Business Continuity Management
Alcune riflessioni alla luce della normativa, della metodologia ABI e
delle “best practice”
Ing. Anthony Cecil Wright
Presidente ANSSAIF
Responsabile progetto di
Business Continuity
Banca Nazionale del Lavoro
Firenze, 20 maggio 2005
Premessa
Obiettivo di questa relazione è quello di proporre alcune considerazioni
relativamente alla gestione della Business Continuity.
Infatti, mentre i progetti, richiesti dalla recente normativa di Banca d’Italia, stanno
procedendo nella redazione dei piani operativi per la mitigazione dei rischi,
bisogna realizzare la struttura di Business Continuity Management che deve
anche aggiornare le analisi d’impatto; in caso contrario, si rischia che a fine
progetto (2006) i piani redatti non tengano conto dei mutamenti nel frattempo
intervenuti, sia in termini di scenari e rischi, sia di processi critici.
Assume quindi particolare attenzione il posizionamento organizzativo del
Business Continuity Manager, soprattutto per le interrelazioni con la
Sicurezza (ICT e fisica) ed il rischio operativo.
Nel fare ciò, ho ritenuto opportuno trarre anche degli spunti per accennare ad
alcune tipiche problematiche che sorgono nel corso del progetto.
Prima, però, concedetemi due parole su ANSSAIF.
2
Premessa - ANSSAIF





3
Lo Statuto - Art. 1
È costituita l’associazione senza fini di lucro “Associazione Nazionale
Specialisti Sicurezza in Aziende di Intermediazione Finanziaria
(ANSSAIF)”, (…) avente come scopo:
la partecipazione alla maturazione, in tutte le sedi opportune, anche
universitarie, della consapevolezza dei problemi connessi alla
necessaria protezione dei beni informatici, dei dati e delle informazioni,
per garantirne la riservatezza, l’integrità e la disponibilità;
la promozione di studi e ricerche nel campo della sicurezza ICT,
curando altresì di individuare processi e momenti di integrazione della
sicurezza logica e di quella fisica;
la conservazione del patrimonio di esperienze professionali degli
specialisti di sicurezza del settore, anche al termine della loro attività
lavorativa.
Premessa - ANSSAIF

Soci dell’Associazione sono esperti di sicurezza ICT operanti, o che
hanno operato per un congruo periodo, in aziende di intermediazione
finanziaria.
– Attualmente i soci appartengono a 14 tra le maggiori banche e gruppi
bancari.

Soci sponsor possono essere tutte le aziende o Enti che sono
interessati ad avere informazioni e studi sui sistemi di sicurezza.
– Alla data, fra i soci sostenitori annoveriamo l’ASSOCIAZIONE BANCARIA
ITALIANA, CLUSIT, ICAA, BMC Software, E.T., EDS, KPMG, IBM,
SYMANTEC, SIEMENS INFORMATICA, ERNST&YOUNG, ONESIS, CM
Sistemi, …
4
Premessa

