© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBIT® - Open Day
Milano23 novembre 2011
Carlo Loveri
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Agenda
14.30 Benvenuto
14.45 Business Continuity & Disaster Recovery Management:
Cenni; Standards di riferimento; Best practices.
BC & DR Management: Considerazioni sul ROI;
ORBIT® – la governance del processo di Business Continuity;
ORBIT®: Benchmarketing e Compliance aglistandards.
ORBIT – Mobile Crisis Management
Carlo LoveriCEO eSolutions Europe
15.45 ORBIT® – Demo. Edoardo MauriSoftware Factory Manager eSolutions Europe
17.45 Domande e risposte.
18.00 Aperitivo e chiusura.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• Società di consulenza fondata nel 2000:• Con una crescita continua di fatturato • Con importanti clienti e progetti• 25 persone (partners, dipendenti e collaboratori esterni)
• da febbraio 2011 fa parte di• Circa 300 collaboratori• 2 sedi (Milano e Roma)• Circa 12 M€ fatturato
eSolutions Europe
Associata al Consorzio ABILab
IBM Business Partner
Certificazioni BS25999
Certificazioni ITIL
Certificazioni CISM /CISA
Certificazioni CBCP DRI
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBIT® - Open Day
Introduzione alla Business Continuity
This document cannot be reproduced or utilized without a written authorization by eSolutions Europe S.r.l.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Business Continuity – Qualche definizione
Per business continuity si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi catastrofici che possono colpirla ……. Il Piano di continuità del business (BCP) contiene informazioni riguardo le azioni da intraprendere in caso di incidente, chi è coinvolto nell’attività e come deve essere contattato. Il piano riflette la posizione dell’organizzazione e degli
stakeholders
Business Continuity Management is an holistic management process that identifies potential impacts that threaten an organization and provides a
framework for building resilience and the capability for an effective response that safeguards
Processo olistico di management che individua le potenziali minacce alle quali è esposta l’organizzazione e gli impatti che esse possono causare sul business nel
caso in cui si manifestassero; fornisce un framework per la costruzione della resilienza dell’organizzazione che abbia capacità di un’effettiva risposta per la
salvaguardia degli interessi dei suoi stakeholder chiave, della reputazionedell’organizzazione, del brand e delle attività con le quali crea valore.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• E’ sufficiente avere dei piani di disaster recovery per avere una copertura dei rischi?
• … per rispondere a questa domanda bisogna capire quali sono le risorse critiche da considerare per definire i piani di emergenza
Business Continuity vs Disaster Recovery
Disaster Recovery
Management
Disaster Recovery
Management
Business Continuity
Management
Business Continuity
Management
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Business Continuity vs Disaster Recovery
SitiSiti
Risorse UmaneRisorse Umane
Sis. InformativiSis. Informativi
InfrastrutturaInfrastruttura
Altri ServiziAltri Servizi
DocumentazioneDocumentazione
Blocco Applicazioni
Blocco Applicazioni
Rischi Meteorologici
Rischi Meteorologici
Rischi di incendioRischi di incendio
Rischi idrogeologici
Rischi idrogeologici
Rischi vulcaniciRischi
vulcaniciRischi di mancanza
del personaleRischi di mancanza
del personale
Rischi ambientalie sanitari
Rischi ambientalie sanitari
Rischi trasportiRischi
trasporti
Malfunzionamento grave Sist. e Reti
Malfunzionamento grave Sist. e Reti
Perdita o corruzione dei dati
Perdita o corruzione dei dati
Attacchi esterni tramite reti telemAttacchi esterni tramite reti telem
Interruzione Telecomunicazioni
Interruzione Telecomunicazioni
Interruzione erogazione gas
Interruzione erogazione gas
Interruzione erogazione acqua
Interruzione erogazione acqua
Razionamento Combustibili
Razionamento Combustibili
Interruzione Condizionamento
Interruzione Condizionamento
Interruzione energia elettrica
Interruzione energia elettrica
Interruzionetrasporto valori
Interruzionetrasporto valori
Interruzione servizi amministrativi
Interruzione servizi amministrativi
Interruzione apparati (non S. I.)
Interruzione apparati (non S. I.)
Perdita di doc. per allagamento-incendio
Perdita di doc. per allagamento-incendio
Perdita di doc. per frode internaPerdita di doc.
per frode interna
Perdita di doc. per furto
Perdita di doc. per furto
Rischi di Ordine Pubblico
Rischi di Ordine Pubblico
Rischi ambientali
Rischi ambientali
Frode grave conperdita di dati
Frode grave conperdita di dati
Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio)
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Business Continuity vs Disaster Recovery
SitiSiti
Risorse UmaneRisorse Umane
Sis. InformativiSis. Informativi
InfrastrutturaInfrastruttura
Altri ServiziAltri Servizi
DocumentazioneDocumentazione
Rischi Meteorologici
Rischi Meteorologici
Rischi di incendioRischi di incendio
Rischi idrogeologici
Rischi idrogeologici
Rischi vulcaniciRischi
vulcaniciRischi di mancanza
del personaleRischi di mancanza
del personale
Rischi ambientalie sanitari
Rischi ambientalie sanitari
Rischi trasportiRischi
trasporti
Interruzione Telecomunicazioni
Interruzione Telecomunicazioni
Interruzione erogazione gas
Interruzione erogazione gas
Interruzione erogazione acqua
Interruzione erogazione acqua
Razionamento Combustibili
Razionamento Combustibili
Interruzione Condizionamento
Interruzione Condizionamento
Interruzione energia elettrica
Interruzione energia elettrica
Interruzionetrasporto valori
Interruzionetrasporto valori
Interruzione servizi amministrativi
Interruzione servizi amministrativi
Interruzione apparati (non S. I.)
