Upload
tranminh
View
214
Download
0
Embed Size (px)
Citation preview
Il percorso di approfondimento della continuità operativa
Massimiliano Magi Spinetti
Responsabile settore tecnologie e sicurezza ABISegretario ABI Lab
- 2 -Associazione Bancaria Italiana
Le attività svolte sulla continuità operativa
• Partecipazione alle attività coordinate da Banca d’Italia;
• Consultazione del sistema bancario
• Metodologia per la realizzazione del piano di continuità operativa;
• Coinvolgimento terze parti e infrastrutture critiche.
Il cammino dell’ABI
• Primavera 2002: avvio iniziative di coordinamento
• Luglio 2004: normativa “Gestione della continuità operativa” per le banche;
• Novembre 2004: “Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento”.
Le attività di Banca d’Italia
In seguito agli eventi disastrosi dell’11 settembre le Banche Centrali hanno avviato un processo di definizione delle misure da adottare per garantire la continuità di esercizio sia a livello di sistema che di singolo operatore.
- 3 -Associazione Bancaria Italiana
3. Ambito del piano di continuità operativa
3.1 Correlazione ai rischi
4.2 Processi critici
5. Requisiti particolari
4.7Esternalizzazionedelle attività critiche
4.8 Infrastrutture e controparti rilevanti
4.4 Contenuto del piano
4.6 Risorse umane
4.10Comunicazioni alla Banca d’Italia
4.5 Verifiche
4.9 Controlli interni
4.1 Ruolo dei vertici aziendali
4.3Responsabilità del piano
2Design
4Maintenance,
Testing &Improvement
3Implementation
0Pre-Project Planning
1Assessment
(BIA)
1Assessment
(BIA)
percorso strutturato sulla base deglielementi previsti dalla normativa
Banca d’Italia del 15 Luglio 2004 sulla “Gestione della continuità operativa”
Gli elementi normativi per la gestione della business continuity
- 4 -Associazione Bancaria Italiana
Prime analisi di Banca d’Italia dalla rilevazione di settembre 2004
• Indicazioni dell’Istituto di Vigilanza in merito agli elementi di attenzione
(primi elementi di discussione)
- 5 -Associazione Bancaria Italiana
Prime analisi di Banca d’Italia dalla rilevazione di settembre 2004
(primi elementi di discussione)
- 6 -Associazione Bancaria Italiana
• Relativamente alla Metodologia ABI Lab a quale fase di realizzazione è giunta la vostra azienda?
Lo stato dell’arte nelle banche
pre project planning 97% 3%
fase 1 – BIA 57% 43%
Fase 2 – Design 11% 89%
Fase 3 – Implementation 3% 97%
Fase 4 – Maintenance, testing & improvement 3% 97%
Grazie ad un questionario abbiamo cercato di fare emergere dalle banche partecipanti ai corsi le prospettive di analisi e i relativi key issue sulla Business Continuity nei loro contesti
Si’ No
Risposte di un campione di 60 banche raccolto a feb/mar/apr 2005
- 7 -Associazione Bancaria Italiana
• Nell’ambito dell’applicazione delle attività fino ad oggi realizzate che tipo di difficoltà sono state riscontrate?
DIFFICOLTA’ DI TIPO “Culturali”
• “Difficoltà di coinvolgimento sul progetto, non si percepisce l’abbinamento processi aziendali e rischi da mitigare, si tende a pensare più ai rischi solamente da disaster”
• “Difficoltà da parte dei responsabili in fase di compilazione del questionario preposto per la BIA, perché c’è ancora scarsa consapevolezza”
• “Difficoltà di individuazione e coinvolgimento dei referenti delle unità produttive”
• “E’ importante la trasmissione della cultura della BC nell’azienda”
• “Tutta l'azienda è direttamente coinvolta per lo sviluppo e l'effettivo successo del piano e una cultura di responsabilizzazione della completa struttura aziendale è necessaria come requisito primario.”