Nella mia relazione, faccio riferimento ai seguenti documenti:
– Normativa della Banca d’Italia (15 luglio 2004)
– Metodologia ABI (settembre 2004)
– British Banker’s Association – “A Guide to Business Continuity
Management”
– Financial Services Authority – A Survey on best practices.
5
Premessa
Siccome non tutti i presenti potrebbero conoscere la normativa in
vigore, faccio una breve ricapitolazione delle istruzioni di
Vigilanza sulla continuità operativa.
6
Cosa prevede la Vigilanza
Avvertenza
Trattasi di una sintesi da me personalmente redatta.
7
La normativa
Banca d’Italia si è posta l’obiettivo di far sì che siano
intraprese tutte le iniziative volte a ridurre a un
livello ritenuto accettabile i danni conseguenti a
incidenti settoriali e catastrofi estese che colpiscono
direttamente o indirettamente l’azienda oppure sue
controparti rilevanti.
Ha quindi chiesto agli operatori di sistema e agli intermediari
di predisporre un piano di continuità operativa entro il 2006.
Scadenza intermedia:
Le banche appartenenti a gruppi bancari con un attivo
consolidato superiore a 5 mld.euro devono entro il 30.6.2005
presentare il progetto per la realizzazione del piano
di continuità operativa.
8
La normativa
Quali scenari vanno presi in esame?
Distruzione o inaccessibilità di strutture nelle quali sono
allocate unità operative o apparecchiature critiche;
Indisponibilità di personale essenziale per il funzionamento
dell’azienda;
Interruzione del funzionamento delle infrastrutture;
Alterazione dei dati o indisponibilità dei sistemi a seguito di
attacchi perpetrati dall’esterno attraverso le reti telematiche;
Danneggiamenti gravi provocati da dipendenti.
9
Il piano di continuità operativa
Il piano di continuità operativa, da realizzare entro il 2006…
“è il documento che formalizza i principi,
fissa gli obiettivi e descrive le procedure per la gestione della
continuità operativa dei processi aziendali critici”.
10
Il piano di continuità operativa
Il piano di continuità operativa:
Documenta:
Le modalità per la dichiarazione di emergenza;
L’organizzazione e le procedure da seguire in situazione di crisi;
L’iter per la ripresa della normale operatività.
Stabilisce:
Il tempo massimo accettabile di ripartenza di sistemi e
processi critici;
Le regole di conservazione dei documenti importanti;
Modalità e frequenza di generazione delle copie degli archivi
di produzione;
Le modalità per il ripristino presso i sistemi secondari;
Le modalità di comunicazione con la clientela, le controparti
rilevanti ed i media.
11
Il piano di continuità operativa
Il piano di continuità operativa:
Individua:
Il personale essenziale per assicurare la continuità;
Le località / siti da raggiungere;
Le attività da porre in essere in caso di emergenza.
12
La normativa cosa richiede per giugno 2005
Per la nota scadenza di giugno si richiede di:
1. Analizzare tutti i processi aziendali;
2. Individuare i processi critici mediante:
 Identificazione del livello di rischio tenendo conto sia dei parametri caratteristici della struttura organizzativa e della operatività
Aziendale, sia dei rischi operativi, di mercato, liquidità,ecc.;
 Valutazione delle conseguenze di una interruzione del processo
sotto i diversi profili (economico, reputazionale, ecc.);
13
La normativa cosa richiede per giugno 2005
E per ogni processo critico:
3. Individuare il responsabile,le procedure informatiche di
supporto,il personale addetto, le strutture logistiche
interessate,le infrastrutture tecnologiche, di comunicazione …
4. Definire il tempo massimo accettabile di interruzione;
5. Definire i presidi organizzativi e le misure di emergenza
commisurate ai rischi;
14
La normativa
6. Individuare misure preventive, di emergenza e di ripristino,
7. Valutare le soluzioni di continuità ipotizzate, sotto il profilo
dei costi, investimenti, tempi e risorse previsti per la
realizzazione;
8. Documentare le soluzioni;
9. Ottenere l’approvazione del Vertice Aziendale;
10.Inviare le decisioni assunte alla Vigilanza.
15
Business Continuity Management process: metodologia ABI

Di seguito è schematizzata la metodologia KPMG-NNI per la definizione e
realizzazione di una strategia di continuità