Interruzione apparati (non S. I.)
Perdita di doc. per allagamento-incendio
Perdita di doc. per allagamento-incendio
Perdita di doc. per frode internaPerdita di doc.
per frode interna
Perdita di doc. per furto
Perdita di doc. per furto
Rischi di Ordine Pubblico
Rischi di Ordine Pubblico
Rischi ambientali
Rischi ambientali
Blocco Applicazioni
Blocco Applicazioni
Malfunzionamento grave Sist. e Reti
Malfunzionamento grave Sist. e Reti
Perdita o corruzione dei dati
Perdita o corruzione dei dati
Attacchi esterni tramite reti telemAttacchi esterni tramite reti telem
Frode grave conperdita di dati
Frode grave conperdita di dati
????
Questi sono i rischi che impattano sulle risorse critiche e quindi sul business (qualche esempio)Quali sono i rischi coperti da un Piano di Disaster Recovery?
…Quindi un progetto di Business Continuity e’ molto piu’ vasto e articolato di un
progetto di disaster recovery, anzi il piano di disaster recovery e’
un sottoinsieme del progetto di business continuity
…Quindi un progetto di Business Continuity e’ molto piu’ vasto e articolato di un
progetto di disaster recovery, anzi il piano di disaster recovery e’
un sottoinsieme del progetto di business continuity
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
L’evoluzione storica del concetto di Business Continuity
Processi Disaster Recovery Business Continuity Crisis Management
ATTIVITA’
Back up dati/mirroring on line
Trading room attrezzate
Recovery desks
IT Back up
Il Business partecipa più attivamente ai test, riflette sui processi critici e sulle risorse più a rischio
Ogni linea di business incestenella Business Continuity
Durante la crisi il Managementsegue un preciso protocollo coordinato dal gruppo di «Crisis Management»
Le decisioni di invocare le procedure di Business Continuity vengono prese più rapidamente. Focus su sicurezza delle persone
METODOLO
GIE
Duplicazione CED – grandiaziende
Affitto locali CED –piccole/medie
Archiviazione nastri in luoghi remoti
Investimenti in telecomunicazioni
Business Impact Analysis
Definizione di RTO (Recovery Time Objective)
Definizione di RPO (Recovery Point Objective)
Piani di Business Continuity
«Calling Trees» e piani di evacuazione
Piani di crisi con distribuzione delle attività di management
Test con simulazione di scenari di crisi
Crisi di zona
TECNOLOGIA BUSINESS EXECUTIVE MANAGEMENT
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBIT® - Open Day
Business ContinuityRiferimenti Normativi
StandardsBest Practices
This document cannot be reproduced or utilized without a written authorization by eSolutions Europe S.r.l.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Riferimenti normativi ‐ Italia
Finanza
Assic
urazioni
Indu
stria
Banche
Basilea 2Basilea 3•Business Continuity & Operational RiskNormativa Banca d’Italia 2004•Business Continuity Plan•Disaster Recovery Plan•Testing & Exercising•Fornitori critici•Crisis Management
ISVAPRegolamento n.20 2005Gestione dei controlli interni•Controllo dei rischi•Salvaguarda del patrimonioSolvency 2•Written policies in relation to at least risk management•Ensure continuity and regularity•Development of contingency plans
CONSOBComunicazione Maggio 2007•Business Continuity per gli intermediari finanziari
Confindustria(Raccomandazione)•Linee guida BCP•Linee guida DRP
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
E’ obbligatorio per le Pubbliche Amministrazioni italiane la definizione di :
• UN PIANO DI CONTINUITÀ OPERATIVA• che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
• UN PIANO DI DISASTER RECOVERY• che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disasterrecovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
E’ obbligatorio per le Pubbliche Amministrazioni italiane la definizione di :
• UN PIANO DI CONTINUITÀ OPERATIVA• che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
• UN PIANO DI DISASTER RECOVERY• che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disasterrecovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
• UN PIANO DI CONTINUITÀ OPERATIVA• che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
• UN PIANO DI DISASTER RECOVERY• che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disasterrecovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
Il nuovo CADarticolo 50-bis
entro 15 mesi dalla data di entrata in vigore del D. Lgs 235/2010 (Gazzetta Ufficiale N. 6 del 10 Gennaio 2011)
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Riferimenti normativi - Italia
D.Lgs. n. 196
D.Lgs. 81/2008
D.Lgs. 231/01Responsabilità
amministrativa delle persone giuridiche Sicurezza sul
posto di lavoro
Codice in materia di protezione dei dati personali
Richiedo
no
una analisi dei rischi, una analisi degli impatti e opportuni piani di mitigazione e di continuità dei processi correlati
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Riferimenti normativi – Europa
Direttiva Europea 2008/114/CE Protezione delle infrastrutture critiche
•MACROAREE• il sistema elettrico ed energetico, • Le reti di comunicazione, • le reti le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale), • il sistema sanitario, • i circuiti economico finanziari, • le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze,
• SERVIZI ESSENZIALI PER• il benessere della popolazione• la sicurezza nazionale,• il buon funzionamento del Paese e • la sua crescita economica.
Direttiva Europea 2008/114/CE Protezione delle infrastrutture critiche
•MACROAREE• il sistema elettrico ed energetico, • Le reti di comunicazione, • le reti le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale), • il sistema sanitario, • i circuiti economico finanziari, • le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze,
• SERVIZI ESSENZIALI PER• il benessere della popolazione• la sicurezza nazionale,• il buon funzionamento del Paese e • la sua crescita economica.
