Il Business Continuity Plan
Transcript
Il Business Continuity Plan
Assurance and Advisory Business Services AIEA, ROMA Il Business Continuity Plan: la situazione attuale e gli scenari evolutivi 11 Novembre 2009 [email protected] Agenda ► Lo scenario di riferimento e il quadro normativo ► Il Business Continuity Plan ► Verso un sistema di gestione della Business Continuity ► Lo stato attuale della Business Continuity come emerge dal Global Information Security Survey di Ernst&Young ► Una minaccia particolare: la pandemia Confidential Pagina 1 Lo scenario di riferimento e il quadro normativo Confidential Pagina 2 Scenario di riferiemento e quadro normativo Di seguito sono sintetizzate le principali disposizioni normative in materia di Business Continuity (settore finanziario) Riferimenti Normativi ISVAP BANCA D’ITALIA Luglio 2004: Bollettino di Vigilanza nr. 7 Marzo 2007: Bollettino di Vigilanza nr. 3 Marzo 2008: Regolamento 20, art.14 comma e Descrizione Ambito di applicazione ü Definisce gli scenari di crisi da considerare ü Identifica i contenuti minimi che deve presentare il Piano di Continuità ü Definisce i rapporti con gli Outsourcer, le principali infrastrutture tecnologiche e finanziarie e le controparti rilevanti ai fini della Business Continuity ü Stabilisce la necessità di aggiornare la documentazione con frequenza almeno annuale ü Tutte le banche ü Individua i processi a rilevanza sistemica e ne stabilisce i tempi minimi di ripristino ü Definisce le caratteristiche per la localizzazione dei siti di recovery ü Identifica scenari di rischio ad ampia portata da considerare (e.g. pandemie, distruzioni fisiche su larga scala a dimensione metropolitana) ü Prevede verifiche accurate con frequenza almeno annuale dei presidi di continuità operati ü gruppi bancari e banche non appartenenti a gruppi con una quota di mercato (calcolata sui fondi intermediati) superiore al 5% del totale del sistema bancario ü altri intermediari, incluse le succursali italiane di banche estere, con una quota di mercato superiore al 5% in almeno uno dei segmenti di mercato identificati1 ü Prevede la predisposizione di procedure e standard operativi orientati alla individuazione e gestione degli eventi che possono pregiudicare la continuità del business ü Imprese di assicurazione e riassicurazione Ha assunto un’importanza chiave la valutazione del rischio e la definizione di strategie di continuità finalizzate a garantire un adeguato livello di continuità operativa anche in presenza di eventi catastrofici. Confidential Pagina 3 Il Business Continuity Plan Confidential Pagina 4 La Struttura di un Business Continuity Plan 2. Business Business Impact Impact Analysis Analysis 3. 1. Struttura Struttura Organizzativa Organizzativa Business Business Continuity Continuity Plan Plan 6. Gestione Gestione ee mantenimento mantenimento del del Piano Piano Analisi Analisi dei dei rischi rischi ee Soluzioni Soluzioni di di Continuità Continuità 4. Piano Piano di di emergenza emergenza 5. Piano Piano di di Test Test Confidential Pagina 5 La struttura Organizzativa OBIETTIVO: Identificazione della struttura organizzativa designata per la gestione della Business Continuity sia nelle situazioni di operatività ordinaria sia durante le fasi di crisi ATTIVITÀ: ► ► Analisi della struttura organizzativa esistente; Definizione dei ruoli chiave e delle funzioni svolte da ciascun attore coinvolto nel processo di gestione della Business Continuity sia durante la normale operatività sia durante i periodi di emergenza Gestione delle situazioni di emergenza Escalation Comitato Crisi Gestione delle situazioni ordinarie ü Dichiara / revoca lo stato di crisi ü Definisce le decisioni strategiche per la gestione dell’emergenza Crisis Manager ü Supporta il Comitato di Crisi ü Coordina e monitora le attività dei differenti BET ü Gestisce le comunicazioni con le controparti istituzionali Referenti diretti del Crisis Manager (e.g. Responsabili Unità operative) Business Emergency Team (BET) Chiunque Chiunquepuò puòsegnalare segnalare un un possibile possibiledisastro disastro Comitato di Contingency Crisis Manager ü Costituiscono il primo supporto per chiunque segnali