4 MACRO PROCESSO DEL BUSINESS CONTINUITY MANAGEMENT SYSTEM
4.3 Do – Implementare e mettere in atto la continuità operativa
4.3.5 Esercizio nel continuo, test e verifiche
La gestione corrente, la manutenzione, i test, la revisione e il miglioramento continuo sono tutte attività che hanno l’obiettivo di portare il Gruppo a mantenere l’efficacia e il funzionamento nel tempo del Business Continuity Management System, svolte dalle Funzioni di Coordinamento e dalle Funzioni Operative così come definite nei capitoli 3 e 5.
Gli obiettivi del Business Continuity Management non si esauriscono infatti con la realizzazione delle soluzioni di continuità operativa, atteso che le Società del Gruppo operano in un contesto dinamico e sono quindi soggette a frequenti cambiamenti in tema di personale, processi, tecnologie, rischi, normativa, strategie di business, ecc. Per tale ragione l’efficacia del complessivo sistema di gestione della continuità operativa dipende dalla sua capacità di riflettere e recepire la natura, la dimensione e la complessità dell’organizzazione che esso supporta.
La capacità del Business Continuity Management System di fronteggiare situazioni di emergenza e di crisi in maniera efficace non può essere considerata affidabile sino a quando l’insieme documentato di procedure, soluzioni e misure non viene attuato e messo in esercizio. Solo tale messa in atto, infatti, consente di identificare gli aspetti e le problematiche che necessitano particolare attenzione e gli interventi da intraprendere affinché questi siano migliorati/corretti.
L’attivazione di regole, procedure e soluzioni di continuità operativa dovrebbe anche portare il Gruppo ad acquisire una maggiore capacità di gestione complessiva della continuità operativa per mezzo delle seguenti attività:
• esercizio degli aspetti tecnici, logistici, amministrativi, procedurali e operativi finalizzati al ripristino delle attività a seguito di incidente;
• verifica periodica della capacità di svolgere i processi aziendali remotizzabili attraverso il lavoro agile (smart working), assicurando i livelli di servizio predefiniti;
• verifica periodica del livello di turnazione delle strutture Organizzative con attività critiche;
• aumento del livello di consapevolezza, da parte di tutta l’organizzazione aziendale, nella continuità operativa, attraverso la diffusione/comunicazione della messa in esercizio del sistema;
• valorizzazione della valenza formativa delle attività di verifica;
35
• validazione delle tempistiche relative alle misure di ripristino dell’operatività di business.
Le fasi contemplate nell’approccio del Gruppo ai test e alle verifiche possono essere così riassunte:
• definizione dell’ambito: ha l’obiettivo di identificare le misure di continuità operativa da testare e verificare in via prioritaria e raccogliere le informazioni che sono necessarie per una pianificazione efficace ed omnicomprensiva delle attività di test e verifica;
• definizione del piano annuale: ha l’obiettivo di individuare tempi, modalità e risorse coinvolte;
• test e verifiche: è la fase in cui sono eseguite le attività, programmate in precedenza, che si concretizzano nell’esecuzione delle misure previste dal Business Continuity Plan;
• analisi dei risultati: ha l’obiettivo di individuare le eventuali carenze o le procedure che possono essere migliorate;
• adeguamento delle soluzioni di continuità operativa: ha l’obiettivo di progettare e implementare le azioni correttive che è necessario apportare alle soluzioni di continuità operativa sulla base degli esiti della fase precedente.
