa
ATTIVITÀ:
►
►
►
►
►
Censimento dei processi interni e dei servizi esternalizzati
Analisi dettagliata dei processi interni e dei servizi esternalizzati al fine di identificare le attività che risultano vitali
/ critici / ad impatto sistemico
Analisi degli impatti
Stima del tempo massimo di interruzione del processo / servizio (Recovery Time Objective), oltre il quale
viene preclusa la capacità di erogare il proprio business e del Recovery Point Objective
Identificazione dei requisiti minimali dei processi / servizi in termini di asset tecnologici (con l’individuazione dei
tool che assumono rilevanza sistemica), risorse umane, documentazione cartacea rilevante
Processi interni
Servizi esterni
IO
P
M
E
ES
Definizione del perimetro del
Piano di Continuità
Confidential
Pagina 7
L’analisi dei rischi e le strategie di continuità
OBIETTIVO: Analisi dei rischi ed individuazione delle strategie di continuità per ciascuno scenario di crisi considerato
ATTIVITÀ:
►
►
►
►
Individuazione degli scenari di interruzione dell’attività
Risk Assessment al fine di stimare un livello di rischio per ogni scenario di crisi considerato
Analisi della documentazione contrattuale con gli Outsourcer / fornitori esterni di servizi al fine di verificare la
copertura garantita ai fini della continuità operativa
Definizione delle strategie di continuità più idonee per ciascuno scenario di crisi
RISK
RISK ASSESSMENT
ASSESSMENT basato
basato su:
su:
§§ probabilità
probabilità di
di accadimento
accadimentodella
della minaccia
minaccia
§§ impatto
impatto potenziale
potenzialesul
sul processo
processo nel
nelcaso
caso in
in cui
cui sisi
verifichi
verifichi la
laminaccia
minaccia
Definizione
Definizione delle
delle Strategie
Strategie
di
Continuità
di Continuità
A: Livello di Rischio alto; M: livello di rischio medio; B: livello
di rischio basso
Confidential
Pagina 8
Il piano di emergenza
Il processo di gestione della crisi può essere evidenziato con i seguenti passi:
Valutazione dell’evento
Reazione alla crisi
Attività operative durante
l’emergenza
Ripristino del normale
funzionamento
ü Notifica della crisi
ü Attivazione BET
ü Gestione dei trasferimenti
ü Ripristino dei nuovi processi
ü Analisi
ü Disponibilità dei locali e degli
strumenti
ü Recupero delle attività perdute
ü Ripristino del normale
funzionamento
ü Diagnosi
ü Dichiarazione della crisi
ü …
ü Raccolta dell’informazione
rilevante relativa all’evento
ü Sulla base degli elementi raccolti,
sono valutati gli effetti prodotti
dall’evento e, se necessario, viene
dichiarato lo stato di crisi dopo
l’identificazione del piano d’azioni da
intraprendere
ü Assegnazione delle mansioni
ü Gestione dei trasferimenti
ü Avvio del piano operativo di
emergenza con le relative risorse
ü Riavvio dei processi
ü …
ü Esecuzione di tutte le attività
necessarie durante l’emergenza
per il recupero e l’avvio dei
processi critici e per la gestione
delle risorse umane e tecniche
coinvolte
Confidential
Pagina 9
ü …
ü Esecuzione di tutte le attività per il
ritorno al normale processo di
funzionamento. Le attività per la
ricostruzione di risorse, edifici e
tecnologie sono progettate e
coordinate dal Crisi Manager,
tenendo conto della tipologia dei
danni
Valutazione dell’evento
La notifica dell’evento critico può essere comunicata da qualsiasi persona: di conseguenza sono previsti dei passi di escalation
fino all’identificazione dello scenario di crisi e la dichiarazione dello stato di crisi da parte del Comitato incaricato.
Comitato di Crisi
Identificazione dello scenario di crisi
Escalation
Crisis Manger
Referente diretto del Crisis
Manager
A.
Indisponibilità logistica
B.
Indisponibilità del personale
responsabile
C.
Indisponibilità del sistema informativo
D.
Indisponibilità dei servizi esterni e o di
supporto
E.
Perdita di documenti contenenti dati
importanti
Business Emergency Team (BET)
Ogni
Ognipersona
personapuò
puònotificare
notificareun
un
potenziale
potenzialeevento
eventodisastroso
disastrosoalal
diretto
direttoreferente
referentedel