un potenziale disastro ü Comunicano al Crisis Manager l’evento disastroso ü Esegue le procedure operative definite nel Piano di Continuità ü Aggiorna costantemente il Crisis Manager Confidential Pagina 6 ü Nomina il Crisis Manager ü Contribuisce alla definizione delle linee guida, obiettivi e priorità per la gestione della continuità ü Formalizza, aggiorna e presenta il Piano di Continuità al Comitato di Contingency ü Pianifica i test La Business Impact Analysis OBIETTIVO: Identificazione dei principali impatti di business e definizione del perimetro dei processi che rientrano all’interno del Piano di Continuità Operativa ATTIVITÀ: ► ► ► ► ► Censimento dei processi interni e dei servizi esternalizzati Analisi dettagliata dei processi interni e dei servizi esternalizzati al fine di identificare le attività che risultano vitali / critici / ad impatto sistemico Analisi degli impatti Stima del tempo massimo di interruzione del processo / servizio (Recovery Time Objective), oltre il quale viene preclusa la capacità di erogare il proprio business e del Recovery Point Objective Identificazione dei requisiti minimali dei processi / servizi in termini di asset tecnologici (con l’individuazione dei tool che assumono rilevanza sistemica), risorse umane, documentazione cartacea rilevante Processi interni Servizi esterni IO P M E ES Definizione del perimetro del Piano di Continuità Confidential Pagina 7 L’analisi dei rischi e le strategie di continuità OBIETTIVO: Analisi dei rischi ed individuazione delle strategie di continuità per ciascuno scenario di crisi considerato ATTIVITÀ: ► ► ► ► Individuazione degli scenari di interruzione dell’attività Risk Assessment al fine di stimare un livello di rischio per ogni scenario di crisi considerato Analisi della documentazione contrattuale con gli Outsourcer / fornitori esterni di servizi al fine di verificare la copertura garantita ai fini della continuità operativa Definizione delle strategie di continuità più idonee per ciascuno scenario di crisi RISK RISK ASSESSMENT ASSESSMENT basato basato su: su: §§ probabilità probabilità di di accadimento accadimentodella della minaccia minaccia §§ impatto impatto potenziale potenzialesul sul processo processo nel nelcaso caso in in cui cui sisi verifichi verifichi la laminaccia minaccia Definizione Definizione delle delle Strategie Strategie di Continuità di Continuità A: Livello di Rischio alto; M: livello di rischio medio; B: livello di rischio basso Confidential Pagina 8 Il piano di emergenza Il processo di gestione della crisi può essere evidenziato con i seguenti passi: Valutazione dell’evento Reazione alla crisi Attività operative durante l’emergenza Ripristino del normale funzionamento ü Notifica della crisi ü Attivazione BET ü Gestione dei trasferimenti ü Ripristino dei nuovi processi ü Analisi ü Disponibilità dei locali e degli strumenti ü Recupero delle attività perdute ü Ripristino del normale funzionamento ü Diagnosi ü Dichiarazione della crisi ü … ü Raccolta dell’informazione rilevante relativa all’evento ü Sulla base degli elementi raccolti, sono valutati gli effetti prodotti dall’evento e, se necessario, viene dichiarato lo stato di crisi dopo l’identificazione del piano d’azioni da intraprendere ü Assegnazione delle mansioni ü Gestione dei trasferimenti ü Avvio del piano operativo di emergenza con le relative risorse ü Riavvio dei processi ü … ü Esecuzione di tutte le attività necessarie durante l’emergenza per il recupero e l’avvio dei processi critici e per la gestione delle risorse umane e tecniche coinvolte Confidential Pagina 9 ü … ü Esecuzione di tutte le attività per il ritorno al normale processo di funzionamento. Le attività per la ricostruzione di risorse, edifici e tecnologie sono progettate e coordinate dal Crisi Manager, tenendo conto della tipologia dei danni Il piano di emergenza Valutazione dell’evento La notifica dell’evento critico può essere comunicata da qualsiasi persona: di conseguenza sono previsti dei passi di escalation fino all’identificazione dello scenario di crisi e la dichiarazione dello stato di crisi da parte del Comitato incaricato. Comitato di Crisi Identificazione dello scenario di