Audit del processo di continuitAudit del processo di continuitààoperativaoperativa
AIEA15 Dicembre 2009
DOCUMENTO PER DISCUSSIONE
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
1
ContenutiContenuti
• Che cos’è l’Audit BCM 2• Il valore di un Audit BCM secondo Protiviti 3• I tipi di Audit 4• Non solo IT Audit 5• Modalità operative di un BCM Audit 6• Gli standard di Business Continuity 7• Metodologie e normative di settore 8• Approccio Protiviti 9• Case Study 12
– Definizione del contesto 13– Obiettivo e ambito di verifica 14– Metodologia dell’Audit 15– Alcune Criticità attese 16– Criticità emerse 17– Aree di Audit 18– Conclusioni 21
• L’esperienza di Protiviti 22
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
2
Un Audit sul Programma di Business Continuity Management (BCM) ha lo scopo di:
– valutare i processi di continuità operativa descritti nei piani;
– valutare l’aderenza ai requisiti espressi dal business;
– verificare la compliance con gli aspetti normativi generali e di settore;
– confrontare le soluzioni adottate con le best practice.
Che cosChe cos’è’è ll’’AuditAudit BCMBCM
Le attività di Audit sono parte integrante del Ciclo di Vita di un Programma di BCM, che consiste nella realizzazione delle soluzioni di Continuità e nella loro gestione e manutenzione.
Inoltre l’Audit può intervenire sia sulle singole fasi del Ciclo di Vita del Programma di BCM sia sull’intero Programma.
Risk Assessment &Business Impact Analysis
Business Alignment
Business Continuity & Strategy Design
Business ContinuityLife Cycle
Executive ManagementSupport & Sponsorship
Training & Awareness
Compliance Monitoring &
Auditing
Testing & Maintenance
Plan Development &Strategy Implementation
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
3
L’intervento di Audit BCM mira a verificare l’aderenza del Programma di BCM ai requisiti espressi prima dell’implementazione delle soluzioni e a valutare che tali requisiti siano coerenti con le caratteristiche specifiche del Business.
Repeatable
Initial
Defined
Managed
Optimized
Il valore di un Il valore di un AuditAudit BCM BCM secondo Protivitisecondo Protiviti
La metodologia prevede:
• la verifica del grado di maturità della soluzione di BCM e del Programma complessivo
• l’identificazione dei gap rispetto alle best practice di settore
• l’elaborazione delle raccomandazioni da seguire per migliorare il Programma di BCM sottoposto ad audit I requisiti
normativi e gli standard di BCM sono percepiti come troppo costosi da implementare.
L’adeguamento ai regolamenti BCM è effettuato solo quando reputato finanziariamente sostenibile; l’Internal Audit esamina il sistema di BCM.
E’ in corso l’adeguamento ai regolamenti per il BCM; l’Internal Audit verifica revisione e manutenzione dei piani. Svolgimento negli ultimi due anni della BIA.
Sono effettuate valutazioni periodiche dei requisiti normativi; l’Internal Audit revisiona i piani su base annua;la BIA è allineata con il business.
L’ Internal Audit rivede la documentazione regolarmente;sono promossi di audit di terze parti del BCP. La BIA èallineata con il business ed effettuata regolarmente.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
4
I tipi di AuditI tipi di Audit
Attività finalizzata, a fronte dell’audit propedeutico, a effettuare uno studio di fattibilità per verificare l’applicabilità delle raccomandazioni previste. Spesso coinvolge gli auditor del BCM in qualità di Subject Matter Expert.
Analisi di applicabilità
Audit propedeutico
Compliance Audit
Tipologia
Attività di Audit volta a verificare la situazione AS - IS, al fine di individuare l’effort necessario per condurre la gestione della Business Continuity al livello di maturità desiderato. La differenza fondamentale rispetto alla valutazione della compliance è la conoscenza, sia da parte dell’auditor sia dell’auditato, del gap tra lo stato attuale della pianificazione e lo stato futuro di continuity management.
Attività di Audit finalizzata ad analizzare e misurare eventi ed evidenze rispetto a specifici standard, e con un determinato livello di dettaglio. La compliance BCM è spesso testata come sottoinsieme di altre attività di verifica (relative ad esempio a un IT Audit), in cui la Business Continuity è inclusa al livello di rischi operativi.