Lo stato dell’arte nelle banche
- 8 -Associazione Bancaria Italiana
• Nell’ambito dell’applicazione delle attività fino ad oggi realizzate che tipo di difficoltà sono state riscontrate?
DIFFICOLTA’ PROGETTUALI LEGATE AI “Tempi/Complessità/Novità”
• “Impatto sui tempi molto ristretti di realizzazione.”
• “Complessità nella gestione della Bia relativamente a 14 direzione e 3 società controllate, in pochissimi giorni, partendo da zero per quanto riguarda l’analisi dei processi..”
• “Difficoltà nello stimare l’impatto di blocchi relativamente ai processi. E’ una cosa nuova…”
• “Difficoltà nello stimare l’impatto sul business dei processi definiti critici”
• “Difficoltà nel reperire dati economici relativi a processi e non a prodotti
Lo stato dell’arte nelle banche
- 9 -Associazione Bancaria Italiana
Le prossime iniziative dell’ABI in merito alla business continuity
q Partecipazione alle attività coordinate da Banca d’Italia e al gruppo di lavoro per la realizzazione del piano di continuità di sistema
q Partecipazione alle attività di Gruppi di lavoro istituzionali per il presidio della continuità delle Utilities della PA e del Sistema Paese
q Erogazione di un sistema info/formativo per l’acquisizione di competenze trasversali metodologiche sulla realizzazione del piano di continuità operativa
q Definizione di soluzioni cooperative e standard in autoregolamentazione
q Approfondimenti con il GdL ABI di tematiche di interesse
L’ABI ha individuato l’opportunità di proseguire nell’approfondimento delle logiche di gestione della business continuity con l’ausilio di Gruppi di lavoro banche e aziende ICT
- 10 -Associazione Bancaria Italiana
Adesione al GdL Infrastrutture critiche di telecomunicazionepromosso da Ministero delle Comunicazioni.Partecipazione ai sotto-gruppi di approfondimento:
Servizi e Sicurezzaanalisi dei rapporti di outsourcing instaurati o instaurabili dalle infrastrutture critiche
Gestione delle emergenze e degli incidentianalisi della gestione delle emergenze ICT “locali”
Le iniziative dell’ABI in merito ai servizi infrastrutturali e le utilities
Partecipazione al GdL sulle logiche di sviluppo della Continuità operativa nella Pubblica Amministrazione: sottogruppi sulle Metodologie, Tecnologie e Outsourcing
L’ABI ha intrapreso numerose iniziative al fine di supportare le banche nell’analisi della continuità offerta sui servizi infrastrutturali e le utilities
dagli operatori del sistema Paese
Telecomunicazioni
Approfondimento della “Protezione delle infrastrutture critiche informatizzate” promosso dalla Presidenza del Consiglio dei Ministri
Infrastrutture critiche
Pubblica AmministrazioneCNIPA
- 11 -Associazione Bancaria Italiana
Con lo scopo di sostenere l’azione delle banche, l’ABI, in collaborazione con ABI Lab, ha predisposto un sistema info-formativo costituito da moduli formativi differenziati, messo a punto con ABIFormazione, per l’approfondimento della metodologia e dei tool a supporto.