crisi Escalation Crisis Manger Referente diretto del Crisis Manager A. Indisponibilità logistica B. Indisponibilità del personale responsabile C. Indisponibilità del sistema informativo D. Indisponibilità dei servizi esterni e o di supporto E. Perdita di documenti contenenti dati importanti Business Emergency Team (BET) Ogni Ognipersona personapuò puònotificare notificareun un potenziale potenzialeevento eventodisastroso disastrosoalal diretto direttoreferente referentedel delCrisis CrisisManager Manager Evento Catastrofico Confidential Pagina 10 Dichiarazione dello stato di crisi Il piano di emergenza Reazione alla crisi Il Piano, per ogni scenario identificato e per ogni processo critico, fornisce: - TABELLA DI DIAGNOSI: lista delle verifiche necessarie per identificare la condizione di funzionamento del processo analizzato - AZIONI LEGATE AI PROCESSI: lista dettagliata delle azioni da eseguire come reazione alla crisi, con l’obiettivo di organizzare le risorse e gli strumenti per l’attività operativa durante l’emergenza Business Continuity Plan Identificazione dello scenario di crisi A. Indisponibilità logistica B. Indisponibilità del personale responsabile C. Indisponibilità del sistema informativo D. Indisponibilità dei servizi esterni e/o di supporto E. Perdita di documenti contenenti dati importanti Azioni legate ai processi (es. Indisponibilità logistica) Tabella di Diagnosi (es. Indisponibilità logistica) N° 1 2 3 BET – Leader BET – Leader BET – Leader Verifica della condizione del personale dedicato ai processi. Analisi delle risorse disponibili e non disponibili Verifica della condizione delle stanze di lavoro. Analisi delle stazioni di lavoro disponibili e non disponibili Verifica di tutte le applicazioni. Analisi delle applicazioni disponibili e non disponibili Confidential Pagina 11 BET – Leader In caso di evacuazione della struttura: Il BET Leader si riunisce con tutti i membri BET nei punti definiti nelle procedure di evacuazione… Nel caso di non evacuazione della struttura: Il BET Leader riunisce il team nel punto più adatto al trasferimento… Il piano di emergenza Attività Attività operative operative durante durante l’emergenza l’emergenza Il Piano, per ogni scenario identificato e per ogni processo critico, fornisce: - TABELLA PER LE ATTIVITA’ OPERATIVE DURANTE L’EMERGENZA: lista dettagliata delle azioni da mettere in atto per eseguire le attività operative in caso di emergenza. Business Continuity Plan Identificazione dello scenario di crisi A. Indisponibilità logistica B. Indisponibilità del personale responsabile C. Indisponibilità del sistema informativo D. Indisponibilità dei servizi esterni e/o di supporto E. Perdita di documenti contenenti dati importanti Tabella delle attività operative durante l’emergenza N° 1 2 ü BET – Leader BET ü ü ü ü 3 Crisis Manager ü Il BET Leader si accerta che le esigenze del trasferimento siano misurate sulla base dei requisiti del personale interessato … Il personale dirige le attività di funzionamento durante l’emergenza secondo le procedure definite … Il Responsabile di gestione della crisi esegue le mansioni necessarie per il ripristino della normale attività, sulla base dell’estensione e della tipologia di disastro … Confidential Pagina 12 Il piano di emergenza Ritorno Ritorno alla alla normalità normalità Identificazione delle attività che conducono al ripristino del processo di normale funzionamento. Business Continuity Plan Identificazione dello scenario di crisi A. Indisponibilità logistica B. Indisponibilità del personale responsabile C. Indisponibilità del sistema informativo D. Indisponibilità dei servizi esterni e/o di supporto E. Perdita di documenti contenenti dati importanti Ritorno alla normalità: azioni principali N° 1 ü Crisis Manager 2 Crisis Committee 3 Crisis Manager ü ü ü ü ü Il Responsabile di gestione della crisi valuta, insieme alla relativa controparte, il percorso ed i tempi per ritornare alla normale attività di funzionamento e controlla la necessità di esecuzione dei seguenti punti … Il Comitato di crisi fornisce le risorse per l’avvio del potenziale progetto di ricostruzione … Il Responsabile di gestione della crisi