•MACROAREE• il sistema elettrico ed energetico, • Le reti di comunicazione, • le reti le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale), • il sistema sanitario, • i circuiti economico finanziari, • le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze,
• SERVIZI ESSENZIALI PER• il benessere della popolazione• la sicurezza nazionale,• il buon funzionamento del Paese e • la sua crescita economica.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Riferimenti normativi – iternazionali
Sarbanes‐Oxley Act
• RICHIEDE• una analisi ed una comprensione dei rischi che possono impattare il processo di «Reporting Finnanziario»
• SUGGERISCE• ma non impone la redazione di un opportuno BCP che rifletta tali rischi e ne gestisca la
mitigazione
Sarbanes‐Oxley Act
• RICHIEDE• una analisi ed una comprensione dei rischi che possono impattare il processo di «Reporting Finnanziario»
• SUGGERISCE• ma non impone la redazione di un opportuno BCP che rifletta tali rischi e ne gestisca la
mitigazione
• RICHIEDE• una analisi ed una comprensione dei rischi che possono impattare il processo di «Reporting Finnanziario»
• SUGGERISCE• ma non impone la redazione di un opportuno BCP che rifletta tali rischi e ne gestisca la
mitigazione
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Standards
BS25999
• BS25999‐1 «Code of practice for BCM» (2006)• BS25999‐2 «Specification for BCM» (2007) (PDCA)• Sostituisce PAS56• Definisce il BCM Lifecycle
• Focus on BCM management• Understanding the organization• Determining BCM Strategies• Developing and implementing a BCM response• Exercising, maintenance, audit and self assessment of the BCM
BS25999
• BS25999‐1 «Code of practice for BCM» (2006)• BS25999‐2 «Specification for BCM» (2007) (PDCA)• Sostituisce PAS56• Definisce il BCM Lifecycle
• Focus on BCM management• Understanding the organization• Determining BCM Strategies• Developing and implementing a BCM response• Exercising, maintenance, audit and self assessment of the BCM
• BS25999‐1 «Code of practice for BCM» (2006)• BS25999‐2 «Specification for BCM» (2007) (PDCA)• Sostituisce PAS56• Definisce il BCM Lifecycle
• Focus on BCM management• Understanding the organization• Determining BCM Strategies• Developing and implementing a BCM response• Exercising, maintenance, audit and self assessment of the BCM
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Standard – BS 25999
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Standards
Altri standards
• NFPA (National Fire Protection Agency) (agg. 2007)• In cooperazione con la FEMA (Federal Emergency Management Agency e IAEM
(International Association of Emergency Managers)• Focus su gestione integrata della gestione delle emergenze e dei disastri dal punto di
vista «governativo» e «territoriale»
• NIST SP 800‐34 (National Institute of Standards and Technologies)• «Good Practice»• Focus sui sistemi IT e non sui processi di business
Altri standards
• NFPA (National Fire Protection Agency) (agg. 2007)• In cooperazione con la FEMA (Federal Emergency Management Agency e IAEM
(International Association of Emergency Managers)• Focus su gestione integrata della gestione delle emergenze e dei disastri dal punto di
vista «governativo» e «territoriale»
• NIST SP 800‐34 (National Institute of Standards and Technologies)• «Good Practice»• Focus sui sistemi IT e non sui processi di business
• NFPA (National Fire Protection Agency) (agg. 2007)• In cooperazione con la FEMA (Federal Emergency Management Agency e IAEM
(International Association of Emergency Managers)• Focus su gestione integrata della gestione delle emergenze e dei disastri dal punto di
vista «governativo» e «territoriale»
• NIST SP 800‐34 (National Institute of Standards and Technologies)• «Good Practice»• Focus sui sistemi IT e non sui processi di business
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Altri standards
• ISO/IEC 27031 e BS 25777• Focus su «plan and implement an ICT continuity strategy”
• PAS 77• Focus su «IT Service Continuity Management”
• ISO 22301 ‐ Societal security• Preparedness and Continuity Management Systems ‐‐ Requirements• Focus su «Societal Continuity»• Sostiuirà BS25999‐2
Altri standards
• ISO/IEC 27031 e BS 25777• Focus su «plan and implement an ICT continuity strategy”
• PAS 77• Focus su «IT Service Continuity Management”
• ISO 22301 ‐ Societal security• Preparedness and Continuity Management Systems ‐‐ Requirements• Focus su «Societal Continuity»• Sostiuirà BS25999‐2
• ISO/IEC 27031 e BS 25777• Focus su «plan and implement an ICT continuity strategy”
• PAS 77• Focus su «IT Service Continuity Management”
• ISO 22301 ‐ Societal security• Preparedness and Continuity Management Systems ‐‐ Requirements• Focus su «Societal Continuity»• Sostiuirà BS25999‐2
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Standards
Altri standards
• ISO/IEC 27031 e BS 25777• Focus su «plan and implement an ICT continuity strategy”
• PAS 77• Focus su «IT Service Continuity Management”
• ISO 22301 ‐ Societal security• Preparedness and Continuity Management Systems ‐‐ Requirements• Focus su «Societal Continuity»• Sostiuirà BS25999‐2
Altri standards
• ISO/IEC 27031 e BS 25777• Focus su «plan and implement an ICT continuity strategy”
• PAS 77• Focus su «IT Service Continuity Management”
• ISO 22301 ‐ Societal security• Preparedness and Continuity Management Systems ‐‐ Requirements• Focus su «Societal Continuity»• Sostiuirà BS25999‐2
• ISO/IEC 27031 e BS 25777• Focus su «plan and implement an ICT continuity strategy”
• PAS 77• Focus su «IT Service Continuity Management”
• ISO 22301 ‐ Societal security• Preparedness and Continuity Management Systems ‐‐ Requirements• Focus su «Societal Continuity»• Sostiuirà BS25999‐2
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Best Practices
Altri standards
• BCI – Business Continuity Institute
• DRI – Disaster Recovery Institute
• Certificazioni professionali• Code of Professional Practice• Essenzialmente simili• Presenti in Italia direttamente o tramite partner che erogano corsi ed esami di
certificazione
Altri standards
• BCI – Business Continuity Institute
• DRI – Disaster Recovery Institute
• Certificazioni professionali• Code of Professional Practice• Essenzialmente simili• Presenti in Italia direttamente o tramite partner che erogano corsi ed esami di
certificazione
• BCI – Business Continuity Institute
• DRI – Disaster Recovery Institute
• Certificazioni professionali• Code of Professional Practice• Essenzialmente simili• Presenti in Italia direttamente o tramite partner che erogano corsi ed esami di
certificazione
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Il Processodi
Business Continuity
Management
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Processo BCMgli step principali
Mappatura dei processi aziendali
Definizionedel
perimetro(valutazioneiniziialeimpatti)
Business Impact Analysis
Creazione dei Piani
Operativi di Continuità
per i Processi di Business e
per le Componenti Tecnologiche
Redazione del BCP e del
DRP
Gestione del Piano dei
Test
Gestione della Crisi e
degli Incidenti
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Quanto spesso cambia l’azienda?