delCrisis
CrisisManager
Manager
Evento Catastrofico
Confidential
Pagina 10
Dichiarazione dello
stato di crisi
Reazione alla crisi
Il Piano, per ogni scenario identificato e per ogni processo critico, fornisce:
- TABELLA DI DIAGNOSI: lista delle verifiche necessarie per identificare la condizione di funzionamento del processo analizzato
- AZIONI LEGATE AI PROCESSI: lista dettagliata delle azioni da eseguire come reazione alla crisi, con l’obiettivo di organizzare
le risorse e gli strumenti per l’attività operativa durante l’emergenza
Business Continuity Plan
Identificazione dello
scenario di crisi
A.
B.
responsabile
C.
Indisponibilità del sistema
informativo
D.
Indisponibilità dei servizi
esterni e/o di supporto
E.
Perdita di documenti
contenenti dati importanti
Azioni legate ai processi
(es. Indisponibilità logistica)
Tabella di Diagnosi
(es. Indisponibilità logistica)
N°
1
2
3
BET –
Leader
BET –
Leader
BET –
Leader
Verifica della condizione del personale
dedicato ai processi.
Analisi delle risorse disponibili e non
disponibili
Verifica della condizione delle stanze di
lavoro.
Analisi delle stazioni di lavoro disponibili e
non disponibili
Verifica di tutte le applicazioni.
Analisi delle applicazioni disponibili e non
disponibili
Confidential
Pagina 11
BET –
Leader
In caso di evacuazione della struttura:
Il BET Leader si riunisce con tutti i
membri BET nei punti definiti nelle
procedure di evacuazione…
Nel caso di non evacuazione della
struttura:
Il BET Leader riunisce il team nel punto
più adatto al trasferimento…
Attività
Attività operative
operative durante
durante l’emergenza
l’emergenza
Il Piano, per ogni scenario identificato e per ogni processo critico, fornisce:
- TABELLA PER LE ATTIVITA’ OPERATIVE DURANTE L’EMERGENZA: lista dettagliata delle azioni da mettere in atto per eseguire
le attività operative in caso di emergenza.
scenario di crisi
A.
B.
responsabile
C.
informativo
D.
E.
Tabella delle attività operative durante l’emergenza
N°
1
2
ü
BET –
Leader
BET
ü
ü
ü
ü
3
Crisis
Manager
ü
Il BET Leader si accerta che le esigenze del trasferimento siano misurate sulla base dei requisiti
del personale interessato
…
Il personale dirige le attività di funzionamento durante l’emergenza secondo le procedure
definite
…
Il Responsabile di gestione della crisi esegue le mansioni necessarie per il ripristino della
normale attività, sulla base dell’estensione e della tipologia di disastro
…
Confidential
Pagina 12
Ritorno
Ritorno alla
alla normalità
normalità
Identificazione delle attività che conducono al ripristino del processo di normale funzionamento.
scenario di crisi
A.
B.
responsabile
C.
informativo
D.
E.
Ritorno alla normalità: azioni principali
N°
1
ü
Crisis
Manager
2 Crisis
Committee
3
Crisis
Manager
ü
ü
ü
ü
ü
Il Responsabile di gestione della crisi valuta, insieme alla relativa controparte, il percorso ed i
tempi per ritornare alla normale attività di funzionamento e controlla la necessità di esecuzione
dei seguenti punti
…
Il Comitato di crisi fornisce le risorse per l’avvio del potenziale progetto di ricostruzione
…
Il Responsabile di gestione della crisi identifica i responsabili del progetto per la ricostruzione ed il
coordinamento delle attività
…
Confidential
Pagina 13
Il piano dei test
OBIETTIVO: implementazione e verifica dell’efficacia del Piano di Continuità Operativa
ATTIVITÀ:
►
►
►
►
Definizione di un master plan delle azioni da intraprendere ai fini dell’implementazione della business Continuity
Implementazione del piano di continuità ed attività di PMO
Definizione della metodologia e del piano di test
Verifica dell’efficacia del Business Continuity Plan tramite simulazione dei test case identificati e identificazione
delle azioni correttive da porre in essere
IO
P
M
E
ES
Confidential
Pagina 14
La manutenzione del piano di business continuity
OBIETTIVO: definizione delle attività necessarie per l’aggiornamento e la manutenzione del Piano di Continuità
operativa
ATTIVITÀ:
►
►