Descrizione
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
5
Non solo IT AuditNon solo IT Audit
In un’attività di audit BCM le componenti che devono essere verificate sono:
– Policy
– Processi
– Persone
– Infrastrutture.
L’IT è un elemento trasversale rispetto alle componenti indicate, ma non è esaustivo di esse, e in quanto tale rappresenta solo uno dei fattori oggetto dell’Audit.I danni derivanti dalla mancata disponibilità dei sistemi IT possono essere considerevoli, ma è potenzialmente maggiore il danno provocato dalla scarsa preparazione delle altre parti dell'organizzazione ad un disastro. Solo se tutte le componenti sono state prese in considerazione l’azienda sarà in grado di fronteggiare l’emergenza. L’audit sulla continuità operativa dovrebbe concentrarsi primariamente sul business, e approfondire gli aspetti tecnologici e informativi dove reputato necessario.
Audit BCM
Policy
Infrastrutture
Processi
Persone
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
6
ModalitModalitàà operative di un BCM Auditoperative di un BCM Audit
• Un Audit BCM può essere effettuato secondo le seguenti modalità operative:
– uso preparatorio di questionari e checklist , sottoposti ai singoli process owner
– conduzione di interviste con i singoli process owner;
– coinvolgimento di più process owner in gruppi di lavoro .
• Le variabili per scegliere tra le modalità elencate sono:
– la complessità della realtà aziendale esaminata;
– i tempi previsti per l’attività di audit;
– il budget allocato.
• Data la complessità delle tematiche di continuità operativa, e l’interdipendenza tra le varie direzioni aziendali al fine della gestione della continuità, è generalmente da privilegiare la modalità delle interviste e dei gruppi di lavoro.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
7
Gli standard internazionaliGli standard internazionali
• BS 25999-1:2006 Business Continuity Management, Part 1: Code of Practice
– Stabilisce i principi, la metodologia e la terminologia per il Business Continuity Management
• BS 25999-2:2007 Specification for Business Continuity Management
– Specifica i requisiti per implementare, mettere in esercizio e manutenere il sistema di Business Continuity (BCMS)
• BS 25777:2008 Information and communications technology continuity management. Code of practice
• NFPA 1600
– Standard per la gestione di un’emergenza / disastro, sviluppato dalla National Fire Protection Association (US)
• NIST SP 800 - 34
– Guida di Contingency Planning per l’Information Technology
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
8
Metodologie e normative localiMetodologie e normative locali
• Banca d’Italia
– Bollettino di Vigilanza n. 7 (Luglio 2004)
– Bollettino di Vigilanza n. 3 (Marzo 2007)
– Basilea II (rischi operativi).
• ABI e ABI Lab
– Metodologia ABI Lab per la realizzazione del piano di continuità operativa (2004)
– Osservatorio Business Continuity e Disaster Recovery (on line)
• ISVAP regolamento 20 (2008)
– articolo 14 comma e: “…al fine di garantire la continuità dei processi dell’organizzazione, sono adottate e documentate procedure e standard operativi orientati alla individuazione e gestione degli eventi che possono pregiudicare la continuità del business…”.
– articolo 33 comma 4: “Le imprese adottano idonee misure per assicurare la continuità della attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività”.
• DigitPA, già CNIPA , Continuità operativa nella Pubblica Amministrazione (2008).
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
9
Approccio Protiviti Approccio Protiviti ((continuacontinua))
Particolare attenzione è posta alle fasi di Risk Assessment e Business Impact Analysis che risultano fondamentali per l’efficacia di un Programma di Business Continuity Management.
