consulenza manageriale

mercoledì, agosto 29, 2007

Il Business Continuity Plan e il Sistema di Gestione per la Sicurezza delle Informazioni secondo la norma ISO 27001:2005

Perché il BCP
Le ragioni principali per intraprendere un progetto di BCP:

• Crescente dipendenza negli ultimi anni del business su processi ICT con crescente rischio di perdita del servizio.
• Riconoscimento crescente sull’influenza che un avvenimento imprevisto potrebbe avere sul business.
• Necessità di stabilire un processo da seguire nell’eventualità di un avvenimento distruttivo.
• Necessità di sviluppare una strategia efficace di back up e recovery nel caso di un evento distruttivo.
• Interesse ad abbassare costi e perdite derivanti da eventi distruttivi.
• Evitare perdite di business derivanti da avvenimenti distruttivi.



Business Continuity Plan significa redigere un piano con la finalità di permettere all'organizzazione di continuare le operazioni necessarie al mantenimento o all'accrescimento del proprio business in qualsiasi condizione critica. Un progetto di questo genere comprende una ristrutturazione ed ampliamento di tutte le procedure interne, una valutazione dei sistemi aziendali (applicazioni, infrastrutture tecnologiche, assetto organizzativo) ed una fase di adeguamento e formazione del personale.

Business Continuity Plan (BCP) è il termine utilizzato per indicare le attività finalizzate a garantire il proseguo del business dell’azienda a fronte di eventi classificati, ovvero l’insieme delle attività volte a garantire la continuità dei processi aziendali che concorrono al “core business” dell’azienda. Vengono quindi coperti anche quegli aspetti non prettamente informatici, quali, per esempio risorse umane, interfacciamento verso i fornitori, aspetti comunicativi in caso di crisi.

Questo piano consente di predisporre quanto necessario per:
1. Reagire per assicurare il ripristino dei processi critici
2. Guidare le scelte in caso di crisi
3. Definire procedure alternative per assicurare l’operatività
4. Ridurre il tempo di interruzione dei processi aziendali critici
5. Assicurare che le procedure di ripristino siano efficaci

Tale documento deve possedere una portata operativa immediata. In sostanza, un Business Continuity Plan efficace si basa sull’accettare come fatto che esiste sempre un elemento di rischio: il punto è localizzarlo, valutarlo, stimarne gli effetti e decidere se e come assumersi il rischio. Tutto ciò che è necessario per la continuità operativa, sia i processi essenziali, sia quelli di supporto, devono essere analizzati e presi in considerazione nella definizione di un piano di continuità. Considerando che lo scenario competitivo che influenza la consistenza del business muta continuamente per effetto di fattori esogeni (reazione a cambiamenti del mercato) ed endogeni (riassetto organizzativo) il piano di continuità può essere paragonato ad una istantanea dell'azienda e pertanto valido fino a quando i suoi elementi portanti non mutano. Da quanto detto si deduce che sicuramente la definizione di un piano di continuità parte da una esigenza di affidabilità dei sistemi intesa non solo come risposta a problemi IT ma soprattutto come disponibilità dei sistemi a supporto dei Processi di Business. I confini tematici e metodologici del "Business Continuity Plan" hanno subito negli ultimi anni un significativo mutamento, muovendosi da un'interpretazione rivolta essenzialmente al Disaster Recovery, focalizzato univocamente su information technology and system recovery, a tutti gli aspetti del business spaziando, quindi, dai metodi di alta affidabilità dei sistemi, fino alle gestione delle risorse umane. Si è maturata nel tempo la coscienza di essere di fronte ad un processo di gestione che deve essere costantemente revisionato, aggiornato e testato al fine di creare massima aderenza alle esigenze di business

Il Business Continuity Plan gestisce, quindi, anche i processi di business correlati alle infrastrutture logiche e fisiche dell’Information Technology. In questa prospettiva (e solo in questa) il BCP costituisce a tutti gli effetti uno strumento di controllo del SGSI (Sistema di Gestione per la Sicurezza delle Informazioni), implementato ai sensi degli standard internazionali ISO 27001:2005. In particolare, l’Appendice A (al punto A.14) della ISO 27001:2005 richiama esplicitamente il Business Continuity Plan raccomandando di “includere la sicurezza delle informazioni nel processo per la gestione della continuità aziendale”. Ciò vuol dire che una volta predisposto un piano di continuità aziendale, la parte del medesimo relativa alla sicurezza delle informazioni costituisce a tutti gli effetti un controllo richiesto esplicitamente dalla ISO 27001.