Definizione delle possibili tipologie di eventi che possono comportare variazioni nei documenti riguardanti la
Business Continuity
Formalizzazione delle attività per l’aggiornamento, la distribuzione e l’archiviazione della documentazione
relativa ai Piani di Continuità operativa
Cambiamenti:
Cambiamenti:
••Logistici
Logistici
••Organizzativi
Organizzativi
••Legali
Legali
••Tecnologici
Tecnologici
Possibili
Possibili fonti
fonti
di
di
cambiamento
cambiamento
Modifiche
Modifiche aa
seguito
seguitodi
di attività
attività
di
direvisione
revisione ee
controllo
controllo(e.g.
(e.g.
test,
test, internal
internal
auditing)
auditing)
Attività
Attività
periodiche
periodiche di
di
manutenzione
manutenzione
Confidential
Pagina 15
Verso un sistema di gestione
della Business Continuity
Confidential
Pagina 16
Verso lo standard BS25999
Con BUSINESS CONTINUITY MANAGEMENT si intende un
complessivo processo di gestione che consente di identificare
gli impatti potenziali che minacciano un’organizzazione e
definire un framework che garantisce una risposta efficace
agli eventi avversi e una capacità di ripristino delle principali
attività, in modo da garantire gli interessi dell’’organizzazione
e dei suoi stakeholder, il brand dell’organizzazione e la
continua
creazione
di
valore.
Il Business Continuity Management System prende in input le necessità
e le aspettative in termini di Business Continuity e, attraverso le
necessarie azioni e processi, produce i “Business Continuity outcome”
che soddisfano tali requisiti e aspettative
BUSINESS CONTINUITY MANAGEMENT LIFECYCLE
Plan
Do
Check
BS25999-1:2006 - Business Continuity Management -Part1:
Code of Practice
BS25999-2:2007 - Business continuity management- Part2:
Specification
Act
Stabilire le politiche di business continuity, gli obiettivi, i processi
e le procedure per gestire i rischi e per migliorare il business
continuity nel raggiungere i risultati in linea con le politiche e gli
obiettivi generali dell’organizzazione
Implementare le politiche di business continuity, i controlli, i
processi e le procedure
Valutare, e dove applicabile, misurare le performance dei
processi, in relazione alle politiche di business continuity, agli
obiettivi e all’esperienza. Riportare i risultati al management
Prendere azioni correttive e preventive, basandosi sui risultati del
management review, per perseguire il continuo miglioramento del
BCMS
Confidential
Pagina 17
… e verso lo standard BS25777
Relazione tra ICT continuity management e business continuity
management
BS25777:2008 – ICT Continuity Management: code of Practice
ICT Continuity management e le sue relazioni con il BCM
La BCM cerca di assicurare che i processi dell’organizzazione siano
protetti da interruzioni accidentali e che l’organizzazione sia in grado
di rispondere in modo tempestivo ed efficace in caso di disastro.
L’ICT continuity management diventa significativa una volta
determinate le priorità e i requisiti di business e assicura che
l’Information&Communication technology a supporto dei processi
possa essere ripristinato in un arco temporale compatibile con le
esigenze del business. In questo senso un BCM per essere efficace
deve prevedere un ICT continuity management efficace. L’efficacia
di un BCM e di un ICT continuity management è tanto maggiore
quanto più questi sono radicati nella cultura dell’organizzazione.
Confidential
Pagina 18
Fattori critici di successo
Assicurare che lo sviluppo e la manutenzione del
BCM (incluso la continuità dell’IT) sia sponsorizzato
da parte dei Responsabili del Business
Confidential
Pagina 19
Assicurare un metodo e un linguaggio comune tra
Business e IT in modo da garantire una
valutazione uniforme dei rischi e soluzioni di
continuità
condivise
Confidential
Pagina 20
La funzione di coordinamento della Business Continuity
dovrebbe avere una profonda conoscenza del business
aziendale e una conoscenza di base dell’IT
Dovrebbe
soluzioni
essere assicurata un’integrazione
di ripristino del Business e
Confidential
Pagina 21
tra le
dell’IT
Lo stato attuale della