L’approccio proposto analizza il Programma di BCM integralmente nelle sue componenti costitutive:
− Crisis Management
− Business Resumption Plan
− IT Disaster Recovery Plan
L’approccio all’Audit BCM è orientato sia alle soluzioni organizzative sia alle soluzioni di processo e tecnologiche, in modo da garantirne la coerenza e l’integrazione. I piani di Disaster Recovery sono irrilevanti in assenza dei piani di ripristino dei processi non-IT. Se i sistemi IT vengono ripristinati da soli, il Business non potrà essere pronto a ripartire.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
10
Approccio ProtivitiApproccio Protiviti
L’approccio adottato da Protiviti deriva da un’esperienza consolidata e considera le linee guida internazionali e i requisiti espressi dagli enti di settore (es. ABI, ISVAP) . Ciò ha portato all’adozione di un sistema di supporto all’audit BCM in cui vengono identificati 23 punti analizzati durante l’esecuzione progettuale:
Analisi - Valutazioni - Raccomandazioni
Rispetto delle Rispetto delle compliancecompliance
Aderenza ai Aderenza ai Requisiti diRequisiti diBusinessBusiness
Allineamento ai
cambiamenti interni ed
esterni
Soluzioni diSoluzioni di Business Continuity ManagementBusiness Continuity Management
AuditAudit BCMBCM
Analisi - Valutazioni - Raccomandazioni
Rispetto delle Rispetto delle compliancecompliance
Aderenza ai Aderenza ai Requisiti diRequisiti diBusinessBusiness
Allineamento ai
cambiamenti interni ed
esterni
Soluzioni diSoluzioni di Business Continuity ManagementBusiness Continuity Management
AuditAudit BCMBCM
L’approccio adottato ha i seguenti obiettivi:
− verifica della conformità rispetto agli standard
− verifica dell’aderenza rispetto ai requisiti di business
− verifica dell’allineamento rispetto ai cambiamenti interni ed esterni
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
11
Approccio Protiviti Approccio Protiviti -- Punti di AnalisiPunti di Analisi
Protiviti adotta un approccio allineato rispetto alle specifiche della BS 25999-2:
5.1 - 6.2Audit RicorrenteCompliance, monitoring e auditing
4.4.3Processo di manutenzione dei piani
4.4.2Processo di testing (obiettivi, esecuzioni e review)Testing e manutenzione dei piani
4.4.2 - 4.4.3Processo di training e awarenessTraining e awareness
3.4Repository dei piani
4.3.3Documentazione del piano di IT Disaster Recovery
4.3.3Documentazione del piano di business resumption
4.3.3Definizione del processo di comunicazione in caso di disastro
4.3.3Documentazione del piano di Crisis Management
4.3.3Contenuto dei piani
Sviluppo di piani e implementazione delle strategie
4.2 - 4.3Accuratezza e applicabilità delle strategie di ripristino e rientro
4.3Integrazione delle soluzioni di business e tecnologica
3.2Analisi costi / benefici
Business alignment
Business continuity e strategy design
Risk Assessment e Business Impact Analysis
Supporto del Management Esecutivo
Macroarea
4.2Coordinamento con fornitori / vendor
Mappatura su BS 25999-2
4.1.2Conduzione del Risk Assessment
3.2.3Allocazione budget e schedulazione annuale
3.2.4Composizione del Team per il Programma di BCM
3.2.2Definizione di policy, standard e misure di gestione
3.2.1Coinvolgimento del Top Management
4.2Definizione delle strategie di ripristino e rientro
4.1.3Mitigazione dei rischi
4.1.1Conduzione della Business Impact Analysis
Area
Review dei requisiti legali, regolamentativi e contrattuali 3.2.1
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
12
Case Case StudyStudy
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
13
Definizione del contestoDefinizione del contesto
Protiviti è stata incaricata di effettuare un'attività di Audit sul programma di continuità operativa per verificare l'adeguatezza del BCM.
• Esigenza espressa
Gruppo finanziario• Settore di business
Il Top Management di WIZ Services ha incaricato l’unità organizzativa preposta alla continuità operativa di sviluppare il piano di continuità per lo scenario di inagibilità della sede principale della compagnia. All’interno di quest’attività è stato formato un Gruppo di Lavoro (GdL) che ha eseguito una attività di Business Impact Analysis (BIA), volta a classificare la priorità dei processi aziendali. Questo ha portato allo sviluppo di una strategia di continuità con cui è stata prevista: (1) la prenotazione di alcune postazioni esterne per gestire un'eventuale crisi, (2) la remotizzazione delle attività lavorative e (3) un piano di ripristino con i livelli di allerta individuati per attivare le procedure. Il GdL quindi ha provveduto a integrare un piano di test sia a livello di review documentale sia a livello di verifiche operative.
WIZ Services• Nome società
• Contesto
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
14
Obiettivo e ambito di verificaObiettivo e ambito di verifica
• Obiettivo dell’Audit sul processo di continuità operativa è stato di verificare:
– l’aderenza delle soluzioni ai requisiti di business;
– l’adeguatezza delle soluzioni in corso di implementazione rispetto alle best practicee agli standard richiesti dal settore;
– l’adeguatezza dei contratti con i fornitori di postazioni di lavoro presso i siti secondari;
– le criticità relative alle componenti del programma BCM in fase di implementazione.
