Assessment della Business Continuity
La definizione sempre più precisa e dettagliata dei livelli di servizio ed i rischi di incidenti informatici sempre più sofisticati impongono l’adozione di un processo di business continuity in grado di assicurare la continuità del servizio anche in caso di emergenza.
I settori bancari, finanziari e pubblici sono sempre più interessati a questo aspetto, dovendo garantire servizi verso il cittadino salvaguardando al contempo l’efficienza delle organizzazioni.
Questo complesso equilibrio può essere raggiunto solo con l’adozione di modelli di riferimento specifici, messi a punto sulla base delle proprie necessità e di quelle dei propri clienti/utenti.
La business continuity costituisce l’ultimo baluardo di una escalation che potrebbe condurre al disaster recovery; infatti gli orientamenti più recenti dell’ICT vedono in sequenza:- risk management;
- incident handling;
- business continuity;
- disaster recovery;
In taluni casi, i livelli di servizio richiesti dal mercato si riferiscono ad indicatori prestazionali di riferimento, tratti da letteratura specializzata o a specifiche esigenze del cliente/utente; in quest’ultimo caso esisteranno, con molta probabilità, penali in caso di perdita dei livelli di servizio.
La soluzione proposta da TÜV Italia vuole fornire una valutazione indipendente, eseguita da personale qualificato e competente, del processo di business continuity e dei suoi effettivi punti di forza e di debolezza, laddove presenti.
L’assessment viene svolto durante l’attività operativa - “on field assessment” (OFA) - durante prove pianificate, oppure sulla base dei dati e delle evidenze raccolte in attività precedenti -“back office assessment” (BOA).
In entrambi i casi verranno utilizzate modalità derivanti dall’adozione dei più noti modelli di riferimento (ISO/IEC 27001, ISO/IEC 20000, ISO/IEC 27031 ecc.) o da quanto eventualmente richiesto dall’organizzazione in relazione a contratti specifici di esercizio.
Obiettivi e Vantaggi
L’obiettivo prioritario è fornire evidenza di una valutazione del reale ed efficace funzionamento del processo di business continuità, a fronte di specifiche contrattuali o modelli internazionali di riferimento.
I vantaggi sono principalmente riferibili:
- alla professionalità delle risorse impegnate,
- all’indipendenza di giudizio e alla reportistica, nella quale è possibile specificare anche eventuali punti di debolezza o aree di miglioramento (a seconda delle esigenze).
Come opera TÜV Italia
Come ente terzo, con personale indipendente dall’organizzazione valutata e dotato delle competenze più idonee.
Procedure di assessment
Le principali fasi dell'iter comprendono:
- l’individuazione dei documenti di riferimento e la loro successiva analisi per definire in modo puntuale i requisiti dell’assessment e le eventuali specificità necessarie per la redazione della valutazione finale (BOA);
- l’esecuzione dell’assessment operativo (OFA) per la rilevazione del reale stato del processo e la verifica degli eventuali requisiti contrattuali.