identifica i responsabili del progetto per la ricostruzione ed il coordinamento delle attività … Confidential Pagina 13 Il piano dei test OBIETTIVO: implementazione e verifica dell’efficacia del Piano di Continuità Operativa ATTIVITÀ: ► ► ► ► Definizione di un master plan delle azioni da intraprendere ai fini dell’implementazione della business Continuity Implementazione del piano di continuità ed attività di PMO Definizione della metodologia e del piano di test Verifica dell’efficacia del Business Continuity Plan tramite simulazione dei test case identificati e identificazione delle azioni correttive da porre in essere IO P M E ES Confidential Pagina 14 La manutenzione del piano di business continuity OBIETTIVO: definizione delle attività necessarie per l’aggiornamento e la manutenzione del Piano di Continuità operativa ATTIVITÀ: ► ► Definizione delle possibili tipologie di eventi che possono comportare variazioni nei documenti riguardanti la Business Continuity Formalizzazione delle attività per l’aggiornamento, la distribuzione e l’archiviazione della documentazione relativa ai Piani di Continuità operativa Cambiamenti: Cambiamenti: ••Logistici Logistici ••Organizzativi Organizzativi ••Legali Legali ••Tecnologici Tecnologici Possibili Possibili fonti fonti di di cambiamento cambiamento Modifiche Modifiche aa seguito seguitodi di attività attività di direvisione revisione ee controllo controllo(e.g. (e.g. test, test, internal internal auditing) auditing) Attività Attività periodiche periodiche di di manutenzione manutenzione Confidential Pagina 15 Verso un sistema di gestione della Business Continuity Confidential Pagina 16 Verso lo standard BS25999 Con BUSINESS CONTINUITY MANAGEMENT si intende un complessivo processo di gestione che consente di identificare gli impatti potenziali che minacciano un’organizzazione e definire un framework che garantisce una risposta efficace agli eventi avversi e una capacità di ripristino delle principali attività, in modo da garantire gli interessi dell’’organizzazione e dei suoi stakeholder, il brand dell’organizzazione e la continua creazione di valore. Il Business Continuity Management System prende in input le necessità e le aspettative in termini di Business Continuity e, attraverso le necessarie azioni e processi, produce i “Business Continuity outcome” che soddisfano tali requisiti e aspettative BUSINESS CONTINUITY MANAGEMENT LIFECYCLE Plan Do Check BS25999-1:2006 - Business Continuity Management -Part1: Code of Practice BS25999-2:2007 - Business continuity management- Part2: Specification Act Stabilire le politiche di business continuity, gli obiettivi, i processi e le procedure per gestire i rischi e per migliorare il business continuity nel raggiungere i risultati in linea con le politiche e gli obiettivi generali dell’organizzazione Implementare le politiche di business continuity, i controlli, i processi e le procedure Valutare, e dove applicabile, misurare le performance dei processi, in relazione alle politiche di business continuity, agli obiettivi e all’esperienza. Riportare i risultati al management Prendere azioni correttive e preventive, basandosi sui risultati del management review, per perseguire il continuo miglioramento del BCMS Confidential Pagina 17 … e verso lo standard BS25777 Relazione tra ICT continuity management e business continuity management BS25777:2008 – ICT Continuity Management: code of Practice ICT Continuity management e le sue relazioni con il BCM La BCM cerca di assicurare che i processi dell’organizzazione siano protetti da interruzioni accidentali e che l’organizzazione sia in grado di rispondere in modo tempestivo ed efficace in caso di disastro. L’ICT continuity management diventa significativa una volta determinate le priorità e i requisiti di business e assicura che l’Information&Communication technology a supporto dei processi possa essere ripristinato in un arco temporale compatibile con le esigenze del business. In questo senso un BCM per essere efficace deve prevedere un ICT continuity management efficace. L’efficacia di un BCM e di un ICT continuity management è tanto maggiore quanto più questi sono radicati nella