La sicurezza delle informazioni è, quindi, una responsabilità gestionale, e non un fattore esclusivamente tecnologico. La tutela dei dati personali e delle informazioni di business (know-how) è una priorità in tutti i settori di attività. Gli organismi normatori nazionali ed internazionali hanno emanato disposizioni per ridurre il fattore di rischio legato alla gestione delle informazioni, ad esempio, il nuovo Codice sulla Privacy, o la nuova versione del Trattato di Basilea, che hanno implicazioni per tutti i settori (finanza, manifatturiero, servizi, PP.AA.).

Con gli standard internazionali ISO 27001, le organizzazioni hanno la possibilità di affrontare la gestione delle informazioni ed il tema della loro sicurezza delle informazioni in modo organico, considerando tutti gli elementi che possono avere impatti (risorse umane, processi operativi, sistemi tecnologici, eventi interni ed esterni), focalizzandosi sugli aspetti gestionali.



La Metodologia

Qualunque sia la realtà che si vuole analizzare, esiste sempre e comunque un punto di partenza: la definizione dei processi e i relativi livelli di servizio.
Nella costruzione di un Business Continuity Plan e, in seconda battuta, del Sistema di Gestione per la Sicurezza delle Informazioni, non si può pensare di limitare l'identificazione dei processi a quelli dell'infrastruttura tecnologica: le tecnologie costituiscono solamente uno degli aspetti che influenzano il corretto funzionamento di un processo. Essenzialmente il punto di partenza è l'identificazione delle esigenze di business: quali strumenti vengono utilizzati dai responsabili dell’organizzazione? Chi sono i process owner? Esiste una procedura che deve essere seguita per svolgere tale attività? L’esistenza di un sistema informativo di supporto alle attività implica l’analisi dei componenti applicativi che forniscono il sevizio; in questo caso specifico la maggior parte degli sforzi per la definizione del piano, devono essere incentrati nell'analisi dell'applicativo: poiché ci si appoggia su un sistema informativo per la totalità o comunque buona parte delle attività, è chiaro che il sistema rappresenta il fulcro del business. Spesso la determinazione di un livello garantito è percepita semplicemente come un contratto attivabile laddove si instauri un rapporto con un fornitore esterno, ma meno ritenuto necessario/opportuno qualora ci si muova nell'ambito aziendale. In una logica di massimizzazione dell'efficienza e dell'efficacia appare auspicabile la sistematica applicazione di regole e presidi analoghi a quelli utilizzati nei rapporti con fornitori esterni.

Il livello di servizio associato a ciascun processo si ripercuote su ciascun componente applicativo: garantire un livello di servizio per l'intero processo, significa garantire il livello di servizio di ciascun componente.




Le fasi del progetto

Fase 1
La prima attività è “preparare” il Progetto BCP. Questo significa definire le attività di Inizio Progetto e l’Organizzazione delle stesse.


Fase 2
Rivedere i diversi tipi di emergenza che possono determinarsi e stabilire i rischi possibili per i diversi processi.


Fase 3
Identificazione di back-up e strategia di recupero per ridurre gli effetti di una possibile emergenza.

Fase 4
Sviluppo di procedure da eseguire dove la vita umana può essere a rischio.


Fase 5
Sviluppare procedure dettagliate per recuperare il “business”. .


Fase 6
Prova dettagliata della fase del Business Recovery con accurate simulazioni.


Fase 7
Preparazione di tutto il personale all’uso delle procedure per effettivamente gestire il processo di Business Recovery.


Fase 8
Il BCP deve essere considerato un documento dinamico e dunque aggiornato per riflettere tutti i cambiamenti al processo aziendale e strutturale.