© 2014 IBM Corporation

IT Resilience per le banche: metodologia, applicazioni e infrastruttura Ing. Andrea CoronaTechnical Solution Architect - IBM Global Business Services

(andrea.corona@it.ibm.com)

Ing. Alberto PeronaciSenior IT Architect - IBM Global Technology Services

(aperonaci@it.ibm.com)

© 2014 IBM Corporation

Cosa è la resilienza? dall’ingegneria dei materiali all’informatica ...

3

La capacità di un materiale di resistere a forze impulsive (ovvero la capacità di resistere ad urti improvvisi senza spezzarsi).

La capacità di un sistema IT di fornire e mantenere un livello di servizio accettabile a fronte di malfunzionamenti ed eventi che sono al di fuori della normale operatività.

© 2014 IBM Corporation

Perché è importante la resilienza?

1. Rilevanti danni economici e di immagine per la banca a causa degli incidenti

2. Distorta percezione della qualità di un banca da parte dei clienti a causa di malfunzionamenti dei servizi informatici – visibilità di un incidente oggi amplificata dai social

network.

3. Errori nei processi e perdite dei dati, patrimonio inestimabile per la banca, a causa degli incidenti

4. Danni all’intero sistema economico, in quanto le banche ne costituiscono la spina dorsale

5. Raccomandazioni e per certi versi imposizioni da parte degli organi regolatori e di vigilanza:– possibili sanzioni in caso di inadeguatezza del

sistema informativo

4

… dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un’architettura flessibile, resiliente e integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la dematerializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari;

The Bank has taken a £175million hit to cover costs and compensationrelating to this “glitch”

© 2014 IBM Corporation

Come la vedono gli enti regolatori e di vigilanza?

Nuove disposizioni di vigilanza prudenziale per lebanche (Circolare 263 – Agg. 2/7/2013)

5

… dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un’architettura flessibile, resiliente e integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la dematerializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari;

Capitolo 8 – Il Sistema Informativo

© 2014 IBM Corporation

Come affrontare il tema della resilienza?

6

By failing to prepare, you are preparing to fail

Benjamin Franklin (1706-1790)

© 2014 IBM Corporation7

Un approccio strutturato alla resilienza: IBM IT Resilience Framework

Puoi scegliere quello che meglio si adatta alle tue esigenze

3 metodi complementari

1 2 3

© 2014 IBM Corporation

1 - Resilience Assessment

Ci sono vulnerabilità nel mio sistema informativo in termini di resilienza?

8

© 2014 IBM Corporation

Alcuni esempi di report prodotti dall’assessment

9

Raccomandazioni operative ordinate per prioritàHeat Map dei rischi

Prob

abili

tà (e

ntro

2 a

nni)

Impatto potenziale

Com

ples

sità

Costi

© 2014 IBM Corporation

2 - Resilience Proving

Come posso dimostrare praticamente la resilienza del mio sistema informativo?

10

© 2014 IBM Corporation

Scorecard e manuale della resilienza : 2 strumenti di governo

11

XX

Scorecard

Manuale della resilienza

� Il Manuale della Resilienza fornisce la guida richiesta per progettare sistemi in cui la resilienza è designed-in.

� Il rispetto dei principi di resilienza è verificato mediante l’utilizzo di una scorecard su cui determinare un punteggio per ogni progetto.

� La scorecard è usata in relazione allo stadio progettuale.

� Il punteggio riflette il livello di resilienza per ogni stadio (Presente, Progettato, Realizzato/ Testato, Ottenuto/ Osservato)

© 2014 IBM Corporation

3 - Resilience Maturity

Che livello di maturità ho nel gestire la resilienza?

12

© 2014 IBM Corporation13

Come valutare il livello di maturità: la matrice della maturità

1-Unfocused 2-Aware 5-World Class4-Mature3-Capable

Resilience Action

Resilience Assurance

Resilience Design

Resilience Validation

Demonstration

Preparation

AC

TIVI

TIES

MATURITY

© 2014 IBM Corporation

Service Management (tools)

14

Verso dove dovrebbe puntare una banca secondo IBM

People/Culture

Governance

Resilience Framework

Applications

Infrastructure

Service Management (processes) Com

plia

ntB

ank

Sust

aina

bly

Res

ilien

tB

ank

As-is

Wor

ldcl

ass

Ban

k

Il posizionamento della banca dipendedal livello di maturità nel gestire la resilienza