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Processo BCMLa gestione degli aggiornamenti
Mappatura dei processi aziendali
Definizionedel
perimetro(valutazioneiniziialeimpatti)
Business Impact Analysis
Creazione dei Piani
Operativi di Continuità
per i Processi di Business e
per le Componenti Tecnologiche
Redazione del BCP e del
DRP
Gestione del Piano dei
Test
Gestione della Crisi e
degli Incidenti
Aggiornamenti continui “endogeni” al processo di Business Continuity
Aggiornamenti continui “esogeni” al processo di Business Continuity
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Processo BCM: i punti di attenzione
Essere sicuri che a fronte di un evento critico il BCP sia l’immagine efficace delle azioni da intraprendere
Gestire gli aggiornamenti BCP
Avere un efficace piano dei test
Gestire gli eventuali EFFETTI DOMINO
Avere gli strumenti e le procedure adeguate per la gestione della crisi e dei test
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• Processi end to end• Processi in input ad altri processiMappatura
• Analisi della criticità degli input ad un processo e del tempo massimo di “resistenza” in assenza di tali input
BIA
• Indisponibilità risorse critiche• Indisponibilità di input critico
Piani operativi
• Azioni dei piani operativi di ripristino• Tempo trascorso VS RTO• Alerting su processi dipendenti all’approssimarsi del RTO
Monitoring
• Estensione del perimetro in funzione del tempo• Innalzamento del livello di crisi•Messaging integrato
Perimetro
L'effetto dominogli oggetti logici
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBIT® - Open Day
Business Continuity e
considerazioni sul ROI
This document cannot be reproduced or utilized without a written authorization by eSolutions Europe S.r.l.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• Chi si occupa di Business Continuity deve spesso rispondere alla fatidica domanda: • Quale è il ROI di un progetto di Business Continuity e Disaster Recovery? E come si calcola?
• La formula classica per il calcolo:• ROI% = ((Benefits – Costs) / Costs) X 100
Business Continuity e ROI
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
La formula è applicabile
• Purtroppo la risposta non può essere positiva. • Posso quantificare i COSTI• NON posso quantificare i BENEFITS anche perché difficilmente ho a disposizioni serie storiche
• Un effettivo ritorno lo si può misurare EVENTUALMENTE solo come "saving" dopo un eventuale impatto.
• In alternativa il ROI può essere quantificato pari alrisparmio delle eventuali coperture assicurative.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• Processo di Business Continuity Management come un tool "marketing".
• Come un una "suprema" garanzia della resilienza e della affidabilità dell'azienda nei confronti dei propri clienti ed in generale di tutti i propri stakeholders.
Un approccio innovativo
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• In ogni caso una governance• Efficiente• Efficace
• Di tutto il processo di BCM è determinante affinché il progetto abbia una aspettativa di ROI positivo.
• Un tool integrato è quindi sostanziale al raggiungimento di un tale obiettivo.
Efficienza ed efficacia
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Uso di un toolEffetti sul processo BCM
NON DISGIUNTO
• un tool BCM facilita il flusso di lavoro e il livello di collaborazione fra le risorse potenzialmente convolte in una situazione di crisi che, altrimenti, potrebbe risultare difficile da gestire in modo efficiente.
STRUTTURATO
• un tool BCM costituisce un eccellente supporto alla costruzione di template operativi per i piani di Business Continuity e Disaster Recovery. Ciò consente di standardizzare i vari elementi del piano di BC/DR garantendo nel contempo la flessibilità dei contenuti di dettaglio.
NON RIDONDANTE
• gli “oggetti” creati con un tool BCM sono riutilizzabili e replicabili. Il Business Continuity Plan ne risulterà snello e privo di ridondanze inutili.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
FLESSIBILE
• Un tool BCM è in grado di fornire una vista multidimensionale delle relazioni fra gli elementi e le entità (business e tecnologiche) di una organizzazione aziendale evidenziandone i rischi interdipendenti e gli eventuali effetti domino a seguito di un impatto.
AUTOMATIZZATO
• L’uso di un database relazionale assicura che la modifica e l’aggiornamento di un singolo elemento (es. numero di telefono) venga propagata direttamente e automaticamente in tutte le parti del piano che fanno riferimento a quell’elemento. Ciò elimina il rischio di avere un piano di Business Continuity e Disaster Recovery non coerente.
