Questo documento, disponibile in: http://www.compliancenet.it/documenti/100722-guida-business-continuity.epub è la versione epub, della “Guida alla redazione del Business Continuity Plan per gli intermediari finanziari” realizzata da ComplianceNet http://www.compliancenet.it/ con la collaborazione di Prometeo Management Consulting http://www.prometeomc.it .
ePub validato via http://threepress.org/document/epub-validate
Informazioni sulla versione epub: cristina.cellucci@compliancenet.it
Articolo collegato: http://www.compliancenet.it/content/guida-business-continuity .
Questo documento è disponibile anche in versione:
pdf in http://www.compliancenet.it/documenti/100722-guida-business-continuity.pdf
xhtml in http://www.compliancenet.it/documenti/100722-guida-business-continuity.xhtml
Guida alla redazione del Business Continuity Plan per gli intermediari finanziari
22 luglio 2010 - versione 1.0
http://www.compliancenet.it/content/guida-business-continuity
1.1 Prometeo Management Consulting
1.2 ComplianceNEt
4.1 Definizione dei ruoli e responsabilità
4.2 Mappatura dei processi critici
4.5 Relazioni tra Business Continuity e Disaster Recovery
5.1 Le verifiche a cura del BCM
5.2 Le verifiche a cura della compliance, dell’internal audit e del collegio sindacale
6.1 Le norme
6.2 Letture utili
7 Altri documenti convertiti in formato epub (a cura di http://www.compliancenet.it/)
7.1 Parlamento
7.2 Banca d’Italia
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/
Commons Deed
Tu sei libero:
|
|
|
|
|
|
Alle seguenti condizioni:
|
|
|
|
|
|
|
|
|
Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.
Supportiamo le aziende nel raggiungimento di livelli ottimali di governance dei processi IT, svolgendo attività di consulenza nella valutazione dei sistemi di controllo interno
e di gestione dei rischi.
Prometeo
in greco “colui che riflette prima”.
Il Titano, fratello di Atlante e di Epimeteo, s'impadronì del fuoco
sacro degli dei per farne dono agli uomini, affinché ne facessero strumento di riscatto e di progresso
cristina.cellucci@compliancenet.it
ComplianceNet si occupa, senza scopi di lucro, della divulgazione delle tematiche legate alla compliance, al sistema dei controlli, alla privacy.
La figura sintetizza il contento di questa guida.
La Banca d’Italia, a partire dal 2004, ha impartito una serie di disposizioni che rendono obbligatorio per gli intermediari finanziari la realizzazione di un piano di continuità (Business Continuity Plan – BCP) volto a garantire che, anche in caso di incidenti o disastri, i servizi aziendali più importanti continuino a funzionare o siano ripristinati in tempi accettabili.
Tali adempimenti si devono tradurre in attività da predisporre al fine di realizzare e tenere aggiornato il piano che, almeno annualmente, è soggetto a verifiche e controlli da parte sia di funzioni interne (BC Manager, Compliance, Internal Audit, Collegio Sindacale) sia esterne (Banca d’Italia).
Questa guida in modo rapido e pratico:
spiega quali sono i principali adempimenti
fornisce un modello per le attività organizzative, tecnologiche e di formazione da predisporre
sintetizza temi e modi delle possibili verifiche.
La Banca d’Italia chiede agli intermediari di garantire la continuità dei servizi in caso di incidenti (anche gravi) sia nelle “Istruzioni di vigilanza per le banche” (Titolo IV - Capitolo 112) sia nel documento “Continuità operativa in casi di emergenza” pubblicato il 7 luglio 20043..
Dopo il 2004 Banca d’Italia ha pubblicato altri documenti sulla Business Continuity che specificano requisiti particolari per la continuità operativa dei cosiddetti “processi a rilevanza sistemica” e dei mercati e sistemi di pagamento; in questo documento tali aspetti specifici non sono presi in considerazione.
I principali “attori aziendali” coinvolti nel piano di continuità operativa sono indicati nella figura che segue.