ROADMAP

© 2014 IBM Corporation

Un caso:

V-TServices Transformation Overview

15

Value Transformation Services6 Countries:Italy, Germany, Austria, Czeck Republic, Slovakia, Hungary

6 Data Centers:2 Italy, 2 Germany, 2 Austria

Legal HQ in Verona (Italy) ~ 1000 employees~ 100.000 total MIPS >12.000 servers40+ petabytes storage > 20.000 network devices

Services for Hungary are delivered toUniCredit Business Integrated Solutions directly

by IBM as a V-TServices subcontractor

Shareholders’ Agreement

IBM

V-TServices HQ

in Italy

51%

V-TServicesGermany

V-TServicesCzeck Rep.

V-TServicesSlovakia

V-TServicesAustria

UniCredit Business

Integrated Solutions

49%

March 18, 2014 Value Transformation Services 16

V-TServices managing and improving the infrastructure supporting UBIS applications for the bank

845.000POS transactions 6.500.000

Bank accounts transactions

3.000.000payments

1.200.000 ATM transactions

480.000Batch jobs

6.000 Changes

75.000 Branch logins

1.400.000Internet logins

126.000.000 technical transactions

1.200 Business services managed

1.300.000 Mails

A V-TS daysupportingUnicredit

16.000 Stock orders

883.000Bank wire transfers

Scope: Italy, Germany, Austria, Czech Rep.

UBIS data as of end 2012

March 18, 2014 Value Transformation Services 17

Nuove disposizioni circ. 263 15° AGG cap 7/8/9

�“minimo privilegio (least privilege)”: il principio che stabilisce che a ciascun utente o amministratore di sistema siano assegnate le abilitazioni strettamente necessarie allo svolgimento dei compiti assegnati;

� Le architetture sono disegnate in considerazione dei profili di sicurezza informatica delle applicazioni ospitate, tenendo conto di tutte le risorse ICT e di supporto interessate (alimentazione elettrica, impianti di condizionamento, ecc.)

March 18, 2014 Value Transformation Services 18

Enabling the initiatives through a transformation program

• Transformation Program that supports the co-sourcing objectives:– Lower cost of infrastructure operations and management

– Improved service delivery quality based on establishedservice levels

– Flexible and scalable systems capable of supporting businessgrowth and new business requirements

– Innovation and transformation are the foundation of the partnership

• Executed over a 30 month period, main approaches include: – Systems and tooling standardization: standard architectural models to be deployed

– Hardware refresh to latest technologies: move to the next level of robustness

– Virtualization and consolidation : virtual data center concept

– Cloud computing: Iaas – Paas - service catalogue

– Comprehensive automation: Change and Configuration Management

• Specific on going assessment to ensure continuous improvement:– Managed Security Services

– Data Protection Services

– Disaster Recovery Services

Aligned with Circ. 263 at different extents

March 18, 2014 Value Transformation Services 19

Mission is to adopt new computational and

information management paradigms that will bring

actual competitive advantages for the bank.

© 2014 IBM Corporation

Conclusioni

� DARE LA GIUSTA IMPORTANZA ALLA RESILIENZA– crescita servizi 24x7, danni d’immagine ed economici nonché rilievi da parte degli organi

di vigilanza

� PIANIFICARE E AGIRE SECONDO UN’APPROCCIO STRUTTURATO A 360°– metodologia olistica che copre Processi, Applicazioni e Dati, e Infrastruttura

� TRADURRE LE DISPOSIZIONI LEGISLATIVE E I PRINCIPI CONTENUTI IN ARCHITETTURE APPLICATIVE E TECNOLOGICHE STANDARD E AFFIDABILI

– grande sforzo di standardizzazione

� IMPLEMENTARE MODELLI ARCHITETTURALI APPLICATIVI E TECNOLOGICI FLESSIBILI CHE, SODDISFACENDO I REQUISITI, PERMETTONO DI MUTARE RAPIDAMENTE LE CONFIGURAZIONI, MANTENENDO O AUMENTANDO IL LIVELLO DI RESILIENZA

– Integrated Systems, Data Center in a Rack, Private and Hybrid Cloud Computing

� ... ED IL TEMA ORGANIZZATIVO – ICT GOVERNANCE & CONTROL …

20