Consulenza per la Continuità Operativa: obiettivi dell'intervento
Consulenza per la Continuità Operativa: l’attività operativa e organizzativa necessaria per la realizzazione del Piano di Continuità Operativa, è sinteticamente la seguente:
- Assunzione di tutte le informazioni, correlate al tema in oggetto e disponibili nell’organizzazione del cliente,
- Realizzazione dei documenti del Piano di Business Continuity in collaborazione con il Responsabile del progetto ed il personale interno ed in riferimento alle linee guida AGID Agenzia per l’Italia digitale:
- Linee Guida per la razionalizzazione della infrastruttura digitale della Pubblica Amministrazione,
- Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni,
- Linee Guida sulla formazione, gestione e conservazione dei documenti informatici
Consulenza per la Business Continuity: Mappatura dei processi principali e sottoprocessi – FASE 1
Verificare e condividere la mappatura dei processi (cosiddetti “elementi di analisi”) per poi successivamente analizzarli in ambito di Business Continuity.
Rappresentare e condividere il perimetro dei relativi rischi, che si correlano o che derivano a/da quello dell’interruzione della Business Continuity e di indisponibilità informatica.
Consulenza per la Business Continuity: Analisi d’impatto di livello 1 – FASE 2
Definizione, in base alle specificità operative dell'azienda, le fasce temporali dell’indisponibilità dell’ ”elemento di analisi” (dall’inizio del fermo) da utilizzare in sede di valutazione dell’impatto.
Intervistare i singoli Process Owner al fine di:
- Misurare l’impatto economico, normativo e reputazionale, dell’indisponibilità dell’”elemento di analisi” con riferimento alle fasce temporali precedentemente definite.
- Attribuire conseguentemente la classe di criticità al singolo processo; realizzare conseguentemente, rappresentandola opportunamente, l’analisi d’impatto di livello 1 individuando così i processi da sottoporre al secondo livello di analisi.
- Realizzare (rappresentandola opportunamente) l'analisi d'impatto di livello 1, individuando cosi i processi da sottoporre al secondo livello di analisi.
Consulenza per la Business Continuity: Analisi d’impatto di livello 2 – FASE 3
Rappresentazione e condivisione degli scenari di crisi che si intendono inserire nell’ambito del Piano per la gestione dell’interruzione della Continuità Operativa al fine della mitigazione del rischio delle indisponibilità, fra i quali ad esempio:
- indisponibilità dei locali ove si svolge il processo;
- indisponibilità di personale;
- indisponibilità dei servizi erogati dai fornitori e dagli outsourcer;
Conseguente rappresentazione degli eventuali scenari per i quali l'azienda dichiara, fin dall’origine, la volontà di assumersi il rischio.
Intervista ai singoli Process Owner al fine di misurare per ogni singolo processo (elemento di analisi) come impatta ciascun scenario di crisi.
Rappresentazione e condivisione delle caratteristiche dei processi ritenute maggiormente rilevanti in caso di indisponibilità dei processi stessi, nello specifico:
- scadenze;
- periodi di picco;
- output obbligatori;
- processi in ingresso;
- tempi di ripristino: RTO ed RPO.
Intervista ai singoli Process Owner al fine di misurare per ogni singolo processo (elemento di analisi) la reale incidenza delle caratteristiche precedentemente definite.
Conseguente realizzazione (rappresentandola opportunamente) dell’analisi d’impatto di liv. 2.
I sopraccitati documenti rappresentativi dell’analisi di impatto di livello 1 e di livello 2, devono permettere di illustrare i dati e i valori a fronte dei quali sono giustificabili le scelte attuate nel Piano di Continuità Operativa.
Consulenza per la Continuità Operativa: il Piano di Business Continuity degli outsourcer – FASE 4
Verifica della corretta correlazione con il Piano di Continuità Operativa degli outsourcer che intervengono nei processi critici indicati dall’analisi d’impatto di livello 1 e di livello 2.
Consulenza per la Business Continuity: la Fase 5 della attività
Stesura del documento rappresentante il Piano di Continuità Operativa, integrato con la policy dell'Azienda di gestione degli incidenti (informatici e non).
Al suo interno troveranno puntuale collocazione una serie di capitoli contenenti in modo strutturato ogni informazione necessaria per gestire l’interruzione della Continuità Operativa, come per esempio:
- declinazione dei rischi e processi critici;
- declinazione degli scenari di crisi;
- strutture di gestione della crisi;
Rappresentazione del processo per l’effettiva esecuzione di quanto previsto dal Piano di Continuità Operativa in caso di effettivo rischio di interruzione della Continuità Operativa (il “chi fa’ ... che cosa” al verificarsi dell’evento).
Rappresentazione, a valere sui singoli processi interessati dall’analisi d’impatto (BIA) e per i vari scenari dichiarati, delle eventuali attività specifiche da attuare in sede di interruzione della Continuità Operativa e che esulano da quelle standard previste dal processo di cui al punto precedente.
I sopraccitati documenti devono contenere tutto quanto pragmaticamente necessario per l'Azienda al fine di poter conoscere e sapere il “da farsi”, suddiviso per competenza assegnata alle varie parti coinvolte, in caso di interruzione della continuità operativa.
Consulenza per la Business Continuity: Piano di Disaster Recovery – FASE 6
Definizione e formalizzazione del Piano di Disaster Recovery, con quanto emerso dall’analisi d’impatto di livello 2:
- Ambiente dell'Azienda oggetto del Piano di Disaster Recovery;
- Gestione del Piano di Disaster Recovery;
Consulenza per la Continuità Operativa: Strategia per la Business Continuity – FASE 7
Individuazione degli eventuali punti di debolezza del processo per la gestione del Rischio di interruzione della Continuità Operativa e conseguente stesura del piano per la sua mitigazione a valere sull'anno successivo (Strategia per la Business Continuity).
I sopraccitati documenti conterranno tutto quanto pragmaticamente necessario, suddiviso per competenza assegnata alle varie parti coinvolte, al fine di poter garantire:
- l’aggiornamento periodico del Piano di Continuità Operativa,
- la sua effettiva applicabilità,
- l’esecuzione di interventi di miglioramento continuo finalizzato alla mitigazione del Rischio di interruzione della continuità operativa.