Analisi d’impatto: processo che ricomprende l’identificazione, l’analisi e la valutazione dei rischi operativi in ambito continuità operativa
Azioni correttive: l’insieme delle azioni necessarie per eliminare le cause di non conformità, difetti o altre situazioni non desiderate, identificate tramite verifiche e controlli
Business Continuity: insieme di capacità di natura strategica e operativa messe in atto da un’azienda per rispondere ad incidenti e interruzioni dell’operatività in modo tale da garantire la continuità del business o il ripristino dello stesso a livelli accettabili e predefiniti Business Continuity Management (BCM): processo di gestione che identifica le minacce cui può essere soggetta un’azienda e gli impatti che le stesse potrebbero causare al business, permettendo all’organizzazione di gestire la perdita di una parte o di tutta la sua capacità operativa. Si fa cioè riferimento all’insieme di iniziative volte a ridurre a un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un'azienda
Business Continuity Management System (BCMS): parte del complessivo sistema di gestione aziendale che stabilisce, implementa, attua, monitora, revisiona, manutiene e migliora la business continuity.
Business Continuity Plan (BCP): documento o insieme di documenti e/o procedure che formalizzano i principi, fissano gli obiettivi e descrivono le modalità operative per l’attivazione delle misure di continuità, le modalità di gestione della situazione di crisi e successivamente il ripristino dell’operatività standard a livelli predefiniti
Business Impact Analysis (BIA): valutazione dell’impatto sul business aziendale a seguito del verificarsi di scenari di crisi che colpiscono risorse di supporto ai processi, provocando l’indisponibilità delle relative attività e/o servizi. La BIA fornisce le informazioni di base sulle quali progettare le soluzioni di continuità operativa in funzione delle priorità di attivazione CODISE (Continuità DI Servizio): struttura, presieduta dalla Banca d’Italia, per il coordinamento delle crisi operative della piazza finanziaria italiana
Classi di rischio: categoria di rischi omogenei in termini di natura, caratteristiche o manifestazioni
Contingency Plan: misure di contingency organizzativa, a bassa integrazione con i sistemi, volte a garantire livelli di continuità sia in caso di mancato o ritardato funzionamento delle misure di continuità operativa definite, sia da adottare nell’intervallo di tempo che intercorre tra il manifestarsi dell’evento critico e l’attivazione vera e propria del Disaster Recovery Plan e del Business Continuity Plan
Controlli: insieme delle regole, delle funzioni, delle Strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare l’attuazione delle strategie e delle politiche aziendali, il contenimento del rischio, l'efficacia e l'efficienza dei processi aziendali, la salvaguardia del valore delle attività e la protezione dalle perdite.
44
Disaster Recovery (DR): insieme delle soluzioni tecnologiche finalizzate al ripristino dell’operatività dei servizi IT su di un sito secondario a fronte di eventi che compromettano gravemente la capacità dei centri di elaborazione dati primari
Disaster Recovery Plan (DRP): insieme di documenti e procedure che stabiliscono le misure tecniche ed organizzative per fronteggiare eventi che provocano l’indisponibilità dei centri elaborazione dati (Manuale di Ripristino delle Soluzioni Tecnologiche)
Emergenza: situazione originata da incidenti o catastrofi che colpiscono l’azienda, caratterizzata dalla necessità di adottare misure tecniche e gestionali eccezionali, finalizzate al tempestivo ritorno della normale operatività
Escalation: conduzione della gestione di un incidente caratterizzata da un aumento progressivo dei livelli aziendali coinvolti, fino a giungere, ove necessario, all’organo di amministrazione
Evento critico: situazione formalmente dichiarata di interruzione o deterioramento di uno o più processi critici o a rilevanza sistemica in seguito a incidenti o catastrofi
Fattori di rischio: si intendono le principali cause che possono influenzare la generazione dell’evento o amplificarne gli effetti
Impatto: valutazione delle conseguenze (economiche, d’immagine, legali, ecc.) del verificarsi di un determinato evento (incidente, catastrofe, crisi, ecc.)
Lavoro agile (smart working): forma innovativa e flessibile di svolgimento della prestazione lavorativa del rapporto di lavoro subordinato, differente dal telelavoro, eseguita, in parte, in luogo diverso dalla sede di assegnazione attraverso l'utilizzo di appositi strumenti informatici forniti dal datore di lavoro
Maximum Tolerable Period of Disruption (MTPD): periodo di tempo necessario agli impatti, derivanti dalla mancata erogazione di un prodotto/servizio o dal fermo di un’attività/processo, per divenire inaccettabili. Esso esprime il punto di vista del process owner circa il massimo tempo di fermo sostenibile, ovvero il tempo entro il quale il processo/attività/servizio deve essere ripristinato ad un livello di servizio predefinito
Modello Organizzativo per la Gestione delle Crisi (MOGC): modello di Crisis Management adottato dal Gruppo che definisce i ruoli, le responsabilità e le attività delle Funzioni aziendali nella gestione degli eventi critici; esso ha il compito di garantire, a fronte di emergenze e/o crisi, l’escalation delle informazioni e delle decisioni a tutti i livelli aziendali assicurando il presidio manageriale e operativo dell’evento
Piano Annuale delle Verifiche: documento o insieme di documenti e/o procedure che determinano le misure di continuità operativa dei processi aziendali critici e a rilevanza sistemica da sottoporre a verifica nell’anno di riferimento, descrivendone le modalità, i livelli di dettaglio delle prove e fissandone gli obiettivi.