Le attività dalla 0 alla 3 sono attività progettuali necessarie allo sviluppo della
strategia di continuità con scadenze diverse: 0-2 entro il 30/6/2005 e la 3 entro
il 2006. L’attività 4 è una attività continuativa nel tempo a carico delle strutture
della Banca che consiste nel mantenimento e aggiornamento della strategia e
delle soluzioni di continuità adottate
0
Pre-Project
Planning
1
Assessment
(BIA)
Principali output
Fasi
progettuali
da svolgere
una tantum
Principali attività
 Individuazione
16
e valutazione
processi critici
 Valutazione
impatti scenari
di crisi che
minacciano la
sopravvivenza
del business
 Processi
e
risorse critiche
 Perimetro
definitivo
2
Design
 Individuazione
soluzioni
alternative di
continuità
 Definizione
strategia di BC
di riferimento
e impostazione
piano di
implementazio
ne
 Strategia
di
continuità
operativa
 Piano
degli
interventi
3
Implementation
e
predisposizione
infrastrutture e
tecnologie
 Identificazione
 Sviluppo/redazione
del Business
Continuity Plan
 Collaudo,
accettazione del
BCP e preparazione
del personale
 Business
Continuity Plan
 Processo
di crisis
management
 Realizzazione
interventi
Slide tratta da una presentazione KPMG – NNI.
4
Maintenance,
Testing &
Improvement
Attività continuative
a carico delle
strutture della
Banca
Business Continuity Management process: metodologia ABI
Le attività attualmente in corso ’05-’06
X-----------------------------------X--------------X
0
Pre-Project
Planning
1
Assessment
(BIA)
Principali output
Principali attività
 Individuazione
17
e valutazione
processi critici
 Valutazione
impatti scenari
di crisi che
minacciano la
sopravvivenza
del business
 Processi
e
risorse critiche
 Perimetro
definitivo
2
Design
3
Implementation
 Individuazione
 Identificazione
 Definizione
 Sviluppo/redazione
soluzioni
alternative di
continuità
strategia di BC
di riferimento
e impostazione
piano di
implementazio
ne
 Strategia
di
continuità
operativa
 Piano
degli
interventi
e
predisposizione
infrastrutture e
tecnologie
del Business
Continuity Plan
 Collaudo,
accettazione del
BCP e preparazione
del personale
 Business
Continuity Plan
 Processo
di crisis
management
 Realizzazione
interventi
Slide tratta da una presentazione KPMG – NNI.
4
Maintenance,
Testing &
Improvement
Il Business Continuity Manager (BCMgr)
La normativa:


L’Alta Direzione nomina il responsabile del piano di emergenza (…):
“Il CdA stabilisce gli obiettivi e le strategie di continuità del servizio, assicura
risorse umane, tecnologiche e finanziarie adeguate (…)”; domande:
– Il budget per il BCM è “annegato” nei budget delle diverse Funzioni Aziendali, o c’è
uno specifico budget di cui risponde il BCMgr?
– Dalla normativa si evince che il CdA deve approvare la struttura ed il
posizionamento organizzativo del BCM ed assegnare uno specifico budget.

La responsabilità dello sviluppo, della manutenzione e delle verifiche del
piano di emergenza è affidata dall’Alta Direzione a un esponente aziendale
con posizione gerarchico-funzionale adeguata (…):
– Questa frase conferma che il BCMgr è una figura di rilievo nell’ambito dell’Azienda

Le unità operative coinvolte nei processi critici individuano i responsabili di
settore del piano di emergenza. Essi coordinano, per gli aspetti di
competenza, i lavori per la definizione del piano, per l’attuazione delle misure
previste nello stesso e per la conduzione delle verifiche.
– Ogni U.O. ed ogni Società controllata ha un BCMgr.
18
Business Continuity Management: il BCMgr


19
Nulla si dice riguardo al posizionamento del BCMgr (struttura di
“governance”? “line”? Staff al DG?), ovvero, se trattasi di una
funzione di indirizzo od operativa.
Vediamo allora cosa affermano altri autorevoli Enti.
Business Continuity Management: la BBA

“a dedicated team and adequate resources to:
– manage the project”
– Challenge and guide the business
– Report to the Steering Committee and other stakeholders” (…)


Si parla di una struttura aziendale a ciò dedicata.
“Appointed individuals in each business function to:
– Provide data
– Analyze requirements
– Help develop the strategy for their function” (…)


“appointed individuals from critical resource areas such as Facilities,
HR and IT Operations, Telecommunications and Desktop support, as
part of the project team to develop, implement and test the recovery
solutions”.