Banca d’Italia definisce specifiche responsabilità per il Consiglio di Amministrazione, l’Alta Direzione ed il Business Continuity Manager.
Il Consiglio di Amministrazione deve stabilire, in un documento ufficiale, obiettivi e strategie per la continuità del servizio assicurando le risorse umane, tecnologiche e finanziarie adeguate per il conseguimento degli obiettivi fissati. Il CdA deve approvare il piano di continuità ed essere informato, con frequenza almeno annuale, sulla adeguatezza dello stesso.
L'Alta Direzione deve nominare un Business Continuity Manager (BCM) cioè il responsabile del piano aziendale per la continuità; promuove il controllo periodico del piano e l'aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate ovvero di nuovi rischi sopravvenuti; approva il piano annuale delle verifiche delle misure di continuità ed esamina i risultati delle verifiche periodiche.
Il BCM cura la redazione e l’aggiornamento del piano, effettua le verifiche periodiche, predispone la formazione e sensibilizzazione del personale.
Il piano deve essere integrato con i piani relativi alla sicurezza fisica (in particolare le procedure in essere per rispettare gli adempimenti del decreto legislativo 9 aprile 2008, n. 81 in materia di tutela della salute e della sicurezza nei luoghi di lavoro), alla sicurezza informatica, comprese le misure richieste decreto legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”4.
Il piano inoltre, sia nella sua prima realizzazione che negli aggiornamenti successivi, deve essere allineato rispetto ai processi aziendali: è necessaria dunque una stretta integrazione con la funzione Organizzazione; last but not least il personale va sensibilizzato ed informato sui contenuti del piano e delle relative procedure di ripristino.
Il piano, infine, è soggetto ai controlli da parte del Collegio Sindacale, l’Internal Audit e la Compliance.
Rimanendo nell’ambito “realizzativo” la figura che segue elenca la macro attività che devono essere realizzate
Il piano di continuità presuppone che esista un censimento dei processi aziendali tra i quali individuare quelli critici, quelli cioè che, per la rilevanza dei danni conseguenti alla loro indisponibilità, necessitano di elevati livelli di continuità. In particolare vanno presi in considerazione i processi che attengono alla gestione dei rapporti con la clientela e alla registrazione dei fatti contabili.
Per ciascun processo critico sono individuati il responsabile, le procedure informatiche di supporto, il personale addetto, le strutture logistiche interessate, le infrastrutture tecnologiche e di comunicazione utilizzate.
Il responsabile del processo individua il tempo massimo accettabile di interruzione del servizio e collabora attivamente alla realizzazione delle misure di continuità in accordo con gli indirizzi strategici e con le regole stabilite dal CdA.
L'analisi di impatto individua il livello di rischio dei processi aziendali critici evidenziando le relative conseguenze della interruzione del servizio. I rischi residui, non gestiti dal piano, sono documentati ed esplicitamente accettati dal CdA. L'allocazione delle risorse e le priorità di intervento sono correlate al livello di rischio.
Vanno presi in considerazione almeno i seguenti scenari di crisi:
distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche;
indisponibilità di personale essenziale per il funzionamento dell'azienda;
interruzione del funzionamento delle infrastrutture (tra cui energia elettrica, reti di telecomunicazione, reti interbancarie, mercati finanziari);
alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall'esterno attraverso reti telematiche;
danneggiamenti gravi provocati da dipendenti.
Fanno parte dei contenuti del piano:
modalità per la dichiarazione dello stato di emergenza, l'organizzazione e le procedure da seguire in situazione di crisi, l'iter per la ripresa della normale operatività
tempo massimo accettabile di ripartenza di sistemi e processi critici
individuazione dei siti alternativi
indicazione di spazi e infrastrutture logistiche e di comunicazione adeguate per il personale coinvolto nell'emergenza
regole di conservazione delle copie dei documenti importanti (ad es. contratti) in luoghi remoti rispetto ai documenti originali.
Con riferimento ai sistemi informativi centrali e periferici, il piano fornisce indicazioni su modalità e frequenza di generazione delle copie degli archivi di produzione e sulle procedure per il ripristino presso i sistemi secondari.