Business Continuity come
emerge dal Global
Information Security
Survey di Ernst&Young
Confidential
Pagina 22
Lo stato attuale: la predisposizione del Business Continuity Plan
Q33. Quali delle seguenti attività sono incluse nel BCM dell’Organizzazione?
Confidential
Pagina 23
Lo stato attuale: la valutazione della Business Continuity
Q34. Come l’organizzazione valuta quanto previsto dal BCM
Confidential
Pagina 24
Lo stato attuale: la gestione delle terze parti
Q35. Come vengono gestite le terze parti all’interno del BCM?
Confidential
Pagina 25
Una minaccia particolare:
la pandemia
Confidential
Pagina 26
La pandemia: alcuni possibili scenari
A che cosa potremmo andare incontro?
►
►
►
►
►
►
►
Assenteismo (40% e oltre) a qualsiasi livello dell’organizzazione
Diffusione della malattia in modo repentino e imprevedibile
Limitazione dei movimenti e instaurazione del periodo di “quarantena”
Incremento della “Social distancing” (cioè la propensione degli individui a
mantenere una distanza fisica gli uni dagli altri durante la diffusione di una
malattia, in modo da limitare i rischi di infezione) con incremento dei rischi per le
organizzazioni dove il contatto con il pubblico è inevitabile o nelle quali i
dipendenti condividono i luoghi di lavoro
Generazione di un danno economico irreversibile e chiusura del business per
le imprese soggette a interruzioni dei processi per periodi prolungati. Aumento
delle richieste di assistenza sociale
Generazione di disordini economici e sociali a causa del fermo delle imprese
che erogano servizi critici per la collettività (telecomunicazioni, sanità, energia,
trasporti, etc)
Assistenza sanitaria insufficiente per l’intera popolazione
Confidential
Pagina 27
Le organizzazioni: l’impatto sulle persone
►
Persone: durante la prima ondata della pandemia, un elevato numero di persone si
ammala e molte altre rimangono a casa per prevenzione o per paura della
pandemia. La crisi influenza le persone chiave nell’esecuzione dei processi critici
dell’organizzazione
Confidential
Pagina 28
Le organizzazioni: l’impatto sui processi
►
Processi: oltre all’assenza del personale, i processi dell’organizzazione si
deteriorano, sono limitati o addirittura bloccati anche a causa della interdipendenza
con altri processi impattati dalla crisi (incapacità di interagire con i clienti, di
presenziare agli incontri di lavoro, cancellazione dei viaggi di business, etc.
Confidential
Pagina 29
Le organizzazioni: l’impatto sulla tecnologia
►
Tecnology: l’indisponibilità del personale
impatta anche sui servizi tecnologici e
potrebbe nascere l’esigenza di operare
da posti di lavoro alternativi (casa, altri
uffici, etc.)
Confidential
Pagina 30
IMPORTANZA DEI
SISTEMI DI
TELECOMUNICAZIONE
Le organizzazioni: l’impatto sull’intera organizzazione
►
Organizzazione: il contestuale deterioramento dei processi dell’organizzazione e
dei servizi tecnologici a supporto degli stessi causa una reazione a catena che fa
collassare gli altri gruppi di asset dell’organizzazione
Confidential
Pagina 31
Le organizzazioni: l’impatto delle condizioni esterne
►
Indisponibilità dei servizi esternalizzati: i processi sono impattati anche dal
deterioramento dei servizi offerti dai fornitori/outsourcer dell’organizzazione
Confidential
Pagina 32
Le azioni da intraprendere
Conoscere il problema
Il
►
Business
Continuity
Manager
dovrebbe
documentarsi sullo scenario, sui potenziali
problemi, su situazioni analoghe verificatesi nel
passato etc. Per fare questo:
Leggere il materiale informativo
►
►
►
►
►
►
►
Ministero della salute e delle politiche sociali “Piano
nazionale di preparazione e risposta ad una
pandemia influenzale”
World Health Organization “WHO global plan for
preparing to an influenza pandemic”
United Kingdom “Pandemic flu: a national framework
for responding to an influenza pandemic”
Spanish; “Actualizacion del plan nacional de
preparacion y respuesta ante una pandemia de gripe”
Ulteriori documenti governativi
Seguire forum specialistici in materia