• L’intervento di Audit ha avuto come ambito di verifica :
– la conduzione e formalizzazione della Business Impact Analysis;
– la procedura di Crisis Management;
– il piano di Business Resumption;
– il piano e la soluzione tecnologica di Disaster Recovery;
– le simulazioni previste per il piano di continuità operativa;
– le relazioni con i fornitori esterni contattati per gestire lo scenario di crisi.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
15
3. Confronto
1. Assessment
2. Reviewdocumentazione BCM
4. Valutazione delle strategie di BCM
5. Review dei piani di BCM
6. Analisi delle infrastrutture di
Recovery
7. Analisi delle relazioni con i fornitori
8. Review della pianificazione di test,
manutenzione e training
Collect Evaluate Recommend
9. Sviluppo conclusioni e
raccomandazioni
12. Valutazione dei feedback del Management
11. Conduzione del meeting di chiusura
13. Finalizzazione del knowledge transfer e degli step seguenti
10. Validazione dei risultati
1. Identificazione di:− requisiti interni, di settore,
regolamentativi e di servizio verso i clienti
− priorità operative (processi, segmentazione clienti, ecc.)
− tecnologie critiche (scheduling, mirroring, backup, ecc.)
2. Review della documentazione per la verifica dell’allineamento del BCM agli Obiettivi di Recovery.
3. Confronto relativo a:− modalità di sviluppo dei Piani− interazione con i Process Owner
coinvolti nel Programma di BCM− eventuali inconsistenze
4. Valutazione delle strategie di BCM allo scopo di identificare in che modo esse rispettano i requisiti di business
5. Review dei piani di BCM per l’analisi di:− contatti interni ed esterni− location delle risorse− logistica a supporto− ecc.
6. Analisi delle infrastrutture di Recovery per identificare gli spazi logici/fisici disponibili durante un evento disastro
7. Analisi delle relazioni con i fornitori che contribuiscono alle attività operative e/o di supporto al ripristino del business
8. Review della pianificazione di test, manutenzione e training per identificare il coinvolgimento del personale, il loro aggiornamento e le modalità di svolgimento dei test.
9. Sviluppo conclusioni e raccomandazioni elaborate verificando il gap fra le soluzioni realizzate e in corso di realizzazione rispetto ai requisiti definiti e alle best practice
10. Validazione dei risultati con il Management11. Conduzione del meeting di chiusura durante
il quale vengono raccolti i feedback del Management circa i risultati ottenuti e le raccomandazioni presentate
12. Valutazione dei feedback del Management allo scopo di effettuare una eventuale attivitàdi “tuning” finale delle raccomandazioni sviluppate
13. Finalizzazione del knowledge transfer allo scopo di porre maggior enfasi sulle questioni di Continuità Operativa rilevate con maggior frequenza.
Project Management
Metodologia dellMetodologia dell’’AuditAudit
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
16
CriticitCriticitàà emerseemerse
Durante l’attività di audit e al fine di verificare l'adeguatezza del BCM sono stati individuati i rilievi suddivisi per livello di conformità e di seguito riepilogati:
����Audit RicorrenteCompliance, monitoring e auditing
����Processo di manutenzione dei pianiProcesso di manutenzione dei pianiProcesso di manutenzione dei piani
����Processo di testing (obiettivi, esecuzioni e review)Processo di testing (obiettivi, esecuzioni e review)Processo di testing (obiettivi, esecuzioni e review)Testing e manutenzione dei piani
����Processo di training e awarenessProcesso di training e awarenessProcesso di training e awarenessTraining e awareness����Repository dei pianiRepository dei pianiRepository dei piani
����Documentazione del piano di IT Disaster Recovery����Documentazione del piano di business resumptionDocumentazione del piano di business resumptionDocumentazione del piano di business resumption
����Definizione del processo di comunicazione in caso di disastroDefinizione del processo di comunicazione in caso di disastroDefinizione del processo di comunicazione in caso di disastro
����Documentazione del piano di Crisis Management����Contenuto dei piani
Sviluppo di piani e implementazione delle strategie
����Accuratezza e applicabilitAccuratezza e applicabilitAccuratezza e applicabilitààà delle strategie di ripristino e rientrodelle strategie di ripristino e rientrodelle strategie di ripristino e rientro
