Sviluppo e implementazione delle soluzioni di continuità operativa

Lo sviluppo e l’implementazione delle soluzioni non sono da sole sufficienti a garantire il buon funzionamento della continuità operativa in azienda. Tali fasi devono inserirsi nel più generale framework di documentazione, procedure e regole che dettagliano le modalità organizzative ed operative e i passi da intraprendere, a fronte dell’accadimento di un evento disastroso, per l’attivazione delle misure.

Risulta altresì necessario specificare le procedure per il ritorno alla normale operatività, con particolare attenzione alla rilevazione dei danni, alla gestione di tutte le operazioni di rientro, alla verifica dell'operatività per i servizi ripristinati.

29

Lo sviluppo e l’implementazione devono essere coerenti con il mandato e la strategia approvati dal vertice aziendale. È inoltre opportuno garantire sinergie e coerenza con i piani e i progetti aziendali di innovazione tecnologica e organizzativa più critici e complessi.

Gli elementi chiave in questo contesto sono:

• il Modello Organizzativo per la Gestione delle Crisi;

• il Business Continuity Plan;

• il Disaster Recovery Plan;

• i Requisiti di continuità operativa per i contratti di fornitura critici.

4.3.4.1 Il Modello Organizzativo per la Gestione delle Crisi

Per una prudente ed efficace gestione degli eventi critici è indispensabile definire un Modello di Crisis Management che, attraverso un impianto strutturato di processi, procedure e regole, garantisca la definizione dell’opportuna catena di comando e la determinazione di processi decisionali rapidi ed efficaci assicurando il tempestivo ritorno alla normale operatività.

Il Modello Organizzativo per la Gestione delle Crisi deve garantire che i processi di Incident Management svolti dalle Funzioni aziendali nella gestione ordinaria siano fortemente integrati con i processi di Crisis Management. Il Modello deve prevedere specifiche strategie di comunicazione, sia interna che esterna, in grado di garantire un chiaro e coerente flusso informativo verso gli stakeholder rilevanti.

Per una trattazione completa ed esaustiva sul tema si rimanda al Modello organizzativo per la gestione delle crisi per il Gruppo Intesa Sanpaolo.

4.3.4.2 Business Continuity Plan

Il Business Continuity Plan (BCP) è l’insieme dei documenti che dettagliano le misure di carattere organizzativo, tecnologico ed operativo che la Società ha scelto di attuare per rispondere alla crisi e garantire la continuità del business, con particolare riferimento agli scenari di crisi Inaccessibilità dei Locali, Indisponibilità del Personale Essenziale, Indisponibilità dei Sistemi Informativi, alle crisi su larga scala e agli altri scenari correlati Perdita di Documenti/dotazioni specifiche e Interruzione di Servizi Infrastrutturali. In tal senso, fanno parte del Piano anche le indicazioni riguardanti l’attivazione delle misure di continuità operativa, i processi di manutenzione e i requisiti di verifica e test delle stesse.

Il BCP deve essere:

• modulare – per mezzo dell’adattabilità dei diversi elementi che lo contraddistinguono ai diversi tipi di impatto che si possono presentare;

• flessibile;

• di utilizzo pratico e facile alla consultazione;

• costantemente aggiornato nei suoi contenuti informativi.

30

Al fine di garantire una costante adeguatezza ed efficacia del Business Continuity Management System, il Piano di Continuità Operativa nel suo complesso deve essere completo e sufficientemente dettagliato, funzionale e affidabile, reso noto e compreso da tutto il personale coinvolto. È importante che il BCP definisca gli obiettivi e il perimetro d’intervento e che questi siano compresi e condivisi a livello aziendale.

A fronte della Struttura organizzativa e societaria del Gruppo, della diversificazione delle attività svolte e della numerosità delle soluzioni di continuità operativa realizzate, in coerenza anche con quanto enunciato dalle Disposizioni di Vigilanza, il Gruppo Intesa Sanpaolo ha deciso di articolare il Piano di Continuità Operativa in più Piani Settoriali per le Strutture più critiche, con business caratteristici oltre che per le Società estere.

Con riferimento alle Banche e Società che prevedono un forte accentramento sul modello operativo di Gruppo, la gestione del Piano di Continuità Operativa è accentrata in Capogruppo, fermo restando che ogni Banca destinataria diretta della norma è responsabile del proprio Piano di Continuità Operativa, come previsto dalle Disposizioni di Vigilanza.