Partecipare a meeting con specialisti del settore
Confidential
Pagina 33
Le azioni da intraprendere
Nel predisporre o aggiornare il proprio piano di BC le organizzazioni
dovrebbero considerare la minaccia di pandemia e diventare consapevoli
del proprio posizionamento relativamente alle soluzioni di continuità
adottate o da adottare
►
Organizzazioni che hanno già sviluppato un BCP
►
Dovrebbe essere effettuata una revisione del BCP con particolare attenzione:
►
►
►
ai requisiti minimali relativi allo scenario di indisponibilità del personale
alle soluzioni di continuità adottate per fronteggiare lo scenario suddetto
Organizzazioni che non hanno sviluppato BCP
►
►
La Business Impact Analysis dovrebbe essere sviluppata prendendo in
considerazione il ruolo del personale nei processi dell’organizzazione, i requisiti
di ripristino minimali relativi alle risorse umane e le soluzioni di continuità per
governare lo scenario di indisponibilità delle risorse umane
Dovrebbero essere identificate le interdipendenze tra fornitori, tecnologie,
stakeholdeer, informazioni etc.
Confidential
Pagina 34
Analisi dei requisiti minimali
In accordo con WHO, uno scenario di pandemia da influenza può essere
caratterizzato dai seguenti stadi:
Confidential
Pagina 35
Analisi dei requisiti minimali
Per ogni processo critico dell’organizzazione dovrebbe essere effettuata un’analisi
dei requisiti minimali di ripristino, considerando le indicazioni fornite a livello
mondiale sull’evoluzione temporale della pandemia. L’analisi dovrebbe considerare
un periodo di almeno sei mesi
►
Confidential
Pagina 36
TIME
Analisi dei requisiti minimali: personale
Le organizzazioni dovrebbero considerare nell’analisi almeno i seguenti
aspetti:
►
►
►
►
►
►
►
►
Un periodo di crisi di almeno sei mesi e un tempo medio di durata dell’infezione
di circa 6-8 settimane
I rischi per il personale che svolge attività critiche
Il personale che non può svolgere le proprie mansioni da luoghi alternativi a
quelli ordinari
La capacità di operare da luoghi alternativi agli ordinari luoghi di lavoro
Gli strumenti e le modalità disponibili per documentare, trasferire o replicare le
competenze delle risorse
Lo sviluppo di procedure per governare gli spostamenti del personale verso
luoghi sicuri
La composizione del Comitato di crisi e i possibili sostituti
La formazione del personale
Confidential
Pagina 37
Analisi dei requisiti minimali: processi
Relativamente ai processi le organizzazioni dovrebbero almeno considerare:
►
►
►
►
►
►
►
Lo sviluppo di politiche e procedure per regolare i viaggi di lavoro, i meeting,
la fornitura di forza lavoro, etc.
Un’analisi dei processi che hanno maggiore necessità di “Forza umana”
I meccanismi alternativi per l’interazione con clienti e fornitori (agenti
ambientali) e per monitorare le interdipendenze critiche con gli stessi
Valutazione degli impatti sugli agenti ambientali
Il potenziale incremento generale della richiesta di merci e servizi essenziali
(in caso di crisi)
La selezione dei prodotti prioritari da distribuire ai clienti/utenti
L’effetto degli outsourcer sui processi, incluso la possibilità di
contaminazione dall’esterno
Confidential
Pagina 38
Analisi dei requisiti minimali: tecnologia
In considerazione del potenziale incremento dell’operatività dai siti
alternativi e dalla conseguente necessità di potenziamento dei sistemi di
telecomunicazioni l’organizzazione dovrebbe almeno considerare:
►
►
►
►
►
Un’analisi dei dispositivi o dei servizi necessari a supportare il
telelavoro o in generale l’operatività del personale dai luoghi
alternativi (possibilità di connessioni intranet, extranet,
teleconferenze, etc.)
Un’analisi della disponibilità della banda di rete e della sua reale
capacità di supportare i servizi di cui al punto precedente
Un’analisi dei contratti con i fornitori/outsourcer per verificare le
garanzie di erogazione dei servizi in caso di crisi
Una valutazione dei servizi voce (VOIP, PBX, risponditori
automatici)
La disponibilità del personale di supporto tecnico