Il piano definisce le modalità di comunicazione con la clientela, le controparti rilevanti e i media.
Il piano individua il personale essenziale per assicurare la continuità dei processi critici e fornisce allo stesso indicazioni sulle località da raggiungere e sulle attività da porre in essere in caso di emergenza.
Le procedure di emergenza sono chiare e dettagliate, in modo da poter essere eseguite anche da risorse non esperte.
Il personale coinvolto nel piano è addestrato sulle misure di emergenza, dispone della lista di contatto e della documentazione necessaria per operare in situazione di crisi, ha dimestichezza con i siti secondari e con le apparecchiature in essi contenute, partecipa alle sessioni di verifica delle misure di emergenza.
Va valutata l'opportunità di frazionare l'attività connessa con i processi critici in più siti ovvero di organizzare il lavoro del personale su turni.
Gli intermediari che ricorrono a terzi per i servizi di continuità operativa definiscono con i fornitori livelli di servizio adeguati al conseguimento degli obiettivi aziendali.
La banca acquisisce i piani di emergenza degli outsourcer ovvero dispone di informazioni adeguate, al fine di valutare la qualità delle misure previste e di integrarle con le soluzioni di continuità realizzate all'interno.
Banca d’Italia definisce in maniera chiara5 le relazioni fra Business Continuity e Disaster Recovery:
il piano di continuità operativa (o Business Continuity Plan), denominato anche piano di emergenza, è il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa dei processi aziendali critici;
il piano di disaster recovery stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati. Il piano, finalizzato a consentire il funzionamento delle procedure informatiche rilevanti in siti alternativi a quelli di produzione, costituisce parte integrante del piano di continuità operativa.
La realizzazione del piano di Disaster Recovery non è responsabilità del BCM ma del responsabile dei Sistemi Informativi; tuttavia il BCM deve integrare il BCP aziendale con il piano di DR e segnalare all’Alta Direzione qualsiasi criticità o insufficienza del DR.
Con frequenza almeno annuale viene svolta, a cura del BCM, una verifica complessiva, il più possibile realistica, del BPC valutando l’efficacia del ripristino della operatività in condizioni di emergenza, effettuando il controllo della funzionalità e delle prestazioni dei sistemi secondari e riscontrando la capacità dell'organizzazione di attuare nei tempi previsti le misure definite nel piano.
In particolare, le verifiche annuali dei sistemi informativi devono prevedere l'attivazione dei collegamenti di rete presso il sito secondario, l'operatività on-line di almeno una succursale e l'esecuzione delle procedure batch.
I risultati delle verifiche sono documentati dal BCM per iscritto, portati all'attenzione dell'Alta Direzione e inviati, per le parti di competenza, alle unità operative coinvolte e alle funzioni di Interna Auditing e Compliance. A fronte di carenze riscontrate nelle prove sono tempestivamente avviate le opportune azioni correttive.
La funzione di Compliance interna valuta la conformità anche formale delle attività condotte per rispettare gli adempimenti richiesti da Banca d’Italia.
Le verifiche di compliance si concentrano tipicamente su:
delibere del CDA e documenti prodotti dall’Alta Direzione
presenza dei contenuti minimi del piano in relazione a quanto previsto da Banca d’Italia
esistenza di accordi e SLA con i principali fornitori.
L’Internal Audit effettua verifiche ex post ed indipendenti rispetto a quelle già effettuate dal BCM. Può quindi chiedere di effettuare test (anche parziali) o evidenze di test già svolti.
Il Collegio Sindacale, avvalendosi delle funzioni di Internal Audit e Compliance, effettua attività di vigilanza (interna) e predispone proprie relazioni scritte nelle quali analizza, tra l’altro, anche lo stato della struttura organizzativa e del sistema dei controlli interni; in tale ambito il Collegio Sindacale verifica l’esistenza di un strategia approvata dal CdA per quanto riguarda la continuità operativa ed i relativi interventi predisposti dal BCM compresi i test di Disaster Recovery e le attività di formazione e sensibilizzazione del personale.
Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio 2004 in http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf (pagg. 7 -13)
Banca d’Italia, “Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento”, 2004, in http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/linee/Linee_guida_SSP.pdf
Banca d’Italia, “Terms of Reference (ToR) per la continuità operativa”, 4 dicembre 2007, in http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/tor/TOR_Business_continuityt.pdf
Banca d’Italia, “Disposizioni di vigilanza - requisiti particolari per la continuità operativa dei processi a rilevanza sistemica”, marzo 2007, in http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/requisiti_processi_rilevanza_sistemica.pdf
Banca d’Italia , “Linee guida per la continuità di servizio dei mercati all’ingrosso e dei sistemi di supporto”, ottobre 2004, in http://www.bancaditalia.it/sispaga/sms/docum/prinstasorv/guidelines/Linee_Guida_B_C_28ottobre2004.pdf
DigitPA, pagina dedicata alla “Continuità operativa” in http://www.digitpa.gov.it/continuita-operativa in particolare
Quaderno 28- Linee guida alla continuità operativa nella pubblica amministrazione, giugno 2006, in http://www.digitpa.gov.it/sites/default/files/CNIPA_Quaderno_28.pdf
Quaderno 35 - La continuità operativa nella Pubblica Amministrazione, febbraio 2008, in http://www.digitpa.gov.it/sites/default/files/CNIPA_Quaderno_35.pdf
Federal Financial Institutions Examination Council (FFIEC), "It Examination Handbook BCP Business Continuity Planning", marzo 2008, in http://www.ffiec.gov/ffiecinfobase/booklets/bcp/bus_continuity_plan.pdf (in inglese)
Elenco generale: http://www.compliancenet.it/category/compliancenet/epub
Copasir, “Relazione sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico”, 15 luglio 2010, in: http://www.compliancenet.it/documenti/Doc_XXXIV_n_4.epub.
Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio 2004 in http://www.compliancenet.it/documenti/200407-bolvig-continuita.epub 20/07/2010
Banca d’Italia "Il nuovo approccio regolamentare al rischio di riciclaggio" in http://www.compliancenet.it/documenti/240610_mieli.epub 25/06/2009
Banca d’Italia "L'economia della Basilicata" in http://www.compliancenet.it/documenti/saccomanni_040610.epub 07/06/2010
Banca d’Italia "Relazione annuale sul 2009 in http://www.compliancenet.it/documenti/rel09_19_azione_vigilanza.epub 06/06/2010
Testo del d.lgs. 231/07 modificato con le novità apportate dal decreto legge n. 78 del 31 maggio 2010 in http://www.compliancenet.it/documenti/d-lgs-231-2007-testo-coordinato-31-5-2010.epub 04/06/2010
Banca d’Italia: Considerazioni finali del governatore 2009 – gli aspetti di vigilanza e controllo in http://www.compliancenet.it/documenti/cf09_considerazioni_finali.epub 03/06/2010
Privacy - Newsletter del Garante n. 340 del 19 luglio 2010 in http://www.compliancenet.it/documenti/20100624-newsletter-garante-privacy-n-340.epub (19 luglio 2010)
“La protezione dei dati e il suo futuro” discorso del Presidente dell’Autorità Garante Privacy Francesco Pizzetti http://www.compliancenet.it/documenti/100630_discorso_pizzetti.epub
Privacy - Newsletter del Garante n. 339 del 24 giugno 2010 in http://www.compliancenet.it/documenti/20100624-newsletter-garante-privacy-n-339.epub 24/06/2009
Privacy - Newsletter del Garante n.338 del 28 maggio 2010 in http://www.compliancenet.it/documenti/newsletter-garante-privacy-338.epub 28/05/2010
1 http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
2 “In presenza di eventi che compromettono la funzionalità del sistema, un piano di emergenza assicura la continuità delle operazioni vitali e il ritorno in tempi ragionevoli all'operatività normale” in http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/istrvig/istr_vig_99_12a.pdf
3 Disponibile in http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf (pagg. 7 -13)
4 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
5 http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf (pagg. 7 -13)