Le attività info/formativesulla metodologia
Saranno erogati nel corso del 2005 ulteriori moduli formativi differenziati per livello di
approfondimento
Banche che hanno partecipato ai corsiBanca 24-7 , Banca Agricola Popolare Ragusa , Banca Akros , Banca Antonveneta , Banca Carige , BancaCremonese , Banca delle Marche , Banca di Piacenza , Banca di Roma , Banca Etruria , Banca Fideuram , BancaIntesa , Banca Lombarda , Banca Mediolanum , Banca Monte dei Paschi di Siena , Banca Nazionale del Lavoro ,Banca OPI , Banca Passadore , Banca Popolare del Lazio , Banca Popolare dell'Emilia Romagna , BancaPopolare di Fondi , Banca Popolare di Lodi , Banca Popolare di Milano , Banca Popolare di Sondrio , BancaPopolare di Sviluppo , Banca Popolare di Vicenza , Banca Popolare Provinciale Lecchese , Banca PopolarePugliese , Banca Sella , Banco Bilbao Vizcaya Argentaria , Banco di Desio e della Brianza , Banco do Brazil ,Banco Popolare di Verona e Novara , Bcc del Veneziano , Bcc di Roma , BNP Paribas , BPU Banca , Caboto ,Capitalia , Cassa Centrale Casse Rurali Trentine , Cassa dei Risparmi di Forlì , Cassa di Risparmio della Spezia ,Cassa di Risparmio di Alessandria , Cassa di Risparmio di Ferrara , Cassa di Risparmio di Firenze , CCGiudiarie Valsabbia Paganella , Centro Leasing , Citco Bank Nederland , Credem , Federazione MarchigianaBCC , Findomestic Banca , Hypo Alpe Adria Bank , ICCREA Holding , Ing Direct , Interbanca , IstitutoCentrale Banche Popolari , Mediobanca , Mediocredito Trentino Alto Adige , SanPaolo IMI , Tercas - CRProvincia di Teramo , UBAE - Arab Italian Bank , UniCredit
Partner ICT che hanno partecipato ai
corsi
- 12 -Associazione Bancaria Italiana
Il cammino dell’ABI per supportare il sistema bancario
q Attraverso il GdL, l’ABI continuerà ad approfondire la definizione di soluzioni cooperative e standard in autoregolamentazione per le banche appartenenti a Gruppi con attivo minore di 5 mld come previsto tra le attività delle associazioni di categoria nella normativa di Banca d'Italia.
q Inoltre il gruppo di lavoro ha individuato ulteriori punti di attenzione che svilupperà come tematiche di interesse:
• L’analisi e individuazione delle soluzioni di continuità su alcuni processi critici della banca; in prima istanza sono stati considerati di interesse i processi dell'area finanza
• Lo studio della correlazione tra capitale di garanzia della banca e gli investimenti in Business Continuity per la conseguente attenuazione del rischio operativo
• La realizzazione di un osservatorio sulle migliori soluzioni e tecnologie di Disaster Recovery delle banche
• L’analisi delle problematiche relative alle Risorse Umane nella gestione della continuità operativa (es. reperibilità, formazione, retribuzione)
• La risoluzioni e l’approfondimento dei quesiti legali relativi alla gestione contrattuale della continuità con clienti, fornitori di servizi e outsourcer
• Lo studio degli impianti e dei servizi per la continuità dell'energia elettrica
- 13 -Associazione Bancaria Italiana
Definizione dei principali elementi di uno scenario di crisi
Indisponibilità edificio e/o
infrastrutture
Indisponibilità risorse critiche
Indisponibilità sistemi
Evento di CrisiEvento di Crisi
Ripristino processi immediatamente critici
§ Processi che possono richiedere la predisposizione di soluzioni preventive
§Processi per i quali vengono approntate le misure più adeguate sotto il coordinamento del crisis manager
Ripristino altri processi critici
Attivita’ordinaria
Risposta alla crisi
Periodo con operatività degradata(livello minimo accettato)
§ Azioni per la sicurezza del personale e degli asset aziendali
§ Segnalazione ed escalation
§ Identificazione accaduto e valutazione situazione
§Decisione riguardo l’invocazione dello stato di emergenza
Evoluzione dell’operatività verso le condizioni a regime
§Garantire l’operatività minima nelle situazioni di crisi peggiori (“worstcase”) e per il periodo limitato alla finestra temporale definita