cultura dell’organizzazione. Confidential Pagina 18 Fattori critici di successo Assicurare che lo sviluppo e la manutenzione del BCM (incluso la continuità dell’IT) sia sponsorizzato da parte dei Responsabili del Business Confidential Pagina 19 Fattori critici di successo Assicurare un metodo e un linguaggio comune tra Business e IT in modo da garantire una valutazione uniforme dei rischi e soluzioni di continuità condivise Confidential Pagina 20 Fattori critici di successo La funzione di coordinamento della Business Continuity dovrebbe avere una profonda conoscenza del business aziendale e una conoscenza di base dell’IT Dovrebbe soluzioni essere assicurata un’integrazione di ripristino del Business e Confidential Pagina 21 tra le dell’IT Lo stato attuale della Business Continuity come emerge dal Global Information Security Survey di Ernst&Young Confidential Pagina 22 Lo stato attuale: la predisposizione del Business Continuity Plan Q33. Quali delle seguenti attività sono incluse nel BCM dell’Organizzazione? Confidential Pagina 23 Lo stato attuale: la valutazione della Business Continuity Q34. Come l’organizzazione valuta quanto previsto dal BCM Confidential Pagina 24 Lo stato attuale: la gestione delle terze parti Q35. Come vengono gestite le terze parti all’interno del BCM? Confidential Pagina 25 Una minaccia particolare: la pandemia Confidential Pagina 26 La pandemia: alcuni possibili scenari A che cosa potremmo andare incontro? ► ► ► ► ► ► ► Assenteismo (40% e oltre) a qualsiasi livello dell’organizzazione Diffusione della malattia in modo repentino e imprevedibile Limitazione dei movimenti e instaurazione del periodo di “quarantena” Incremento della “Social distancing” (cioè la propensione degli individui a mantenere una distanza fisica gli uni dagli altri durante la diffusione di una malattia, in modo da limitare i rischi di infezione) con incremento dei rischi per le organizzazioni dove il contatto con il pubblico è inevitabile o nelle quali i dipendenti condividono i luoghi di lavoro Generazione di un danno economico irreversibile e chiusura del business per le imprese soggette a interruzioni dei processi per periodi prolungati. Aumento delle richieste di assistenza sociale Generazione di disordini economici e sociali a causa del fermo delle imprese che erogano servizi critici per la collettività (telecomunicazioni, sanità, energia, trasporti, etc) Assistenza sanitaria insufficiente per l’intera popolazione Confidential Pagina 27 Le organizzazioni: l’impatto sulle persone ► Persone: durante la prima ondata della pandemia, un elevato numero di persone si ammala e molte altre rimangono a casa per prevenzione o per paura della pandemia. La crisi influenza le persone chiave nell’esecuzione dei processi critici dell’organizzazione Confidential Pagina 28 Le organizzazioni: l’impatto sui processi ► Processi: oltre all’assenza del personale, i processi dell’organizzazione si deteriorano, sono limitati o addirittura bloccati anche a causa della interdipendenza con altri processi impattati dalla crisi (incapacità di interagire con i clienti, di presenziare agli incontri di lavoro, cancellazione dei viaggi di business, etc. Confidential Pagina 29 Le organizzazioni: l’impatto sulla tecnologia ► Tecnology: l’indisponibilità del personale impatta anche sui servizi tecnologici e potrebbe nascere l’esigenza di operare da posti di lavoro alternativi (casa, altri uffici, etc.) Confidential Pagina 30 IMPORTANZA DEI SISTEMI DI TELECOMUNICAZIONE Le organizzazioni: l’impatto sull’intera organizzazione ► Organizzazione: il contestuale deterioramento dei processi dell’organizzazione e dei servizi tecnologici a supporto degli stessi causa una reazione a catena che fa collassare gli altri gruppi di asset dell’organizzazione Confidential Pagina 31 Le organizzazioni: l’impatto delle condizioni esterne ► Indisponibilità dei servizi esternalizzati: i processi sono impattati anche dal deterioramento dei servizi offerti dai fornitori/outsourcer dell’organizzazione Confidential Pagina 32 Le azioni da intraprendere Conoscere il problema Il ► Business Continuity Manager dovrebbe documentarsi sullo scenario, sui potenziali problemi, su