Confidential
Pagina 39
Le strategie di recupero: idoneità della strategia
Oltre all’identificazione dei requisiti minimali relativi al personale, deve essere
individuata e implementata una specifica soluzione di continuità, in linea con gli stadi
previsti dal WHO
Confidential
Pagina 40
Le strategie di recupero: gli obiettivi
Deve essere garantito il duplice obiettivo di minimizzare il numero di
infezioni e di assicurare la continuità dei processi critici delle organizzazioni
Confidential
Pagina 41
Le strategie di recupero: prevention
Tra le principali azioni da intraprendere durante questa fase ricordiamo:
►
►
►
►
►
►
►
►
►
►
Attribuire specifiche responsabilità al Crisis Management Committee e prevedere
l’inserimento nel Comitato di figure ulteriori rispetto a quelle ordinarie previste
per il Business Continuity (ad es. staff medico, HR, IT..)
Monitorare le comunicazioni del “World Health Organization”
Prevedere la vaccinazione del personale (in generale adottare misure sanitarie)
Garantire la salvaguardia delle informazioni aziendali (documentare i processi,
introdurre un repository delle informazioni)
Rivedere i contratti con i fornitori di servizi e, se necessario, adattare specifici
Service Level Agreement
Erogare corsi di formazione per il personale
Definire piani di comunicazione sia per l’interno che per l’esterno
dell’organizzazione (da utilizzare in caso di crisi)
Definire specifici piani di test e piani di rientro alla normalità
Acquisire mezzi di tecnologici per assicurare le necessarie telecomunicazioni
(valutare la possibilità di utilizzare il telelavoro)
Definire politiche che regolamentano i viaggi di lavoro, i meeting, etc.
Confidential
Pagina 42
Le strategie di recupero: preparation
►
►
►
►
►
►
►
Ricordare ai dipendenti le misure preventive per combattere le infezioni
Fornire protezioni fisiche ai dipendenti (maschere, etc.)
Acquisire prodotti per la disinfezione dei locali e prevedere misure
ulteriori per la pulizia dei posti di lavoro
Fornire servizi medici di supporto al personale
Stabilire modalità alternative per la comunicazioni tra i dipendenti (chat,
istant messaging, etc)
Monitorare le indicazioni del WHO
Preallertare il personale chiave e il personale previsto per il backup
Confidential
Pagina 43
Le strategie di recupero: reaction
►
►
►
►
►
►
►
Comunicare all’organizzazione la dichiarazione ufficiale di pandemia
Adottare i piani predefiniti per fronteggiare la pandemia
Attivare i protocolli previsti per la rilevazione delle infezioni
Prevedere la disinfezione quotidiana dei posti di lavoro
Valutare l’adeguatezza dei posti di lavoro rispetto alle politiche
predefinite
Adottare le politiche di gestione dei viaggi di lavoro, dei meeting, etc.
Monitorare l’evoluzione delle infezioni del personale dell’organizzazione,
dei fornitori e dei clienti
Confidential
Pagina 44
La situazione attuale
Molte organizzazioni hanno acquisito la consapevolezza del rischio e stanno
muovendo i primi passi per la definizione di procedure o soluzioni atte a
fronteggiare la potenziale crisi.
Esempi di azioni predisposte:
►
►
►
►
►
►
Incremento della frequenza degli incontri dei Comitati di Crisi per la valutazione
della situazione corrente
Monitoraggio costante delle comunicazioni del WHO per ottenere informazioni
sullo stato delle pandemie
Acquisizione e somministrazione al personale di vaccini antivirali
Formazione sulle misure preventive
Valutazione e implementazione di misure tecnologiche per agevolare la
telecomunicazioni
Valutazione e identificazione di possibili modalità o sedi alternative di lavoro (es
telelavoro)
Confidential
Pagina 45

Il Business Continuity Plan

Transcript

Documenti analoghi

confidential - Specialinsert

Visualizza documento - Fondazione Torino Wireless

Il Ruolo dei Fondi di Credito per lo Sviluppo delle PMI

Business Continuity

Scheda dettagliata Seminario aggiornamento

Diapositiva 1

Presentazione Antonio Di Salvo, Italia Affinion International

Scarica la presentazione completa della nostra azienda