I principali requisiti sui test e sulle verifiche sono:
• le modalità delle verifiche delle misure di continuità operativa sono correlate alle criticità dei processi e ai rischi; di conseguenza sono ipotizzabili differenti frequenze e livelli di dettaglio delle prove. In alcuni casi può essere sufficiente la simulazione parziale dell'evento critico;
• sono effettuate, con frequenza almeno annuale, verifiche accurate dei presidi di continuità operativa dei processi a rilevanza sistemica assicurando l’attiva partecipazione ai test e alle simulazioni di sistema organizzati o promossi dalle autorità, dai mercati e dalle principali infrastrutture finanziarie; per i processi critici le verifiche prevedono il coinvolgimento degli utenti finali, dei fornitori di servizi e, qualora possibile, delle controparti rilevanti;
• con frequenza almeno annuale viene svolta una verifica complessiva, il più possibile realistica, del ripristino della operatività in condizioni di crisi, effettuando il controllo della funzionalità e delle prestazioni dei sistemi secondari e riscontrando la capacità dell'organizzazione di attuare nei tempi previsti le misure definite nel Piano di Continuità Operativa;
• in particolare, le verifiche annuali dei sistemi informativi devono prevedere l'attivazione dei collegamenti di rete presso il sito secondario, l'operatività on-line di almeno una succursale e l'esecuzione delle procedure batch. Le prove sono realizzate con dati di produzione;
• i risultati delle verifiche e dei test sono documentati per iscritto, portati all'attenzione degli Organi aziendali competenti e inviati, per le parti di competenza, alle unità operative coinvolte e alla Funzione di Revisione Interna. A fronte di carenze riscontrate nelle prove sono tempestivamente avviate le opportune azioni correttive.
I metodi utilizzati, ovvero i tipi di test e i criteri con i quali essi sono effettuati e le modalità, ovvero come il tipo di test è condotto dal punto di vista del coinvolgimento delle risorse, possono essere molteplici.
Di seguito sono riportate, con una breve descrizione, le principali tipologie di test attuabili:
36
• verifica teorica: consiste in un’analisi di congruenza e di stima della fruibilità delle soluzioni di continuità operativa, effettuata a tavolino e rapportata a specifici scenari;
al termine della verifica si progettano e implementano gli eventuali emendamenti correttivi delle carenze individuate. È generalmente condotta dagli stessi autori delle procedure e dei contenuti del Piano di Continuità Operativa;
• walk through strutturato: stabilito uno scenario di crisi, i diversi team e Unità Organizzative percorrono parallelamente (walk-through) le attività previste dal Piano di Continuità Operativa; nel corso della simulazione si verificano e si documentano eventuali errori o carenze delle soluzioni;
• simulazione: comporta la verifica pratica di parti specifiche del Business Continuity Plan attraverso il coinvolgimento delle risorse appartenenti alle Strutture coinvolte nella crisi.
Esempi di procedure verificate nel corso di un esercizio di simulazione possono includere l’attivazione delle misure di continuità, le comunicazioni interne ed esterne, le prestazioni e l’efficacia dei sistemi IT, le procedure d’emergenza, l’accesso ai siti alternativi, ecc.
Relativamente alle soluzioni tecnologiche a tutela della continuità dei Servizi IT sono previste diverse tipologie di test, anche per le componenti dei sistemi gestiti per mezzo di contratti di outsourcing. Di seguito si fornisce una breve descrizione delle principali casistiche:
• test sistemistico: inteso come la verifica puntuale di componenti tecnologiche della soluzione;
• test applicativo: volto a controllare il corretto funzionamento della soluzione tecnologica rilasciata e degli ambienti applicativi tramite la verifica della disponibilità e del funzionamento delle applicazioni;
• test utente end to end: volto a verificare l’efficacia della soluzione attraverso l’esecuzione di processi di business da parte della Funzione impattata sul sistema ripristinato presso il polo di recovery.
Le modalità di conduzione dei test sono inoltre definite dalla combinazione di opzioni tra loro alternative, in particolare:
• piena conoscenza/non conoscenza delle modalità di conduzione;
• esecuzione in operatività/in non operatività;
• pianificati/non pianificati.
Alcune considerazioni finali relativamente ai test fanno riferimento alla:
• necessità di coinvolgimento degli utenti finali, dei fornitori di servizi e, qualora possibile, delle controparti rilevanti;
• necessità di sviluppare e attuare simulazioni quanto più realistiche possibile, contraddistinte da un elevato grado di ripetibilità;
• verifica della capacità dell’organizzazione di attuare le contromisure definite nei tempi previsti.
37