situazioni analoghe verificatesi nel passato etc. Per fare questo: Leggere il materiale informativo ► ► ► ► ► ► ► Ministero della salute e delle politiche sociali “Piano nazionale di preparazione e risposta ad una pandemia influenzale” World Health Organization “WHO global plan for preparing to an influenza pandemic” United Kingdom “Pandemic flu: a national framework for responding to an influenza pandemic” Spanish; “Actualizacion del plan nacional de preparacion y respuesta ante una pandemia de gripe” Ulteriori documenti governativi Seguire forum specialistici in materia Partecipare a meeting con specialisti del settore Confidential Pagina 33 Le azioni da intraprendere Nel predisporre o aggiornare il proprio piano di BC le organizzazioni dovrebbero considerare la minaccia di pandemia e diventare consapevoli del proprio posizionamento relativamente alle soluzioni di continuità adottate o da adottare ► Organizzazioni che hanno già sviluppato un BCP ► Dovrebbe essere effettuata una revisione del BCP con particolare attenzione: ► ► ► ai requisiti minimali relativi allo scenario di indisponibilità del personale alle soluzioni di continuità adottate per fronteggiare lo scenario suddetto Organizzazioni che non hanno sviluppato BCP ► ► La Business Impact Analysis dovrebbe essere sviluppata prendendo in considerazione il ruolo del personale nei processi dell’organizzazione, i requisiti di ripristino minimali relativi alle risorse umane e le soluzioni di continuità per governare lo scenario di indisponibilità delle risorse umane Dovrebbero essere identificate le interdipendenze tra fornitori, tecnologie, stakeholdeer, informazioni etc. Confidential Pagina 34 Analisi dei requisiti minimali In accordo con WHO, uno scenario di pandemia da influenza può essere caratterizzato dai seguenti stadi: Confidential Pagina 35 Analisi dei requisiti minimali Per ogni processo critico dell’organizzazione dovrebbe essere effettuata un’analisi dei requisiti minimali di ripristino, considerando le indicazioni fornite a livello mondiale sull’evoluzione temporale della pandemia. L’analisi dovrebbe considerare un periodo di almeno sei mesi ► Confidential Pagina 36 TIME Analisi dei requisiti minimali: personale Le organizzazioni dovrebbero considerare nell’analisi almeno i seguenti aspetti: ► ► ► ► ► ► ► ► Un periodo di crisi di almeno sei mesi e un tempo medio di durata dell’infezione di circa 6-8 settimane I rischi per il personale che svolge attività critiche Il personale che non può svolgere le proprie mansioni da luoghi alternativi a quelli ordinari La capacità di operare da luoghi alternativi agli ordinari luoghi di lavoro Gli strumenti e le modalità disponibili per documentare, trasferire o replicare le competenze delle risorse Lo sviluppo di procedure per governare gli spostamenti del personale verso luoghi sicuri La composizione del Comitato di crisi e i possibili sostituti La formazione del personale Confidential Pagina 37 Analisi dei requisiti minimali: processi Relativamente ai processi le organizzazioni dovrebbero almeno considerare: ► ► ► ► ► ► ► Lo sviluppo di politiche e procedure per regolare i viaggi di lavoro, i meeting, la fornitura di forza lavoro, etc. Un’analisi dei processi che hanno maggiore necessità di “Forza umana” I meccanismi alternativi per l’interazione con clienti e fornitori (agenti ambientali) e per monitorare le interdipendenze critiche con gli stessi Valutazione degli impatti sugli agenti ambientali Il potenziale incremento generale della richiesta di merci e servizi essenziali (in caso di crisi) La selezione dei prodotti prioritari da distribuire ai clienti/utenti L’effetto degli outsourcer sui processi, incluso la possibilità di contaminazione dall’esterno Confidential Pagina 38 Analisi dei requisiti minimali: tecnologia In considerazione del potenziale incremento dell’operatività dai siti alternativi e dalla conseguente necessità di potenziamento dei sistemi di telecomunicazioni l’organizzazione dovrebbe almeno considerare: ► ► ► ► ► Un’analisi dei dispositivi o dei servizi necessari a supportare il telelavoro o in generale l’operatività del personale dai luoghi alternativi (possibilità di