Ercole Colonese

Consulenza di direzione e IT

Home |  Sviluppo software | Gestione servizi IT | Gestione progetti | Test e collaudi | Competenze relazionali | Servizi | Pubblicazioni | Chi sono | Info

Business Continuity e IT Service Continuity
Sito Web

Home > Gestione servizi IT

ITIL

PRINCE2

ISO/IEC 20000

COBIT, ASL, BISL, MOF

SERVQUAL

Certificazioni

> IT Service Continuity

Standard BCM e DR

 

 

Business Continuity

La "continuità operativa", nota come "Business Continuity", rappresenta la strategia aziendale per far fronte a possibili eventi negativi che dovessero compromettere gravemente l'operatività quotidiana. Si tratta di far fronte a eventi dannosi (disastri, furti, attacchi, ecc.) possibili, anche se non frequenti.

La risposta a tali eventi negativi è il Piano di continuità operativa (Business Continuity Plan o BCP).

La pianificazione della continuità operativa rappresenta quindi un processo globale che mira a identificare le possibili minacce al business, le contromisure da adottare, la predisposizione di procedure di eccezione (inclusa l'organizzazione e la sua formazione), la verifica della validità di tali misure (test) e il miglioramento del piano in base ai risultati e ai cambiamenti possibili (interni ed esterni).

La pianificazione della continuità operativa ha rilevanza economica non trascurabile (si pensa che le grandi imprese spendano da 2% al 4% del proprio budget IT nella gestione del Disaster Recovery). Essa riveste perciò rilevanza strategica ed è descritta da metodologie che fanno riferimento a standard in materia (BS 25999).

IT Service Continuity

Nell'ambito della gestione della continuità operativa, la parte relativa ai servizi informatici è detta "IT Service Continuity" o più frequentemente nota come "Disaster Recovery Plan (DRP)". Essa è quindi un sottoinsieme del BCP ed è di questo che ci si occupa in particolare in questa sezione del sito.

Tra gli eventi più importanti che possono colpire le infrastrutture tecnologiche e bloccare l'operatività, si elencano:

  • Blackout elettrico;

  • Incendio, allagamento, crollo;

  • Attacco virale massiccio (disturbo, worm, denial of device);

  • Attacchi logici e di hacker (su interfaccia, applicazione, dati, server) per intercettare, dedurre o sottrarre dati riservati (riservatezza), per disturbare (disponibilità dei servizi) o fare dello spamming;

  • Attacchi fisici (furto, danneggiamento);

  • Caduta del sistema (server, apparati di rete o servizio), di natura hardware o software;

  • Altri eventi distruttivi quali terremoti o altre catastrofi naturali.

Linee guida del CNIPA (DigitPA)

In caso di incidente, devono essere avviate procedure sostitutive a quelle ordinarie. Le linee guida emanate da CNIPA (oggi DigitPA) per tali eventi prevedono procedure che indirizzino i seguenti componenti:

  • Crisis and Incident Management: assicura la gestione dello stato di crisi e la risposta ad incidenti nel caso in cui si verifichi un evento negativo (capace di compromettere la continuità operativa);

  • Continuity Management: assicura la continuità dei processi durante e dopo un'emergenza attraverso procedure alternative (anche manuali) a quelle ordinarie;

  • Disaster Recovery Management: assicura il ripristino (anche parziale) delle infrastrutture tecnologiche a supporto dei processi di business;

  • Business Recovery Management: assicura il ripristino dei processi di business dopo l'emergenza e il ritorno alla normalità.

Ciclo di vita del BCP

La costruzione del Piano di continuità operativa, per la parte relativa ai servizi IT, segue un processo il cui ciclo  prevede le seguenti fasi:

  • Business Impact Analysis (BIA): in questa fase si analizzano i processi aziendali e si identificano quelli "vitali" per il business ("core business"), si identificano i possibili eventi negativi e il loro impatto sulla continuità operativa;

  • Business Continuity Management (BCM) Design: la fase prevede la progettazione e la pianificazione del sistema capace di assicurare la continuità operativa dei processi selezionati; la progettazione riguarda l'organizzazione, i processi, le procedure e gli strumenti necessari;

  • Business Continuity Management (BCM) Implementation:  la fase prevede l'implementazione del sistema progettato facendo particolare attenzione agli aspetti di comunicazione e sensibilizzazione del personale coadiuvata da opportuna formazione;

  • Business Continuity Management (BCM) Monitoring: in questa fase è previsto di effettuare il monitoraggio del sistema implementato attraverso test e simulazioni dei piani e audit periodici specifici;

  • Business Continuity Management (BCM) Maintenance: la fase prevede l'evoluzione del sistema in base ai riscontri (feedback) ricevuti dal monitoraggio e da eventuali nuovi requisiti interni ed esterni ricevuti nel frattempo.