NON SOGGETTIVO
• Un tool BCM può contribuire a creare e monitorare il processo di Governance della gestione della Business Continuity e Disaster Recovery aziendale (incluso, ad esempio, i modelli di BCP, BIA, raccolta dei dati, generazione di Piano, autorizzazioni di accesso, etc.).
Uso di un toolEffetti sul processo BCM
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
PRODUTTIVO
• Un tool BCM può supportare l’esecuzione dei test e delle simulazioni di un piano di BC/DR riducendo sensibilmente i costi di pianificazione, esecuzione e analisi post‐test.
ECONOMICO
• Un tool BCM consente risparmi tangibili e quantificabili riducendo l’impegno di risorse necessarie per la logistica, amministrazione e gestione del programma di BC/DR con effetti estremamente positivi sul ROI complessivo.
Uso di un toolEffetti sul processo BCM
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
BIA – BCPTradizionale vs ORBIT
Interviste di persona con questionari ai responsabili di processo
Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo
Riordino, assemblaggio, verifica dei dati e loro immissione su supporto
I dati sono già stati immessi nella fase precedente
Revisione/redazione nuovi questionari per catturare le eventuali variazioni Rilettura dei questionari. Immissione dei dati.
Raccolta dati via internet /intranet direttamente immessi dai responsabili di processo
Redazione manuale analizzando direttamente i dati BIA a video o su report cartaceo
Redazione guidata sulla scorta dei dati BIA resi automaticamente disponibili dall’applicativo
Scrittura manuale delle diverse parti del BCP: risultanze BIA, misure di continuità, procedure, liste di contatto, etc.
Redazione automatica del Piano sulla base dei dati disponibili nella BIA e nella sezione di Design (Piani Operativi)
Tradizionale ORBIT
Raccolta dati per la BIA
Immissione dati
Aggiornamento dati della BIA
Redazione dei Piani Operativi
Redazione BCP
ReportisticaAlta Direzione
Redazione manuale dei report da presentare all’Alta Direzione.
Redazione automatica dei report per l’Alta Direzione.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
2 EU
1 EU 0 EU
6 EU 2 EU
4 EU 2 EU
6 EU 1 EU
2 EU 1 EU
25 EU 8 EU
6 EURaccolta dati per la BIA
Raccolta dati per la BIA
Immissione datiImmissione dati
Aggiornamento dati della BIA
Aggiornamento dati della BIA
Redazione dei Piani OperativiRedazione dei Piani Operativi
Redazione BCPRedazione BCP
ReportisticaAlta DirezioneReportisticaAlta Direzione
Costi di ProgettoBIA + BCP
Tradizionale ORBIT
EU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Testimonianzadel Cliente
Queste fasi di implementazione del BCP, sviluppate e gestite con l’ausilio di una soluzione informatica innovativa risultano sensibilmente più efficienti.
I tempi di redazione del BCP e di implementazione della reportistica
sono notevolmente ridotti rispetto ad un progetto senza questi strumenti
Raccolta dati per la BIA
Raccolta dati per la BIA
Immissione datiImmissione dati
Aggiornamento dati della BIA
Aggiornamento dati della BIA
Redazione dei Piani OperativiRedazione dei Piani Operativi
Redazione BCPRedazione BCP
ReportisticaAlta DirezioneReportisticaAlta Direzione
Tradizionale ORBIT
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Test & ExercisingTradizionale vs ORBIT
Redazione manuale su supporti diversi (fogli word, excel, etc.) di tutte le specifiche necessarie per il test
Redazione guidata, effettuata mediante specifico applicativo delle specifiche di predisposizione del test
Fasi che richiedono il monitoraggio sul posto di ciascuna attività e la loro registrazione/descrizione con supporti diversi.
Fasi che possono essere seguite anche a distanza. Gli attori coinvolti nella prova, all’avvio/fine di ogni attività attivano una “check list” sulla intranet
La documentazione prodotta in fase di monitoraggio necessita di essere decodificata, e analizzata, per produrre i report e le relazioni finali.
La documentazione è già disponibile sotto forma di “log” delle attività svolte dai vari attori, come risultato delle check list (chi ha fatto che cosa, dove, a che ora, etc.)
Sulla scorta delle analisi vengono redatti manualmente i report e le relazioni conclusive
Sulla scorta della documentazione disponibile vengono redatti, solo in parte manualmente, i report e le relazioni conclusive
Preparazione del test
Sviluppo/ Monitoraggio del test
Raccolta e analisi documenti
Redazione verbali e relazioni
Tradizionale ORBIT
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Costi di ProgettoGestione dei Test
1 EU
2 EU 1 EU
2 EU 1 EU
4 EU 1 EU
10 EU 4 EU
2 EU
Tradizionale ORBIT
Preparazione del test
Sviluppo/ Monitoraggio del test
Raccolta e analisi documenti
Redazione verbali e relazioni
EU: Effort UnitEU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Costi Totali di Progetto BIA + BCP + Test
120 30
25 EU 8 EU
10 EU 4 EU
35 EU 12 EU
circa 1/3 delle risorse
ExcelDBAccess ORBIT
Costi di progettoBIA / BCP
Costi di progettoGestione dei test
Totale
EU: Effort UnitEU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Costi totali del progetto
25 23 23
84 4
108 8
4
3 2
0
5
10
15
20
25
30
35
40
1° anno(Trad.)
2° anno(Trad.)
3° anno(Trad.)