connessioni intranet, extranet, teleconferenze, etc.) Un’analisi della disponibilità della banda di rete e della sua reale capacità di supportare i servizi di cui al punto precedente Un’analisi dei contratti con i fornitori/outsourcer per verificare le garanzie di erogazione dei servizi in caso di crisi Una valutazione dei servizi voce (VOIP, PBX, risponditori automatici) La disponibilità del personale di supporto tecnico Confidential Pagina 39 Le strategie di recupero: idoneità della strategia Oltre all’identificazione dei requisiti minimali relativi al personale, deve essere individuata e implementata una specifica soluzione di continuità, in linea con gli stadi previsti dal WHO Confidential Pagina 40 Le strategie di recupero: gli obiettivi Deve essere garantito il duplice obiettivo di minimizzare il numero di infezioni e di assicurare la continuità dei processi critici delle organizzazioni Confidential Pagina 41 Le strategie di recupero: prevention Tra le principali azioni da intraprendere durante questa fase ricordiamo: ► ► ► ► ► ► ► ► ► ► Attribuire specifiche responsabilità al Crisis Management Committee e prevedere l’inserimento nel Comitato di figure ulteriori rispetto a quelle ordinarie previste per il Business Continuity (ad es. staff medico, HR, IT..) Monitorare le comunicazioni del “World Health Organization” Prevedere la vaccinazione del personale (in generale adottare misure sanitarie) Garantire la salvaguardia delle informazioni aziendali (documentare i processi, introdurre un repository delle informazioni) Rivedere i contratti con i fornitori di servizi e, se necessario, adattare specifici Service Level Agreement Erogare corsi di formazione per il personale Definire piani di comunicazione sia per l’interno che per l’esterno dell’organizzazione (da utilizzare in caso di crisi) Definire specifici piani di test e piani di rientro alla normalità Acquisire mezzi di tecnologici per assicurare le necessarie telecomunicazioni (valutare la possibilità di utilizzare il telelavoro) Definire politiche che regolamentano i viaggi di lavoro, i meeting, etc. Confidential Pagina 42 Le strategie di recupero: preparation Tra le principali azioni da intraprendere durante questa fase ricordiamo: ► ► ► ► ► ► ► Ricordare ai dipendenti le misure preventive per combattere le infezioni Fornire protezioni fisiche ai dipendenti (maschere, etc.) Acquisire prodotti per la disinfezione dei locali e prevedere misure ulteriori per la pulizia dei posti di lavoro Fornire servizi medici di supporto al personale Stabilire modalità alternative per la comunicazioni tra i dipendenti (chat, istant messaging, etc) Monitorare le indicazioni del WHO Preallertare il personale chiave e il personale previsto per il backup Confidential Pagina 43 Le strategie di recupero: reaction Tra le principali azioni da intraprendere durante questa fase ricordiamo: ► ► ► ► ► ► ► Comunicare all’organizzazione la dichiarazione ufficiale di pandemia Adottare i piani predefiniti per fronteggiare la pandemia Attivare i protocolli previsti per la rilevazione delle infezioni Prevedere la disinfezione quotidiana dei posti di lavoro Valutare l’adeguatezza dei posti di lavoro rispetto alle politiche predefinite Adottare le politiche di gestione dei viaggi di lavoro, dei meeting, etc. Monitorare l’evoluzione delle infezioni del personale dell’organizzazione, dei fornitori e dei clienti Confidential Pagina 44 La situazione attuale Molte organizzazioni hanno acquisito la consapevolezza del rischio e stanno muovendo i primi passi per la definizione di procedure o soluzioni atte a fronteggiare la potenziale crisi. Esempi di azioni predisposte: ► ► ► ► ► ► Incremento della frequenza degli incontri dei Comitati di Crisi per la valutazione della situazione corrente Monitoraggio costante delle comunicazioni del WHO per ottenere informazioni sullo stato delle pandemie Acquisizione e somministrazione al personale di vaccini antivirali Formazione sulle misure preventive Valutazione e implementazione di misure tecnologiche per agevolare la telecomunicazioni Valutazione e identificazione di possibili modalità o sedi alternative di lavoro (es telelavoro) Confidential Pagina 45