20
Anche la BBA mette l’accento sulle responsabilità delle U.O. nel BCM
Appare limitativo. Si parla di “team di progetto”: e a regime?
Business Continuity Management: la FSA





“clear accountability”
“senior management sponsorship”
“day to day BCM responsibility of a dedicated function”
“staff involved in BCM are set clear objectives and key performance
indicators”
“separate BCM budgets are allocated to the BCM function and the
DR team within it”





21
Anche la FSA parla di una struttura aziendale dedicata alla BCM.
Al personale addetto sono assegnati obiettivi e KPI.
Ogni BCMgr ha il suo budget
Il budget di Disaster Recovery è incluso in quello di BCM.
A differenza della normativa italiana, si introduce uno sponsor ad
alto livello (forse proprio perché non è stata prevista la nomina del
BCMgr da parte del Vertice Aziendale).
Business Continuity Management: il BCMgr
Rimangono ancora aperte le domande che ci eravamo posti.
Proviamo allora a cercare una risposta andando ad esaminare le
attività nelle quali è impegnato, a regime, il BCMgr, su quali fonti
informative si basa per rispondere adeguatamente alla sua
“mission” e, quindi, le corrispondenti funzioni aziendali.
Non ultimo, si devono analizzare le interrelazioni con il Crisis Manager.
A seguito di queste analisi probabilmente siamo in grado di rispondere
alle domande che ci siamo posti.
22
Business Continuity Management: le attività
– Documentazione dei processi e procedure per i team per rispondere
prontamente ad un incidente;
– Modifica alle procedure degli utenti per migliorare la qualità della
risposta dell’azienda in caso di disastro;
– Modifiche all’ICT necessarie per supportare le strategie di recovery
stabilite;
– Modifiche alle applicazioni IT per agevolare la migrazione in un’altra
installazione e per assicurare un’operatività degradata;
– Scelta di nuovo hardware e software per supportare l'infrastruttura di
recovery;
– Incremento delle protezioni fisiche e degli apparati di continuità (UPS,
generatori, ecc.)
– Scelta di un sito alternativo, in house o in sourcing;
– Test dei piani e delle infrastrutture di recovery,
– Aggiornamento dei piani;
– Formazione del personale coinvolto nel BCPlanning;
– Comunicazione al Vertice sulle risultanze dei test dei piani di
emergenza e formulazione proposta di budget.
23
Business Continuity Management process
Analisi variazioni
(organizzative,
Sistemi Informativi,
logistiche) con
impatto sulla BC
Principali
funzioni
Aziendali
coinvolte
Rilevazione dei
rischi e degli
impatti ai fini
delle esigenze
di continuità
operativa
Ipotesi per discussione
Disegno e
realizzazione
delle soluzioni;
aggiornamento
BCP
Test dei
piani di
continuità
operativa
1
2
BCMgr Capogruppo
R
R
A/R
BCM settoriale
R
R
P/R
C/R
U.O./ Soc.
P
C
C/R
A
Sistemi Informativi-DR
P/R
C
P/R
C
3
Proposta di
budget per
la
continuità
operativa
del Gruppo
4
5
R
P
C
Risorse Umane
C
Organizzazione
Logistica
Sicurezza ICT
Sicurezza Fisica
626(?)
Risk Management
Comitato X
A
A= approva; P=propone; R= realizza; C= Fornisce consulenza nell’ambito delle proprie competenze; I= è informato;
24
C
BCM process(2): alcune ipotesi
1.
2.
3.
4.
5.
25
Il BCMgr deve poter avvertire, della rilevanza dell’impatto sul BCM, il
proponente una variazione organizzativa, logistica, ICT, ecc.; se non
risolta, la problematica viene portata in un Comitato.
Le Funzioni centrali collaborano alla revisione periodica dei rischi
(scenari, perdite economiche, impatti sui processi, ecc.) ai fini dell’
eventuale necessità di revisione del piano di continuità;
Le possibili soluzioni di mitigazione dei rischi vengono esaminate
con le Funzioni competenti, accettate dai BCM di U.O., approvate
dal BCMgr, e realizzate sotto il coordinamento del BCMgr, dei BCM
e delle Funzioni competenti. Include il D/R.
I test, se settoriali, sono sotto la responsabilità dei BCM locali. Il D/R
è responsabilità del S.I., testato con le U.O. /Società , sotto il
coordinamento del BCMgr.
Il budget è predisposto dal BCMgr sulla base delle risultanze delle
fasi precedenti (nuove norme; nuovi rischi; variazioni proposte e
relativo design delle soluzioni; risultanze dei test; ecc.).
Fonti Informative

La normativa prevede:
– “…le banche aggiornino la valutazione dei rischi operativi, adeguino
le strategie in tema di sicurezza e rafforzino i presidi di emergenza in
modo da garantire adeguati livelli di continuità operativa.”