I ruoli e le responsabilità connessi all’attivazione delle misure di continuità, alla gestione dell’operatività in emergenza e al ripristino della normale attività, e più in generale quelli legati alla gestione degli eventi critici, devono essere puntualmente documentati, in linea con quanto definito nel Modello Organizzativo per la Gestione delle Crisi.

Il Business Continuity Plan, atteso che la sua composizione e i suoi livelli di dettaglio possono variare in funzione delle dimensioni dell’azienda, del contesto di riferimento, della cultura manageriale, della complessità organizzativa e delle soluzioni definite, dovrebbe essere caratterizzato almeno dai seguenti elementi:

• Piano di Continuità Operativa, documento che definisce le modalità di gestione della continuità operativa, l’ambito del Piano, gli attori e le funzioni coinvolte, le strategie individuate per fronteggiare gli scenari di crisi, le indicazioni riguardanti l’attivazione delle misure di continuità operativa, i processi di manutenzione e i requisiti di verifica e test delle stesse;

• processi di attivazione, documenti che descrivono la sequenza delle attività che i diversi attori coinvolti nella crisi devono porre in essere per l’attivazione delle soluzioni di continuità, la gestione dell’operatività in emergenza e l’esecuzione delle procedure di ritorno alla normale operatività;

• schede operative, documenti che riportano per i processi più critici/sistemici i dettagli delle soluzioni di continuità operativa individuate per gli scenari di Inaccessibilità dei Locali e di Indisponibilità del Personale Essenziale (ad es. nominativi delle risorse critiche coinvolte nel processo, indicazione del sito di backup, procedure e istruzioni operative, ecc);

• piani di contingency, misure di contingency organizzativa, a bassa integrazione con i sistemi, volte a garantire per i processi più critici livelli di continuità sia in caso di mancato o ritardato funzionamento delle misure di continuità operativa, sia da adottare nell’intervallo di tempo che intercorre tra il manifestarsi dell’evento critico e l’attivazione vera e propria delle soluzioni;

• check list/procedure operative, ovvero strumenti operativi che traducono in passi elementari le attività previste dai processi di attivazione del Piano di Continuità Operativa per tutti gli attori coinvolti;

• call tree, liste di contatti interni ed esterni utili in emergenza;

31

• Disaster Recovery Plan;

• istruzioni tecniche, strumenti operativi che dettagliano le attività tecniche necessarie per porre in essere le soluzioni di continuità (ad esempio modalità per l’attivazione e l’utilizzo delle tecnologie di emergenza, aspetti di sicurezza informatica, ecc);

• procedure e normative riferite a specifiche tipologie di eventi rilevanti per la continuità operativa, che necessitano di un approccio omogeneo a livello di Gruppo (es.

pandemic plan, cyber attack, danneggiamenti gravi provocati dai dipendenti, ecc).

É importante assicurare al BCP adeguata visibilità all’interno dell’azienda, ricorrendo all’utilizzo di tutti gli strumenti di comunicazione interna e di formazione.

4.3.4.3 Disaster Recovery Plan

Il Disaster Recovery Plan (Manuale di Ripristino delle Soluzioni Tecnologiche) è una componente rilevante della più vasta strategia di Business Continuity Management adottata dall’azienda.

Esso stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino l’indisponibilità dei sistemi informativi a fronte di gravi eventi di natura disastrosa che colpiscano i centri elaborazione dati dell’azienda. I singoli piani di Disaster Recovery devono essere integrati nel Disaster Recovery Plan di Gruppo. Esso descrive le azioni da mettere in atto, le risorse da utilizzare e le procedure da seguire nelle condizioni di emergenza che rendono i Servizi Informativi parzialmente o totalmente indisponibili, al fine di ripristinarli entro un tempo limitato rispondente alle esigenze del business aziendale.