1° anno(ORBIT)
2° anno(ORBIT)
3° anno(ORBIT)
BIA/BCP TEST
EU: Effort UnitSomma FTE, Licenze, Logistica, etc.Grande banca (2000 sportelli): 1EU = 75K€
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Processo BCM: la «governance»
Mappatura dei processi aziendali
Definizionedel
perimetro(valutazioneiniziialeimpatti)
Scegliereuno
strumentodedicatoper la
gestionedel
processoBCM
Business Impact Analysis
Creazione dei Piani
Operativi di Continuità per i Processi di
Business e per le
Componenti Tecnologiche
Redazione del BCP e del DRP
Gestione del Piano dei Test
Gestione della Crisi e
degli Incidenti
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Business Continuity Governance: ORBIT®
This document cannot be reproduced or utilized without a written authorization by eSolutions Europe S.r.l.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Il Prodotto
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Disaster RecoveryPlanning
Disaster RecoveryPlanning
Risk Assessment
Risk Assessment
EmergencyManagementEmergencyManagement
IncidentManagement
IncidentManagement
Crisis Management
Crisis Management
Business Continuity Planning
Business Continuity Planning
• ORBIT è la soluzione leader in Italia di GRC (Governance, Risk and Compliance) per la gestione completa del processo di Business Continuity (BCM)e Disaster RecoveryPlanning (DRP):
– raccolta, analisi e gestione della mole di dati che deve essere censita per rispondere alle esigenze di un progetto di BCMS conforme agli standard internazionali (BS 25999);
– riduzione al minimo dei costi generali di progetto;– organizzazione del modello aziendale secondo le
necessità dell'Azienda con opzioni multisocietà, multigruppo, multilingua e multigergo;
– sviluppata in ottica web, offre la possibilità di interfacciamento al Single Sign On e ad altri repository di dati delle Aziende;
– in grado di adattare la propria struttura ai rapidi cambiamenti del mondo economico e tecnologico
– personalizzabile per rispondere nel miglior modo alle diverse esigenze del business.
Cosa è ORBIT
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Cosa è ORBIT
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Mappatura dei processi aziendali
Definizionedel
perimetro(valutazioneiniziialeimpatti)
Business Impact Analysis
Creazione dei Piani
Operativi di Continuità
per i Processi di Business e
per le Componenti Tecnologiche
Redazione del BCP e del
DRP
Gestione del Piano dei
Test
Gestione della Crisi e
degli Incidenti
Moduli BIA/BCP, DR
ModuliPiani Operativi, Storici,
Test, Crisi, Incident, Flussi, BC Monitor,
Mobile
Un progetto di Business Continuity
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Le principali referenze di ORBIT
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
I mod
uli
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBITModulo DR
•Modulo per la Gestione della Crisi;•Modulo per la Gestione dei Test;•Modulo di Integrazione tra Business Continuity e Disaster Recovery
•Messaging e Backup (BC2);
ORBIT DR è totalmente compatibile ed integrabile con altri moduli di ORBIT:
• Condivisione delle configurazione tecniche delle apparecchiature e delle applicazioni IT.
• Integrazione con sistemi di Incident
ORBIT DR è interfacciabile con sistemi di Configuration Management (CMDB)
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Business Continuity(BCP – Test Plan)
Disaster Recovery(DRP)
ORBIT BC – DRI vantaggi di un approccio integrato
Benefici attesi
• Informatizzare il processo di manutenzione e aggiornamento
• Omogeneizzare gli RTO / RPO dei processi e delle apparecchiature
• Gestire la mitigazione del rischio• Gestire test congiunti di BC e DR• Gestire la crisi in maniera integrata
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBITI layers applicativi
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBITLe piattaforme tecnologiche
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Attivitàprogettuale iniziale
Attivitàprogettuale iniziale
Attivitàprogettuale iniziale
Attivitàprogettuale iniziale
•Parametrizzazione•Impostazioni BIA/BCP•Look&feel•Questionari
•Normalizzazione dati•Import massivo•Verifica
•HR•Tassonomie processi•Terze parti•Sistemi Applicativi•Siti•Infrastrutture•Attrezzature specifiche
•LDAP•Active Directory•SSO•RACF•Etc.
ORBITI servizi correlati e le attività progettuali iniziali
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Le certificazioni professionali
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Le Certificazioni
ORBIT Foundation (OF)
ORBIT Certified Functional Analyst (OCFA)
ORBIT Certified System Analyst (OCSA)
ORBIT Master Project Manager (OMPM)
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Le Certificazioni professionali
Descrizione Codice Prerequisiti Durata corso
ORBIT Foundation OF Conoscenza generale delle problematiche di BCM e DRM
2 giornate +esame (4H)
ORBIT Certified Functional Analyst OCFA Conoscenza approfondita delle problematiche di BCM e DRMConoscenza generale degli standard e delle best practices in materia di BCAlmeno 3 anni di esperienza nella BC
5 giornate +esame (4H)
ORBIT Certified System Analyst OCSA Conoscenza delle piattaforme tecnologiche di riferimento per ORBIT (AS, DB, OS)Conoscenza dei linguaggi Java, JSP, Javascript, Ajax, HTMLAlmeno 3 anni di esperienza come System Analyst
2 giornate +esame (4H)
ORBIT Master Project Manager OMPM Conoscenza approfondita delle problematiche di BCM e DRMConoscenza generale degli standard e delle best practices in materia di BCAlmeno 5 anni di esperienza nella BCAlmeno 3 anni di esperienza come Project Manager
3 giornate +esame (4H)
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
ORBIT® - Open Day
Compliance e Benchmarketing
This document cannot be reproduced or utilized without a written authorization by eSolutions Europe S.r.l.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• BS25999• Tutte le clausole della norma hanno una evidenza funzionale in ORBIT (vedi Compliance Matrix)
• Il ciclo PDCA è attuato dalla sequenza dei moduli:• BIA/BCP e DR• Test & Exercising• Storici• Flussi ed interfacce
Compliance agli standards
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• ABILab
• ORBIT gestisce la tassonomia ABILAB ed è conforme a tutte le linee guida ABILab in materia di BC
Compliance agli standards
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
E’ obbligatorio per le Pubbliche Amministrazioni italiane la definizione di :
• UN PIANO DI CONTINUITÀ OPERATIVA• che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
• UN PIANO DI DISASTER RECOVERY• che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disasterrecovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
E’ obbligatorio per le Pubbliche Amministrazioni italiane la definizione di :
• UN PIANO DI CONTINUITÀ OPERATIVA• che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
• UN PIANO DI DISASTER RECOVERY• che costituisce parte integrante di quello di continuità operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disasterrecovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
Il nuovo CADarticolo 50-bis
entro 15 mesi dalla data di entrata in vigore del D. Lgs 235/2010 (Gazzetta Ufficiale N. 6 del 10 Gennaio 2011)
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Le PA predispongono i piani di emergenza in grado di assicurare la
continuità delle operazioni indispensabili per il servizio e il ritorno
alla normale operatività.
