La gestione della continuità operativa in ambito bancario

Durante la recente edizione di Sicurezza, si è parlato Business Continuity e Disaster Recovery. E’ accaduto all’interno dell’inedito Convegno “Sicurezza e innovazione per la città del futuro: Smart Cities”, organizzato da A.I.PRO.S. in partnership con il Dipartimento BEST del Politecnico di Milano.

a cura della Redazione

Tra i relatori intervenuti al Convegno “Sicurezza e innovazione per la città del futuro: Smart Cities” - coordinati da Gianni Andrei, Presidente di A.I.PRO.S., Associazione Italiana Professionisti della Sicurezza - figurano Oliviero Tronconi, direttore Dipartimento BEST del Politecnico milanese, i suoi collaboratori Jessica Astolfi e Stefano Bellintani, e Massimo Marrocco, responsabile della Sicurezza e Logistica presso Banca Iccrea, nonché responsabile del Dipartimento "Rischio Operativo" all’interno di A.I.PRO.S. e membro della Commissione ICT dell’Ordine degli Ingegneri della Provincia di Roma.
Quest’ultimo, in particolare, ha intrattenuto la platea con un puntuale intervento in tema di “Business Continuity nei servizi tecnologici”, descrivendo dapprima che cosa si intende per Business Continuity e Disaster Recovery secondo le attuali best practices di riferimento, nello specifico la ISO 22301, che ha recentemente sostituito la BS 25999.

L’operatività bancaria come
fattore di sicurezza nazionale

Per “business continuity” - ovvero “gestione della continuità operativa” o “continuità aziendale” - si intende la capacità dell'azienda di continuare a esercitare il proprio business anche in seguito a eventi avversi di varia natura che possono colpirla.
Marrocco, a tale proposito, ha evidenziato come - relativamente all’ambito bancario - si sia passati da una logica di “visione aziendale” propria dello standard BS 25999 a una logica di “interesse sociale” più esteso nella formulazione della ISO 22301, come già emerge nel titolo di quest’ultima “Societal Security - Business continuity management systems - Requirements”.
Fino al settembre 2001 il tema della Business Continuity nel settore bancario era gestito principalmente nelle aree ICT e si prefiggeva, in generale, di salvaguardare gli apparati e il salvataggio delle procedure in caso di guasti o eventi esterni.
Dopo tale data - e a seguito dell’attentato alle Twin Towers che, oltre a provocare ingenti perdite di vite umane, provocò il blocco totale delle attività amministrative, contribuendo ad accrescere i danni collaterali all’evento - la comunità mondiale si è resa conto che anche l’operatività bancaria rappresenta un fattore della sicurezza nazionale e ha imposto al settore creditizio di pianificare attività in grado di garantire la ripresa del servizio in caso di disastri, entro tempi stabiliti.
Quindi, si è passati da una logica confinata al settore ICT a una logica estesa all’intero sistema-banca, che deve essere in grado di limitare i tempi di fermo e ricominciare a produrre servizi verso la comunità a tempo indeterminato, utilizzando soprattutto risorse proprie.
Dunque, non si tratta di mantenere in funzione le strutture ICT con il personale dedicato, ma di prevedere il mantenimento in funzione e in sicurezza di posti di lavoro anche per i dipendenti amministrativi in numero minimo per erogare i servizi di competenza alla comunità.

Piani “guida” nel processo
di recupero della produzione

Da queste considerazioni nasce l’essenza dei Piani di Business Continuity (BCP) e dei piani di Disaster Recovery anche per tutti gli altri soggetti destinatari di tali caratteristiche organizzative, che si sostanziano nell’indicazione di diverse procedure che, prendendo come riferimento scenari di disastro opportunamente individuati dagli esperti, guidino il processo di recupero della produzione fino al riavvio dello stesso nella percentuale obiettivamente raggiungibile.
Il BCP è comunque un documento dinamico, in quanto è continuamente aggiornato anche in base a:

• risultato dei test periodici pianificati
• accadimenti di disastri non ancora presi in considerazione
• modifiche organizzative
• modifiche normative

Nella considerazione degli eventi disastrosi rientrano, ad per esempio, terremoti, incendi, allagamenti, frane, interruzione della viabilità e dei collegamenti con vettori, caduta di aerei, pandemie, sommosse, attentati, interruzione di erogazione energia o collegamenti, inquinamenti sia delle acque che dell’aria.
Tutto il processo di cui abbiamo preso visione assume rilevanza anche - e soprattutto - in sede di progettazione e realizzazione dei siti e delle infrastrutture impiantistiche destinate a operare in un ambito di Business Continuity.

Smart City e sicurezza
delle infrastrutture

In una visione di Smart Cities digitalizzate, dove il cittadino si avvale e usufruisce di servizi on line estesi all’intero arco delle 24 ore, appare evidente che le strutture Hw e SW deputate a erogare i servizi Web debbano avvalersi di infrastrutture logistiche e impiantistiche adeguatamente realizzate, per garantire un’affidabilità di servizio privo di cadute.
Sarà, quindi, necessario operare anche a monte delle stesse aree metropolitane, realizzando manufatti per la gestione dei servizi critici pensati e costruiti secondo i criteri salienti dell’affidabilità e cioè: duplicazione delle componenti attive (diversificate tra componenti in servizio e componenti in stand by), con filosofia realizzativa che privilegi impianti con limitato numero di componenti, di facile reperimento e rapida sostituzione, assistenza manutentiva costante e specialistica.
In particolare, il personale addetto al mantenimento in esercizio dovrà essere costantemente formato e sottoposto a test di simulazione di scenari opportunamente selezionati, in grado di evidenziare anomalie operative e azioni di miglioramento, il tutto in un’ottica di costante miglioramento implementativo.
Nella Smart City del futuro, il cittadino non sarà solamente facilitato nell’operatività quotidiana, ma anche meglio protetto da sistemi di monitoraggio degli eventi - che possano essere indicatori di rischi per la salute - e allertamento per crolli o incendi.
Sono già stati realizzati, a livello sperimentale, sistemi in grado di monitorare la stabilità degli edifici e di dare, con anticipo di tempo, allerta per rischio di cedimenti o crolli.
Analogamente, si stanno mettendo a punto sistemi di monitoraggio fughe di gas o incendi, destinati a proteggere edifici interi - soprattutto ad alta densità abitativa - quali scuole, ospedali, uffici pubblici ecc..
Tra breve, quando detti impianti saranno usufruibili sul mercato, l’intero patrimonio edificato sarà costantemente monitorato e, in caso di allarme, sarà possibile intervenire con vantaggiosa tempestività e mettere in sicurezza gli abitanti, limitando al massimo le conseguenze disastrose.

Per info:
mmarrocco@iccrea.bcc.it

Pubblica i tuoi commenti