I principali elementi che caratterizzano il Manuale di Ripristino delle Soluzioni Tecnologiche sono i seguenti:

• descrizione dei processi di gestione ordinaria in situazione di normalità necessari per assicurare l’aggiornamento e la diffusione dello stesso; include la descrizione dei compiti e delle responsabilità della Funzione incaricata della gestione;

• descrizione della soluzione tecnica, corredata dagli eventuali processi propedeutici al funzionamento, dalle modalità di allineamento e monitoraggio dei siti di Recovery e dalla descrizione delle modalità tecniche per consentire l’esecuzione dei test;

• descrizione delle norme e degli strumenti per gestire la crisi; sono inclusi il processo di comunicazione tra le funzioni tecniche e le Strutture organizzative definite dal Modello Organizzativo per la Gestione delle Crisi per il Gruppo Intesa Sanpaolo e gli strumenti di supporto alla gestione della crisi, quali le contact-list delle risorse da coinvolgere per l’attuazione delle procedure tecniche, le comunicazioni, il reporting ed il monitoraggio degli avanzamenti;

• documentazione delle istruzioni operative da eseguire per il ripristino dei sistemi, corredate dalle action check-list e dagli strumenti per la gestione delle eventuali anomalie durante il ripristino.

L’efficacia delle soluzioni descritte nel Manuale di Ripristino delle Soluzioni Tecnologiche non è condizionata dalla sua ampia diffusione tra le Funzioni aziendali, mentre è indispensabile una approfondita padronanza da parte dei ruoli direttamente coinvolti nell’attuazione delle misure definite.

32

Considerato che la documentazione include informazioni di dettaglio sulla tecnologia ed architettura dei sistemi (esempio le istruzioni operative) è opportuno classificarle con un grado di riservatezza elevato, limitandone l’accesso alle sole persone coinvolte nelle attività di ripristino.

Dato l’obiettivo del documento è fondamentale garantirne la disponibilità, in contesto di disastro con impatto sui sistemi informativi. Questo requisito è assicurato dalla diffusione capillare del Disaster Recovery Plan presso location differenti e tramite l’utilizzo di supporti alternativi a quelli che si basano su intranet aziendale e risorse di sistema condivise.

4.3.4.4 Requisiti di continuità operativa per i contratti di fornitura critici

Al fine di assicurare l’efficacia delle misure di continuità operativa adottate devono essere predisposte opportune contromisure volte a garantire che i fornitori esterni dispongano di misure di continuità operativa adeguate a sostenere i livelli di servizio richiesti dalle Società del Gruppo, in coerenza con i risultati della Business Impact Analysis.

Pertanto i contratti di fornitura relativi ai processi a rilevanza sistemica o più critici per il business aziendale devono definire i livelli di servizio assicurati in caso di emergenza e individuare soluzioni di continuità operativa compatibili con le esigenze aziendali e coerenti con le prescrizioni della Vigilanza.

Inoltre, per poter esercitare in modo efficace i necessari controlli, la struttura aziendale responsabile dell’attività oggetto di fornitura critica, la Funzione di continuità operativa di Gruppo e la Funzione di Revisione Interna devono potersi avvalere della facoltà di acquisire i piani di continuità operativa dei fornitori ovvero disporre di informazioni adeguate, al fine di valutare la qualità delle misure previste dal fornitore stesso e di adottare le iniziative più opportune per assicurare che le soluzioni siano sempre adeguate.

Deve essere garantita la facoltà di partecipare, direttamente o per il tramite di comitati utente, alle verifiche dei piani di emergenza dei fornitori, che devono avvenire con frequenza almeno annuale, e comunque garantendo la disponibilità dei risultati alla Funzione di continuità operativa di Gruppo e alla Funzione di Revisione Interna.

Tali misure di continuità operativa dovranno altresì essere integrate, ovvero integrabili, con le soluzioni realizzate all'interno della Società del Gruppo così da garantire un governo unitario delle situazioni di crisi e la massima efficacia delle soluzioni implementate.

Per adempiere a quanto disposto dalle Disposizioni di Vigilanza devono essere individuati i contratti di fornitura e gli accordi quadro critici in quanto relativi ad attività o servizi il cui fermo può compromettere la continuità operativa che la Società del Gruppo deve assicurare verso la clientela e nei confronti del sistema.

Un contratto di fornitura o un accordo quadro deve considerarsi critico, quindi soggetto alla presente normativa, se ha per oggetto attività o servizi essenziali, legati a processi a rilevanza sistemica o significativamente critici per l’erogazione del servizio alla clientela.