•ORBIT© è la soluzione leader in Italia di GRC (Governance, Risk and Compliance) per la gestione completa del processo di Business Continuity (BCM)e Disaster Recovery Planning (DRP).ORBIT© supporta e guida la preparazione e la gestione e la manutenzione del piano di Continuità Operativa e di Disaster Recovery, di tutte le procedure ordinarie e straordinarie per la gestione di una emergenza e per il relativo ritorno alla normalità.ORBIT© gestisce la raccolta, l’analisi e la gestione della mole di dati che deve essere censita per rispondere alle esigenze di un progetto di BC/DR.•ORBIT© è conforme ai principali standard internazionali (BS25999, ITILI, etc.) ed alle più diffuse metodologie (DRI, BCI) in materia di Business Continuity e Disaster Recovery.
Il Piano di Business Continuity fissa gli obiettivi e i principi da perseguire.
•ORBIT© consente il disegno di soluzioni e procedure standard per la definizione di linee guida e di policy da adottare nelle varie componenti della governance del processo di BC/DR.•L’utilizzo della piattaforma ORBIT© può costituire l’elemento base dell’approccio metodologico alla Business Continuity.
Descrive le procedure per la gestione della Continuità Operativa, anche
affidate a soggetti esterni.
•Le procedure operative di emergenza gestite da ORBIT© sono costituite da oggetti che possono essere utilizzati ricorsivamente (in parte o interamente) da tutti gli attori del processo di BC/DR.In particolare i soggetti esterni possono essere mappati ed inventariati nel sistema oltre che essere assegnatari o attori di procedure e piani di emergenza.•Il sottosistema inventariale costituisce la base relazionale della infrastruttura di ORBIT. In tale sottosistema gli elementi sono trattati con un concetto di “Role Based”. Un soggetto esterno è un componente del sistema inventariale con un ruolo definito e specifico.Tutti gli elementi di ORBIT© sono accessibili in funzione di un sistema ACL (Access Control List) basato sui ruoli degli utenti e sulla loro assegnazione gerarchica agli elementi stessi. Il sottosistema interno che gestisce il workflow garantisce per ogni elemento e per ogni procedura la “separation of duty” fra gli utenti.
Orbit – CAD compliancePiano di Business Continuity
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Tiene conto delle potenziali criticità relative a risorse umane, a risorse strutturali. E risorse tecnologiche
•ORBIT© consente la valutazione della criticità di ogni risorsa presente nel sistema. La criticità, a seconda dell’approccio metodologico prescelto, può essere valorizzata con un metodo quantitativo o qualitativo e può essere soggetta ad una valutazione del livello di rischio e vulnerabilità.In particolare il calcolo del rischio espositivo di una generica risorsa è conforme alle classiche metodologie mediante la mappatura e l’assegnazione delle minacce, delle vulnerabilità, probabilità di accadimento e misure mitigative.•Il modulo “Risk Assessment” di ORBIT© consente una analisi dettagliata del livello di rischio aggregato e disaggregato di ogni risorsa e più in generale di tutta la struttura aziendale.ORBIT© utilizza Il concetto esteso di risorsa. Il sottosistema inventariale tratta in maniera equipollente le risorse umane, i siti, le infrastrutture, le componenti IT, la documentazione, etc.
Contiene idonee misure preventive.
•ORBIT© consente la preparazione, la redazione ed il controllo di misure preventive o di mitigazione. Una tale misura può essere assegnata d una risorsa specifica, ad un processo aziendale, ad una terza parte, etc.Le misure preventive costituiscono poi uno degli elementi del piano di Continuità Operativa e di Disaster Recovery e sono soggette poi a tutti i sottocomponenti di ORBIT© (workflow, reportistica, testing, etc.).•ORBIT© consente di assegnare un livello di mitigazione ad una misura preventiva su una determinata risorsa per abbassarne il livello di rischio complessivo al fine di eventuali risparmi sulla totalità del piano di Continuità Operativa e di Disaster Recovery.
Consente la verifica delle funzionalità del piano di Continuità Operativa con
cadenza biennale.