����Integrazione delle soluzioni di business e tecnolog ica����Analisi costi / beneficiAnalisi costi / beneficiAnalisi costi / benefici
Business alignment
Business Continuity e strategy design
Risk Assessment e Business Impact Analysis
Supporto del Management Esecutivo
Macroarea
����Coordinamento con fornitori / vendorCoordinamento con fornitori / vendorCoordinamento con fornitori / vendor
Conformità
����Conduzione del Risk Assessment����Allocazione budget e schedulazione annualeAllocazione budget e schedulazione annualeAllocazione budget e schedulazione annuale
����Composizione del Team per il Programma di BCM����Definizione di policy, standard e misure di gestion e
����Coinvolgimento del Top ManagementCoinvolgimento del Top ManagementCoinvolgimento del Top Management
����Definizione delle strategie di ripristino e rientroDefinizione delle strategie di ripristino e rientroDefinizione delle strategie di ripristino e rientro
����Mitigazione dei rischi����Conduzione della Business Impact AnalysisConduzione della Business Impact AnalysisConduzione della Business Impact Analysis
AreaConformità
Non conformitàcritica
Non conformitàsecondaria
Review dei requisiti legali, regolamentativi e contrattualiReview dei requisiti legali, regolamentativi e contrattualiReview dei requisiti legali, regolamentativi e contrattuali ����
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
17
CriticitCriticitàà emerse emerse (continua)(continua)
Si riporta:
• il numero totale di conformità e non conformità (secondarie e critiche);
• la distribuzione percentuale del livello di non conformità per macroarea (fatta 100 la non conformitàcomplessiva).
14
6
3
Conformità
Non conformità secondaria
Non conformità critica
11%
11%
11%
17%
33%
17%
Supporto del Management Esecutivo
Risk Assessment e Business Impact Analysis
Business Continuity e Strategy Design
Business Alignment
Sviluppo di piani e implementazione delle strategie
Compliance, monitoring e auditing
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
18
Aree di Audit Aree di Audit Esempi di Non conformitEsempi di Non conformitàà secondariasecondaria
Non conformitàsecondaria
• Si suggerisce di sviluppare un documento specifico per il Crisis Management, con un approccio sufficientemente generale per consentire la gestione di uno stato di crisi generico.
• La scelta di riportare in un unico documento il piano di Crisis Management e le procedure di ripristino e rientro potrebbe condurre a un processo di gestione della crisi non sufficientemente astratto per essere applicabile a situazioni più generali.
• Non è stato sviluppato un piano specifico per il Crisis Management, ma è stato identificato un approccio che integra in un unico documento le procedure di gestione dello stato di crisi e le procedure di gestione della continuità operativa.
Documentazione del piano di Crisis Management
SVILUPPO DI PIANI E IMPLEMENTAZIONE DELLE STRATEGIE
SUPPORTO DEL MANAGEMENT ESECUTIVO
Non conformitàsecondaria
• Si suggerisce di introdurre una policy per il BCM con identificazione degli obiettivi pluriennali, dei documenti sviluppati o ancora da sviluppare e delle tempistiche e modalità di test previste. Inoltre la policy dovrebbe definire la struttura, l'approccio e l'ambito di applicazione dei piani di continuitàoperativa.
• L'assenza di una policy specifica per il BCM potrebbe inficiare la gestione continuativa del processo. Ad esempio potrebbe produrre disallineamenti o incoerenze qualora sia necessario sviluppare altri piani di continuità operativa.
• L'assenza di indicatori di performance potrebbe comportare un'approvazione del piano a livello formale, senza che siano state esaminate tutte le implicazioni di carattere operativo.
• Non è stata sviluppata una policy specifica per identificare gli obiettivi e l'ambito di applicazione del sistema di Business Continuity. Alcuni requisiti ad alto livello sono stati inseriti nel piano di continuità.
• Non è stata richiesta néformalizzata l'aderenza ad alcun standard specifico.
• Per lo sviluppo delle procedure èstato coinvolto personale esterno, provvisto di certificazione BS 25999.
• Non sono state formalizzate metriche o KPI di progetto. La valutazione è delegata all'esame del Top Management aziendale.