La continuità operativa:
– “… la gestione della continuità operativa comprende tutte le
iniziative volte a ridurre ad un livello ritenuto accettabile i danni
conseguenti a incidenti e catastrofi che colpiscono direttamente o
indirettamente un’azienda.”

Danni:
– Probabilità x vulnerabilità x impatto economico
26
Fonti informative

Probabilità:
– Eventi rari / rarissimi: chi fornisce il dato?
– Il Risk management? Ha le perdite attese (loss collection; archivio
ABI; ecc.). E quelle inattese? L’ORM deve dare l’informazione.
– L’information sharing fra banche può essere una fonte da non
trascurare.
– ANSSAIF ha un team dedicato ed un’apposita sezione sul sito.

Vulnerabilità:
– L’unico modo è eseguire periodicamente l’analisi del rischio.
– Il rapporto CIPA sul rischio informatico costituisce una base di
riferimento.

Impatto economico:
– Questo dato è fornito dalla Business Impact Analysis.
27
Business Continuity Management: il BCMgr
Il BCMgr garantisce “adeguati livelli di continuità operativa”.
Lo sforzo che deve fare l’azienda è più sulla prevenzione che sulla
gestione dell’emergenza (ridurre le probabilità di accadimento),
specialmente quando si tratta di attacchi dall’interno o dall’esterno,
anche attraverso reti telematiche (cfr.normativa).
IL BCMgr necessita di informazioni e competenze fondamentalmente
presenti in strutture di linea (Operations), fatta eccezione per le
risorse umane e i rischi.
Riflessione: il BCMgr non può essere responsabile di tutto, ma
neanche limitarsi a verificare che tutto venga espletato al meglio!
Allora, forse è legittima la domanda: è da escludere la sua collocazione
in una struttura di linea, nella quale si presidiano i processi e le
risorse?
28
Business Continuity Management: il BCMgr
BCMgr e Crisis Manager.
 Innanzitutto dobbiamo chiarire: con Crisis Manager, chi si vuole
indicare? Un alto dirigente della banca, in grado di prendere
decisioni in modo autonomo, avendo anche dei poteri di spesa per il
ruolo ricoperto? Oppure, è una figura prettamente operativa, che è
sul luogo del disastro finché non è tutto risolto, e che riporta ad un
Comitato ristretto di elevato livello?
 il BCM predispone e prova il piano di emergenza. Il Crisis Manager
interviene solo quando c’è la crisi? Ed attua il piano predisposto da
un’altra funzione?
 BCMgr e CM sono due figure operative, decisionisti, esperti
conoscitori delle problematiche in gioco (umane innanzitutto, ma
anche organizzative e tecnologiche).
 Quindi? Non si tratta della stessa persona?
29
Il BCMgr – conclusioni
Il BCMgr è nominato dall’Alta Direzione, ha un budget ed una struttura,
approvati dal CdA, che devono consentirgli di far fronte a quanto
necessario per assicurare all’Azienda di ridurre le conseguenze
derivanti dal verificarsi di incidenti o catastrofi anche estese.
Coordina le attività dei BCM delle Unità Organizzative e delle Società
del Gruppo.
Può avere la responsabilità del Disaster Recovery; il piano di D/R
rientra nel Piano di Emergenza, di cui è responsabile.
Per la sua attività necessita di informazioni relative a: scenari di rischio,
probabilità di accadimento di incidenti e catastrofi, vulnerabilità degli
assets. Esegue periodicamente una B.I.A.
E’ allocato in una struttura di linea, qualora abbia un ruolo di effettiva
responsabilità nel garantire adeguati livelli di continuità o sia anche
Crisis Manager. Ciò anche se sarebbe preferibile fosse in staff a DG
/ AD, possibilmente con responsabilità di Security ICT e fisica (cfr.
ABILab– Sicurezza Trasversale). Altrimenti, è allocato in una
struttura di Governance (Risorse Umane; Risk management), se è
cioè responsabile di “indirizzare” e coordinare gli interventi di BCM.
30
The end
Spero di avervi fornito qualche spunto di riflessione.
31