•Il modulo “Testing/Exercising” di ORBIT© consente la definizione puntuale di un piano dei test e di verifica di ogni singola procedura di emergenza nei confronti. ORBIT© consente di corredare l’esito del test con un insieme di procedure ed azioni correttive da assegnare a soggetti interni e/o esterni per il miglioramento delle procedure testate.La reportistica e la navigazione dei dati del test possono costituire l’impianto delle evidenze per eventuali attività di Audit interni o esterni.•Il modulo “Testing/Exercising” in associazione alla struttura di tipo “check list” delle procedure di emergenza, di mitigazione e preparatori consente di navigare in maniera interattiva fra le risultanze di ogni singolo test mediante un apposito cruscotto di controllo. Tale cruscotto evidenzia inoltre tutte le dipendenze di un elemento (processo, unità organizzativa, apparecchiatura hardware, componente software) e gli eventuali effetti domino relativi a tali interdipendenze
Orbit – CAD compliancePiano di Business Continuity
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Orbit – CAD compliancePiano di Disaster Recovery
E’ parte integrante di quello di Continuità Operativa.
•Il modulo “Disaster Recovery” è integrato nella piattaforma ORBIT© facendo riferimento alla stessa base dati inventariale, alle stesse regole, alla stessa mappatura dei processi aziendali.L’accesso alle funzionalità del modulo può essere separato per offrire una differente vista per differenti tipologie di utenti.•In ORBIT© il piano di Disaster Recovery costituisce il sottoimpianto del Piano di Continuità Operativa che sottende alla resilienza ed al recovery della infrastruttura IT. Il piano può essere modulato secondo la granularità più idonea alla strategia di DR adottata. ORBIT© consente di definire procedure di dettaglio ad oggetti o ad insiemi di oggetti (server, cluster, sala server, etc.).Questa caratteristica consente un approccio modulato nel tempo approfondendo la granularità dell’analisi in funzione della maturità del processo di governance BC/DR).
Stabilisce le misure tecniche per garantire il funzionamento dei centri di elaborazione dati in siti alternativi a
quelli di produzione.
•Il concetto di misura tecnica in ORBIT© è esplicitato dall’oggetto “Piano di Emergenza” su citato. Un Piano di Emergenza si compone di una serie di regole basate sulla criticità dell’elemento preso in considerazione, le risorse che ad esso afferiscono e lo scenario di crisi o l’incidente per il quale è necessaria un’azione.All’interno di un piano di emergenza vengono descritte e codificare tutte le procedure per il ripristino dei sistemi informativi in siti alternativi. Un tal piano poi può essere direttamente testato grazie al modulo “Testing/Exercising” precedentemente descritto.•In ORBIT© le misure ed i Piani di Emergenza sono insiemi di regole e di associazioni fra oggetti in funzione di scenari di crisi e/o di rischio.La ripartenza in un sito alternativo o semplicemente su una infrastruttura locale normalmente in stand by o dedicata ad operazioni a bassa criticità è descritta in ORBIT© da regole differenti ma con la stessa struttura e funzionalità operative.
Stabilisce le misure tecniche per garantire il funzionamento delle
procedure informatiche rilevanti in siti alternativi a quelli di produzione.
•Le misure tecniche per il ripristino di una procedura informatica è assimilato in ORBIT© al concetto di Piano di Emergenza assegnato ad un elemento a granularità inferiore rispetto all’intero centro di elaborazione dati.Le procedure di ripristino possono essere poi definite per una ripartenza della procedura informatica su infrastrutture IT dello stesso sito o presso siti alternativi in funzione delle linnee guida e della strategia di DR adottata.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
I fattori differenzianti
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
• ORBIT mette il processo al centro della analisiProcesso vs Sito
• WEB, Java, multiple DB engineIndipendenza dalla infrastruttura tecnica
• Installazione On site• CloudAccessibilità
• User profile management• IAM integrationIntegrazione
ORBITI fattori differenzianti
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Obiettivo: evolvere il prodotto secondo le necessità e le esigenze degli utenti. Obiettivo: evolvere il prodotto secondo le necessità e le esigenze degli utenti.
Nello User Group di ORBIT gli utenti hanno la possibilità di proporre e suggerire soluzioni evolutive al prodotto. Nello User Group di ORBIT gli utenti hanno la possibilità di proporre e suggerire soluzioni evolutive al prodotto.
Ciò garantisce un prodotto sia sempre allineato con le evoluzioni del mercato per soddisfare puntualmente i requisiti della gestione del Programma di Business Continuity.
Ciò garantisce un prodotto sia sempre allineato con le evoluzioni del mercato per soddisfare puntualmente i requisiti della gestione del Programma di Business Continuity.
Lo User Group di ORBIT è una comunità che si riunisce ogni 4 mesi per discutere proposte, suggerimenti, best practice e condividere esperienze ed incontrare esperti, istituzioni e analisti di mercato.
Lo User Group di ORBIT è una comunità che si riunisce ogni 4 mesi per discutere proposte, suggerimenti, best practice e condividere esperienze ed incontrare esperti, istituzioni e analisti di mercato.
ORBITUser group
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Business Continuity Governance: ORBIT®
DEMO
This document cannot be reproduced or utilized without a written authorization by eSolutions Europe S.r.l.
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Gestione delle linee guida• Call trees e procedure strategiche
Gestione degli inventari• Siti• Personale e ruoli • Applicazioni IT ed attrezzature
Rischi• Minacce• Contromisure/controlli
Business Impact Analysis
Piani di emergenza
Piano dei test Reports
Esecuzione della demo
© 2011 eSolutions Europe S.r.l. Tutti i diritti riservati.Nessuna parte di questo documento può essere riprodotta in qualsiasi forma ovvero mezzo
elettronico ovvero meccanico, per alcun uso, senza il permesso scritto di eSolutions Europe S.r.l.
Contatti
Top Related