Definizione di policy, standard e misure di gestione
Area Situazione Riscontrata Livello di conformità
SuggerimentiPossibili Conseguenze
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
19
Aree di AuditAree di AuditEsempi di Non conformitEsempi di Non conformitàà criticacritica
RISK ASSESSMENT E BUSINESS IMPACT ANALYSIS
Non conformitàcritica
• Si suggerisce di definire una metodologia per condurre i RiskAssessment, identificando il set di minacce all'operatività e un sistema per l'attribuzione della priorità ai processi aziendali.
• L'assenza della formalizzazione di una metodologia per il Risk Assessment potrebbe rendere difficile la ricostruzione di alcune decisioni, in particolare quelle relative all'attribuzione della prioritàper i processi.
• L'assenza di modelli per il Risk Assessment potrebbe rendere disomogenea la raccolta dei dati dai responsabili di processo, enfatizzando la discrezionalità degli owner del BCM.
• Non è stata formalizzata e condivisa una metodologia per la conduzione del Risk Assessment.
• L'attività di Risk Assessment è stata condotta in forma non strutturata nel corso dell'attività di Business Impact Analysis.
• Soltanto per i rischi di carattere ambientale sono stati raccolti e analizzati dati storici e statistici, archiviati nel repository della Business Continuity.
Conduzione del Risk Assessment
Non conformitàcritica
• Si suggerisce di strutturare un team di risorse interne sulle tematiche di continuità operativa, prevedendo un adeguato passaggio di consegne dal personale esterno.
• Il processo di BCM potrebbe essere influenzato della scarsa allocazione di risorse interne, qualora i consulenti esterni si rendessero indisponibili. Inoltre il forte coinvolgimento dei consulenti potrebbe far apparire il progetto quale iniziativa con scarso commitment interno.
• Il Team di Programma di BCM ècomposto da:
– un Manager (interno), con responsabilità gestionali
– un gruppo di consulenti esterni, con responsabilitàoperative.
Composizione del Team per il Programma di BCM
SUPPORTO DEL MANAGEMENT ESECUTIVO
Area Situazione Riscontrata Livello di conformità
SuggerimentiPossibili Conseguenze
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
20
Aree di AuditAree di AuditEsempi di Non conformitEsempi di Non conformitàà criticacritica
Non conformitàcritica
• Si suggerisce di definire le milestone e le tempistiche del processo di audit del BCM.
• Eventuali modifiche organizzative, tecnologiche e di processo potrebbero non essere rispecchiate dalle procedure di crisi e di continuità operativa.
• Non è stato dettagliato un processo per la revisione periodica degli obiettivi del programma di BCM attraverso attività di audit volte a esaminarne l'efficacia.
Audit Ricorrente
BUSINESS ALIGNMENT
COMPLIANCE, MONITORING E AUDITING
Integrazione delle soluzioni di business e tecnologica
Area
Non conformitàcritica
• Si suggerisce di aggiornare il documento e le strategie di recoveryallineandole alle esigenze di business espresse nel documento di BIA.
• Si suggerisce di revisionare la mappa applicativa e tecnologica del DRP, eliminando gli applicativi che sono stati sostituiti e integrando nelle strategie i sistemi recentemente introdotti.
• Il documento di Disaster Recovery potrebbe non essere rispondente alle esigenze di ripristino in relazione agli applicativi identificati.
• Gli outage degli applicativi recentemente introdotti non sarebbero gestiti in modo pianificato e strutturato, in quanto per tali applicativi non sono state sviluppate le strategie di recovery.
• Il piano di Disaster Recovery èpresente ma risulta non allineato rispetto a:
– obiettivi di ripristino identificati nella BIA, in relazione ad alcuni applicativi amministrativi;
– parco tecnologico e applicativo, che è stato recentemente oggetto di aggiornamento da parte della divisione Sistemi Informativi.
Situazione Riscontrata Livello di conformità
SuggerimentiPossibili Conseguenze
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
21
Case Case StudyStudy -- ConclusioniConclusioni
• In seguito all’Audit è emerso che le aree più sensibili sono:
– Supporto del Management Esecutivo
– Sviluppo di piani e implementazione delle strategie
– Compliance, monitoring e auditing.
• Nonostante sia stato riscontrato un adeguato commitment da parte dell’attuale Top Management, il rischio più significativo per il programma BCM è la gestione continuativa, a causa di:
– assenza di un preciso programma di Audit per il BCM;
– assenza di una policy che definisce gli obiettivi BCM su una scala pluriennale;
– preponderanza di risorse esterne nella gestione operativa.