Affinché il contratto possa essere considerato critico per la continuità operativa è necessario che sussistano tutte le seguenti condizioni:

• avere ad oggetto (i) una o più attività o servizi direttamente o indirettamente correlati al funzionamento dei processi a rilevanza sistemica indicati dall’Organo di Vigilanza o critici per il business tali per cui si ritiene che la relativa indisponibilità possa comportare

33

un significativo danno operativo e/o di immagine o (ii) l’esternalizzazione di una funzione operativa importante o di componente critica del sistema informativo;

• l’erogazione di tali processi/servizi non è possibile, a un livello ragionevole di qualità e quantità di servizio, senza il contributo del fornitore;

• non sono disponibili fornitori alternativi o altre risorse aziendali o di terzi già attive in grado di subentrare tempestivamente nell’erogazione dell’attività oggetto del contratto in tempi coerenti con i requisiti di continuità operativa coerentemente ai tempi di ripristino definiti.

Il livello di criticità del processo deriva dalla Business Impact Analysis condotta nell’ambito delle attività di sviluppo dei Piani di continuità operativa.

La valutazione del grado di criticità delle attività svolte dal fornitore deve essere effettuata dalla Funzione aziendale responsabile delle attività o dei servizi da esternalizzare, che in tal caso deve individuare i livelli di servizio da assicurare in caso di emergenza e – di concerto con la Funzione di continuità operativa di Gruppo - le eventuali soluzioni operative specifiche per i casi di emergenza da includere nel contratto con il Fornitore. A tal fine, tali evidenze devono essere specificate all’Ente di Acquisto competente che seguirà la negoziazione e contrattualizzazione del servizio con il fornitore già nella fase iniziale di ingaggio (richiesta di acquisto).

Qualora le attività o i servizi ricadano nelle tipologie descritte, la capacità del fornitore di soddisfare i necessari requisiti di continuità operativa andrà verificata già in sede di scelta del potenziale fornitore e nel contratto o nell’accordo quadro dovrà essere inserita una apposita clausola contrattuale di continuità operativa, che prevede la definizione di procedure di comunicazione e coordinamento in caso di incidenti di continuità operativa e che obbliga il fornitore a rispettare i medesimi requisiti previsti dal Gruppo; tale clausola dovrà essere resa disponibile tempo per tempo dalla Funzione di continuità operativa di Gruppo.

I contenuti principali della clausola in oggetto sono - di norma - quelli specificati nell’allegato contrattuale alle condizioni generali per la prestazione di servizi denominato Norme di continuità operativa. Tale documento richiede che il fornitore sia dotato di:

• un proprio processo di gestione delle crisi;

• un Disaster Recovery Plan dei sistemi informativi qualora tali sistemi siano critici per l’erogazione del servizio;

• un Business Continuity Plan per gli scenari di Indisponibilità del Personale Essenziale, Inaccessibilità dei Locali o Perdita Documentazione e Dotazioni Specifiche qualora le infrastrutture logistiche, le risorse umane o le dotazioni del fornitore siano critiche per l’erogazione del servizio;

• soluzioni di Alta Affidabilità impiantistica (elettrica, frigotermica, ecc) presso le proprie sedi operative in caso di Interruzione dei Servizi Infrastrutturali utilizzati per l’erogazione del servizio al Gruppo.

È necessario inoltre che:

• il fornitore garantisca contrattualmente di avere la capacità di erogare il servizio anche in casi di emergenza e che il servizio non degradi in caso di contesa delle risorse da parte di altri suoi clienti

34

• il fornitore garantisca la disponibilità di un proprio referente responsabile per gli aspetti di continuità operativa e per la comunicazione tempestiva degli eventi di crisi

• il fornitore verifichi le proprie soluzioni di continuità operativa con frequenza almeno annuale

• il fornitore che intende avvalersi di sub fornitori per l’esecuzione di tutto o parte del servizio contrattualizzato dovrà richiedere espressa autorizzazione alla Società ed assicurarsi che tali sub fornitori rispettino i medesimi obblighi contrattuali verso i quali il fornitore stesso si è impegnato.

In tutti i casi che non rientrano nella casistica precedentemente descritta e/o nei casi dubbi sarà comunque opportuno inserire in tutti i contratti e accordi quadro una clausola di continuità operativa di natura più generale che garantisca un livello minimo di tutela.