Standard e normative di legge

La gestione della continuità operativa è trattata da Standard BCM e DR internazionali specifici:

  • BS 25999 "Business Continuity", lo standard inglese di riferimento divenuto la base per le successive norme in materia emanate dalla ISO;

  • ISO 22301, "Societal security - Preparedness and Continuity Management Systems - Requirements", rappresenta lo standard ISO sul tema; perfettamente allineato con la BS 25999 da cui prende le mosse e ne riproduce lo schema, la norma definisce i requisiti per la certificazione di un'organizzazione;

  • ISO 22399, "Social security - Guidelines for incident preparedness and operational continuity management". Emessa nel 2007, lo standard descrive le "best practice" in tema di continuità operativa (Business Continuity). Per essere più precisi si tratta di una "Publicly Available Specification" (PAS) che rappresenta una "indicazione di  opportunità", una linea guida alla realizzazione e implementazione di un sistema di gestione per la continuità operativa.

  • ISO 24762, "Information Technology - Security Techniques - Guidelines for Information and Communication Technology Disaster Recovery services" pubblicato nel 2008 presenta una serie di "buone pratiche" sui servizi di Disaster Recovery delle infrastrutture ICT.

Le procedure sostitutive (così come quelle ordinarie) sono aderenti a requisiti e standard sulla sicurezza e la privacy quali, ad esempio, il Dlgs. 196/2003, il Documento Programmatico sulla Sicurezza (DPS), le Linee guida emanate dal CNIPA sulla Business Continuity dei sistemi ICT per la P.A.

Procedure sostitutive

Il Piano di continuità fa dunque riferimento esplicito alle procedure sostitutive (cioè quelle da attivare in caso di incidente) le quali possono essere manuali e/o automatiche e richiedono le seguenti caratteristiche:

  • Analisi del processo;

  • Risposta ai rischi;

  • Identificazione delle strutture di competenza (ruoli e responsabilità);

  • Possibilità di utilizzo di mezzi di supporto alternativi al sistema informatico;

  • Possibilità di errore durante l'utilizzo della procedura sostitutiva;

  • Ripristino e aggiornamento dei dati;

  • Collaudo della procedura sostitutiva e formazione del personale;

  • Monitoraggio dell'effettivo malfunzionamento o blocco della procedura orinaria;

  • Verifica della capacità interna di risolvere il problema.

Ogni procedura sostitutiva avrà un responsabile (owner) e dei referenti operativi.

Il Piano di continuità operativa

Il Business Continuity Plan (BCP) è il documento principale che descrive le modalità operative previste a fronte di un incidente grave. Esso è redatto secondo un modello che prevede contenuti specifici, è approvato dalla Direzione (in quanto prevede un impatto economico, organizzativo e procedurale). Esistono diversi modelli; generalmente esso prevede almeno i seguenti capitoli e paragrafi:

  • Lista di distribuzione

  • Documenti di riferimento

  • Executive Summary

  • Obiettivi del piano

  • Glossario dei termini

  • Gestione del rischio

  • Business Impact Analysis (BIA)

  • Piano di risposta agli incidenti: Lista di controllo per risposta immediata (Checklist); Procedure di evacuazione; Procedure di ripristino (manuale); Ruoli e responsabilità; Contatti (Key Contact Sheet); Registro degli eventi (Event Log);

  • Ripristino (Recovery)

  • Mantenimento del piano (include la formazione, i test e la manutenzione delle procedure e del piano)

Il piano rappresenta un asset importante e come tale è mantenuto aggiornato e "vivo" costantemente.

News/Articoli/Libri

La serie ISO/IEC 20000 ...

 

Collaborazioni/Associazioni

Tesit Consulting

Tino Giannini

CPM Team Consulting

Felice Del Mauro

 

AICQ Centro insulare

APCO

itSFM Italia

 

Collegamenti utili/Link

ITIL

ITIL, Italia

COBIT

ASL Foundation

ASL BISL Foundation

MOF 4.0

Ercole Colonese © 2005-2012 | Home | Mappa del sito | Pubblicazioni | Chi sono | Info |