• Il programma BCM non appare sufficientemente stabile e radicato da poter proseguire in modo “indipendente” a seguito di un avvicendamento dei vertici aziendali.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
22
LL’’esperienza di Protivitiesperienza di Protiviti
• Molti piani di Business Continuity sono disegnati senza rispecchiare fino in fondo le esigenze reali, risultando quindi essere:
– semplicistici;
– incentrati su necessità particolari;
– in alcuni casi poco realistici e incompleti;
– basati su assunzioni non esplicitate (ad esempio circa la disponibilità delle risorse) e di cui non è verificata la reale applicabilità.
• La gran parte dei piani di Business Continuity fallisce al primo test. Essi presentano pertanto inadeguatezze tali da impedire il corretto ripristino dei processi entro i termini richiesti.
• Una buona parte dei piani di Business Continuity non viene mai testata. I “difetti” dei piani e delle procedure non vengono pertanto evidenziati, ed essi sono quasi certamente destinati a non garantire un ripristino tempestivo.
• L'esperienza reale di un disastro ha spesso ben poco a che fare con eventi prestabiliti e con piani sviluppati in circostanze di normale operatività.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
23
Nello specifico, sulla base degli studi di settore e degli interventi consulenziali condotti, abbiamo identificato alcune criticità ricorrenti del processo di BCM:
– scarso commitment da parte del Management sulle tematiche di continuitàoperativa;
– esecuzione di una “BIA Light”, cioè effettuata in modo non strutturato, non allineata rispetto ai requisiti di business, e non esaustiva della totalità dei processi aziendali;
– procedure di Crisis Management assenti o non adeguate, a causa di:
• mancata individuazione di tutti gli interlocutori e dei rispettivi contatti;
• eccessiva genericità del flusso informativo e dell’albero delle chiamate;
– piano di Disaster Recovery non risulta:
• adeguato rispetto agli obiettivi di ripristino identificati dal business;
• aggiornato rispetto alle evoluzioni tecnologiche e organizzative;
• testato da un punto di vista operativo;
– scarsa attenzione alla tematica della continuità dei servizi (IT ma non solo) erogati dai fornitori.
LL’’esperienza di Protiviti esperienza di Protiviti ((continuacontinua))
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
24
LL’’esperienza di Protiviti esperienza di Protiviti ((continuacontinua))
• Il vero nucleo di un programma BCM, che ne garantisce la solidità e la sopravvivenza nel tempo, non risiede nei piani o nelle strategie, ma nel consolidamento delle tematiche di continuità all’interno della cultura aziendale.
• Il programma BCM deve essere infatti “divulgato ” all’interno dell’azienda, e le procedure devono essere note al personale di competenza. Senza la cultura aziendale del BCM, la continuità operativa resta un gradevole esercizio su carta.
• Un audit BCM risulta realmente efficace e utile per il business di un’azienda qualora riesca a porre in evidenza le eventuali problematiche “culturali” legate alle continuitàoperativa, quali:
– mancata o parziale divulgazione dei piani / procedure;
– mancato recepimento degli aggiornamenti o delle ultime evoluzioni dei piani / procedure;
– scarsa sensibilità da parte di alcuni process owner o direzioni aziendali nei confronti del processo di continuità operativa;
– mandato non chiaro e commitment debole per il programma di BCM.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
25
Vi ringrazio per l’attenzione.
Per ogni richiesta di informazioni, si prega di contattare:
Via Tiziano, 32 - 20145 MilanoTel.: +39 02 6550 6301Cell: +39 349 291 [email protected]
Giuseppe Blasi
Powerful Insights. Proven Delivery.TM
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
26
ConfidenzialitConfidenzialitàà
capabiliti…
strategi…
credibiliti…
objectiviti…
productiviti…
protiviti
Questo documento è destinato esclusivamente ai partecipanti alla sessione di studio del 15 dicembre 2009 organizzata da AIEA e non può essere riprodotto e distribuito a terze parti senza l’autorizzazione di Protiviti S.r.l.
© 2009 Protiviti Srl . ConfidenzialeQuesto documento è ad uso esclusivo della sessione di studio AIEA Milano, 15 dicembre 2009, e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
27