Crisis Management
- 14 -Associazione Bancaria Italiana
q Modalità: Analisi con un Gruppo di Lavoro ristretto costituito da Risk Manager, Security manager & BC manager di banche che hanno interesse sulla tematica
q Attività:• Analisi delle tipologie di rischio operativo impattati dai piani di BC e valutazione della
riduzione delle potenziali perdite conseguenti l’implementazione delle soluzioni di BC sui processi di business
• Definizione del modello di correlazione tra capitale di garanzia della banca e gli investimenti in Business Continuity
Realizzazione di un modello di correlazione tra capitale di garanzia e investimenti in BC
Studio di un modello di correlazione tra capitale di garanzia della banca e investimenti in Business Continuity per la conseguente attenuazione dei rischi operativi nell’ottica di Basilea II
ObiettivoObiettivo
- 15 -Associazione Bancaria Italiana
q Modalità: Riflessioni e approfondimenti con il Gruppo di Lavoro sui diversi ambiti della finanza e sulle problematiche delle soluzioni di continuità
q Attività:• Identificazione di un insieme condiviso di processi e rappresentazione dei diversi asset
presenti nelle banche (risorse umane, logistica, piattaforme tecnologiche oggi presenti, fornitori di servizi critici, esposizione al “rischio”, soluzioni già operative)
• Descrizione delle possibili soluzioni alternative e delle problematiche connesse in funzione di macro assetti (schematizzazione in 2-3 tipologie tipiche)
• Valutazione per ogni soluzione dei “driver” di costo realizzativo per l’identificazione corretta del rapporto investimento/beneficio
Analisi e individuazione delle soluzioni di continuità sui processi critici
Identificare possibili soluzioni di continuità su processi critici, con particolare attenzione all’area finanza ObiettivoObiettivo
q Punti di attenzione• Infoproviders• Siti alternativi area finanza: distanza e tempo di raggiungimento
- 16 -Associazione Bancaria Italiana
BIA: Identificazione dell’insieme di processi critici per l’Area Finanza
Tesoreria e portafoglio proprietàTesoreria e portafoglio proprietà
Servizi di investimentoServizi di investimento
Back officeBack office
Esemplificativo
Le valutazioni sulla criticità delle Aree sono esemplificative in quanto non definite quantitativamente e non contestualizzate ad una singola banca.
Prime valutazioni del Gruppo di Lavoro ABI
- 17 -Associazione Bancaria Italiana
q Modalità:• Analisi di mercato con i maggiori operatori ICT per schematizzare/classificare le tipologie
di offerta
• Riflessioni con il Gruppo di Lavoro
Piano DR: Osservatorio sulle soluzioni di DR
q Attività:• Predisposizione di una “check-list” sui punti di attenzione e di un questionario per
approfondire le modalità di approccio al DR delle banche partecipanti (ambiente mainframe e dipartimentale/distribuito)
• Organizzazione di incontri con operatori ICT sull’offerta di servizi di DR
• Analisi di esempi basati su casi operativi delle diverse soluzioni
• Classificazione delle soluzioni e delle modalità di test necessarie per tipologia (soluzione tecnica) e per il livello di “copertura” offerto
• Valutazione dei “driver” di costo/investimento
Identificare soluzioni di DR coerenti con livelli di investimento e assetti organizzativi-operativi sostenibili ObiettivoObiettivo
- 18 -Associazione Bancaria Italiana
Le crescenti necessità delle banche verso gli outsourcer
Fonte: ABI CIPA, Rilevazione sullo stato dell’automazione del sistema creditizio, 2004, 145 banche
Processo A
ProcessoOutsourcer
Processo C
Caso di Outsourcing
Relazioni “complesse” e regolate da contratti
Si denota una sempre maggiore attenzione alla definizione di livelli di servizio contrattuali dettagliati per
tipologia di servizio
La continuità delle attività critiche in outsourcing, in base alla nuova normativa,
rende necessaria una maggiore responsabilizzazione dell’outsourcer sulla
qualità del servizio offerto e sulla continuità