Business Resilience Framework

Governance: propone alcuni principi di resilienza declinandoli poi in politiche attive ed in possibili modelli organizzativi. Sono incluse possibili strategie ed evoluzioni del modello di governance.

Preparazione: descrive le attività di analisi ed implementazione necessarie a predisporre piani di continuità e resilienza adeguati alle esigenze ed obiettivi della azienda.

• Intelligence: propone una attività ciclica di raccolta e analisi di dati/informazioni relativi
• all’ambiente circostante al fine di monitorare, rilevare anticipare e prevenire potenziali minacce per l’Azienda. Un’efficace attività di intelligence abilita decisioni informate consentendo di identificare nuove categorie di rischio, determinandone fonti e modalità e individuando adeguate azioni di mitigazione.
• BIA: La Business Impact Analysis, analizza gli effetti di una interruzione sull’Azienda; i suoi risultati indicano le priorità e i requisiti di continuità per la ripartenza di prodotti e servizi. La BIA costituisce, la base informativa su cui è costruito l’intero framework di resilienza.
• Risk assessment: mira a rilevare sistematicamente quali minacce possano colpire un’Azienda e quindi, attraverso il processo di trattamento dei rischi, a prepararsi per ridurre al minimo i danni di tali incidenti. In particolare, il processo di Risk Assessment si focalizza sui rischi che potrebbero causare l’interruzione o l’eccessivo degrado dell’operatività dell’Azienda, identificati e valutati in ottica integrata con le stime del rischio svolte in altri ambiti nonché in sinergia con la Business Impact Analysis.
• ICT Risk Analisys: ha lo scopo di valutare i livelli di rischio correlati a minacce e/o a eventi che possono compromettere il patrimonio informativo delle Aziende sulla base della identificazione e mappatura di tutti gli asset e dei servizi informativi ICT (patrimoni informativi, risorse di rete, attrezzature hardware, servizi esternalizzati, etc.), correlati con le funzioni di business
• Definizione ed implementazione delle Strategie: indirizza la definizione di strategie flessibili, modulari e adattabili in risposta ad eventi avversi. Tali strategie devono quindi essere tradotte in specifiche soluzioni il cui frequente utilizzo, anche nella gestione ordinaria, garantisca un sempre maggiore livello di resilienza e una pronta attivazione in caso di bisogno.
• Realizzazione: guida alla realizzazione del Piano di Continuità Operativa e dei relativi piani di Disaster Recovery, di Gestione della Crisi, di Comunicazione e del processo di gestione degli incidenti.
• Manutenzione e miglioramento continuo: propone un processo che garantisca l’aggiornamento continuo dei piani a supporto della continuità e resilienza attraverso il coinvolgimento di tutte le strutture coinvolte e la convergenza delle tematiche e dei requisiti di Resilienza Operativa all’interno dei più ampi processi aziendali.
• Awareness e Formazione alla resilienza: propone obiettivi e strumenti per perseguire la resilience culture intesa come insieme di conoscenze, credenze, attitudini, atteggiamenti, norme e ai valori delle persone riguardo alla sicurezza. La resilience culture consiste nel rendere le esigenze sulla sicurezza delle informazioni e della Continuità Operativa parte integrante del lavoro, delle abitudini e del comportamento di un dipendente e dunque applicate alle proprie azioni quotidiane.
• Validazione: identifica metodi e strumenti per predisporre ed attuare piani di verifica delle soluzioni a supporto della continuità operativa.

Risposta e ripristino: descrive approcci, macro-attività, comportamenti, ruoli e responsabilità principali connessi con la gestione di un evento destabilizzante per l’Azienda, sia esso una crisi, un cambiamento o un evento ripetitivo con alta probabilità di accadimento e un impatto relativamente contenuto.

• Situational awareness: fornisce indicazioni sulla raccolta e analisi degli elementi utili in occasione di eventi imprevisti o con conseguenze non contemplate in sede di preparazione. Si articola su tre livelli: la percezione delle informazioni rilevanti, la comprensione del significato di tali informazioni e le azioni da intraprendere, soprattutto nell’ottica di una predizione degli eventi futuri.
• Escalation, Gestione e Recovery: propone un approccio strutturato per la valutazione e gestione della situazione derivante da un incidente o da un evento avverso che può esplicarsi puntualmente, o dinamicamente nel tempo, nel corso di una crisi operativa con conseguenze significative se non critiche sulla sicurezza, continuità o qualità dei servizi offerti
• Gestione della Comunicazione: fornisce spunti per garantire una comunicazione efficace - quale condizione necessaria per mettere al riparo un’Azienda da potenziali danni d’immagine (con ripercussioni sul business)- in caso di eventi destabilizzanti. La gestione della comunicazione è affrontata come un processo strutturato, da attuare prima, durante e dopo un evento critico, volto al mantenimento o al ripristino della reputazione dell’Azienda, fornendo segnali di capacità di resistenza e risposte agli stakeholder.
• Gestione Fase di Rientro: descrive i passaggi per la transizione dall’implementazione delle prime soluzioni per contrastare l’evento critico fino alla ripresa della piena operatività. Questa fase può portare alla definizione e al consolidamento di un nuovo modello di gestione dell’operatività e può permettere all’Azienda di rilanciare le proprie opportunità di crescita economica e reputazionale.
• Lesson learned: fornisce un modello per individuare le attività utili all’identificazione e la valutazione delle lesson learned e propone molteplici obiettivi per la loro valorizzazione per il miglioramento continuo e al fine di costruire nel tempo la capacità di assorbire gli effetti associati a un incidente o a un contesto in continua evoluzione e rispondere/adattarsi a esso in modo sempre più efficace.

Questa sezione contiene:

• un piccolo glossario
• una tabella di correlazione puntuale fra i requisiti specifici del DORA, di cui vengono riportati alcuni estratti, e i capitoli del BRF in cui tali requisiti vengono referenziati in nota.
• il questionario di autovalutazione (in formato excel - descritto nella sezione 1.6.1);
• un modello di supporto in formato excel progettato per guidare gli utenti, attraverso step incrementali, nell’implementazione del Business Resiliency Framework. Questo strumento intende organizzare e razionalizzare gli elementi chiave che costituiscono l’architettura informativa del Framework. Tali elementi includono risorse, applicazioni, infrastrutture, basi di dati, fornitori e servizi. Inizialmente il modello stabilisce le relazioni tra questi elementi, le unità organizzative e i processi aziendali. Successivamente consente di correlare tali elementi con le informazioni necessarie per condurre un’analisi di impatto basata su scenari (BIA) e per effettuare una valutazione dei rischi in termini di vulnerabilità e minacce al fine di definire obiettivi di continuità e sicurezza degli asset informa