Piano di continuità operativa: documento che formalizza i principi, fissa gli obiettivi, descrive le procedure e individua le risorse, per la gestione della continuità operativa dei processi aziendali critici e a rilevanza sistemica. Esso è generalmente articolato in piani settoriali;
45
Piano Settoriale: documento che formalizza i principi, fissa gli obiettivi, descrive le procedure e individua le risorse, per la gestione della continuità operativa dei processi aziendali critici e a rilevanza sistemica, con specifico riferimento alle strutture più critiche, con business caratteristici oltre che per le Società Estere del Gruppo.
Processo: insieme organizzato di attività e risorse con obiettivi comuni, che, sulla base di ciò che ricevono in ingresso (input), effettuano un’elaborazione, determinando un risultato in uscita (output)
Processo critico: processo/attività che, per la rilevanza dei danni conseguenti alla sua indisponibilità, necessita di elevati livelli di continuità operativa da conseguire mediante misure di prevenzione e con soluzioni di emergenza da attivare in caso di incidente
Processi a rilevanza sistemica: processi ad alta criticità nel sistema finanziario italiano che, per un "effetto domino", possono provocare il blocco dell'operatività dell’intera piazza finanziaria nazionale (essi si concentrano principalmente nell’area dei sistemi di pagamento e delle procedure per l’accesso ai mercati finanziari). Periodicamente Banca d’Italia rivede l’assegnazione dei processi a rilevanza sistemica per gli operatori finanziari Punto di ripristino (RPO): istante di salvataggio dei dati fino al quale è garantita l’integrità degli stessi nei siti primari e alternativi
Rischio: indicatore degli effetti derivanti da incertezze sugli obiettivi; un effetto è uno scostamento, positivo o negativo, rispetto alle attese
Rischio di continuità operativa: rischio di incorrere in danni economici e/o di reputazione, compresi quelli derivanti dalla non conformità alle norme, derivanti dall’interruzione prolungata di servizi critici o a rilevanza sistemica per l’indisponibilità di asset aziendali a supporto degli stessi (persone, locali, sistemi informativi, servizi infrastrutturali, documentazione, dotazioni e/o fornitori essenziali)
Scenari di crisi: categorizzazione degli eventi di crisi in macro raggruppamenti (Inaccessibilità Locali, Indisponibilità Personale Essenziale, Indisponibilità dei Sistemi Informativi, ecc.) finalizzati ad evidenziare l’indisponibilità degli asset impattati (locali, tecnologie, risorse umane, ecc.)
Sito alternativo: infrastruttura che consente all’operatore di continuare a svolgere i propri processi critici e a rilevanza sistemica, anche in caso di incidenti o disastri che rendano indisponibile il sito primario
Sito primario: infrastruttura presso la quale sono normalmente svolte le attività dell’operatore
Soluzioni di continuità operativa: rappresentano le misure definite in relazione ad uno specifico ambito (tecnologico, organizzativo, infrastrutturale, ecc.); esse sono da intendersi quali elementi cardine a supporto della più complessiva strategia di Business Continuity Management
Strategie di continuità operativa: approccio di un’azienda all’insieme delle misure operative e di adeguamento (infrastrutturale, organizzativo, tecnologico, ecc.) necessarie a garantire una tempestiva risposta a situazioni di crisi, un’efficace gestione degli eventi critici e il ripristino dell’operatività alle condizioni antecedenti il verificarsi dell’evento dannoso
46
Tempo di Ripartenza (RT): indica il tempo entro il quale sono attivati gli interventi tecnici e organizzativi finalizzati al ripristino del processo/attività
Tempo di Ripristino (RTO): indica il massimo tempo, a partire dal momento in cui si dichiara lo stato di crisi, di fermo sostenibile, ovvero il tempo entro il quale il processo/attività/servizio deve essere ripristinato ad un livello di servizio predefinito. Esso è costituito dai tempi di analisi degli eventi e decisione delle azioni da intraprendere e dal Tempo di Ripartenza del processo/attività/servizio attraverso l’attuazione degli interventi tecnici ed organizzativi Test e verifiche: insieme strutturato di verifiche periodiche (organizzative, tecnologiche, utente) attivato per garantire la fruibilità e l’aggiornamento delle soluzioni di continuità operativa.