Il tema della resilienza e della continuità operativa è diventato negli ultimi anni di stretta attualità per qualunque organizzazione, anche in seguito ad eventi quali la pandemia, la crisi climatica, la guerra…
La UK Prudential Regulation Authority, definisce la resilienza come “…the ability of firms and the financial sector as a whole to prevent, adapt, respond to, recover, and learn from operational disruptions.”
Il termine copre quindi tutte le fasi di gestione di un evento avverso, dalla sua prevenzione alle successive fasi di recovery e di apprendimento continuo; al riguardo il testo affronta:
- da un lato la gestione dei rischi di varia natura che possono interessare un’organizzazione (compresi i rischi di soggetti terzi o i rischi derivanti da terze e quarte parti) e la valutazione delle opportune azioni per la loro prevenzione e gestione
- dall’altro la continuità operativa, intesa come gestione, nel breve e nel lungo periodo, degli scenari che causano una indisponibilità degli asset/processi/servizi di un’organizzazione.
In tale contesto quindi il testo si occupa:
- delle misure per la gestione del rischio, finalizzate essenzialmente a garantire preventivamente la resilienza degli asset/processi/servizi di un’organizzazione, limitando sia la probabilità di accadimento di un evento avverso, sia gli impatti del medesimo
- delle soluzioni per garantire il ripristino della operatività di dopo un evento avverso.
Il testo si rivolge a tutte le strutture aziendali coinvolte (ICT, Sicurezza, Organizzazione, Personale, Legale, Compliace, Risk, Audit…), con una visione il più possibile esaustiva e analitica (come dimostrano le 600 pagine del testo), senza dare nulla di scontato, al fine di consentire al lettore di avere tutti gli strumenti per affrontare nella pratica temi così complessi, pur con livelli di approfondimento differenziati.
Negli ambiti molto tecnici la trattazione mira a dare una visione complessiva, ma comprensibile del tema affrontato, più approfonditi sono i temi legati alla rilevazione e gestione del rischio, alla BIA, alla definizione di soluzioni e dei piani di intervento…, affrontando nel dettaglio gli errori più comuni, quali:
- il non considerare nella valutazione degli RTO le interdipendenze fra i processi ed i cut off
- il non eseguire test sufficientemente lunghi per permettere di valutare la resilienza di un sito di DR
- il non considerare i limiti delle metodologie della valutazione dei rischi o della BIA
- il non impostare una corretta politica di gestione del personale…
Il libro si propone di fornire indicazioni molto pratiche ed è quindi corredato da un rilevante numero di tabelle, cataloghi interni ed esterni, riferimenti a pubblicazioni autorevoli reperibili gratuitamente on line per gli opportuni approfondimenti…
Particolare attenzione viene dedicata al Regolamento DORA, per il quale questo libro costituisce un utile riferimento per l’implementazione degli adempimenti richiesti.
Giancarlo Butti (giancarlo.butti@promo.it)
(LA BS 7799), (LA ISO IEC 27001:2005/2013/2022), (LA ISO 20000-1), (LA ISO IEC 42001), CRISC, CDPSE, ISM, DPO, DPO UNI 11697:2017, CBCI, AMBCI
Master in Gestione aziendale e Sviluppo Organizzativo (MIP – Politecnico di Milano)
Referente ESG(*) (Environmental, Social e Governance) e Inclusion del Comitato Scientifico del CLUSIT.
Si occupa di ICT, organizzazione e normativa dai primi anni 80:
- analista di organizzazione, project manager, security manager ed auditor presso gruppi bancari
- consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.
Come divulgatore ha all’attivo:
- oltre 800 articoli su 40 diverse testate
- 28 fra libri e white paper, alcuni dei quali utilizzati come testi universitari
- 30 opere collettive nell’ambito di ABI LAB, Oracle/CLUSIT Community for Security, Rapporto CLUSIT sulla sicurezza ICT in Italia
- relatore in oltre 170 eventi presso ABI, ISACA/AIEA, AIIA, ORACLE, CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, TECNA, UNISEF, PARADIGMA…
- già docente del percorso professionalizzante ABI – Privacy Expert e Data Protection Officer
- docente in master e corsi di perfezionamento post-universitario in diversi atenei:
- Master di II livello in “Data Protection Officer e Diritto della privacy” dell’Università degli Studi Suor Orsola Benincasa – Napoli
- Corso di Perfezionamento in Data Protection e Data Governance dell’Università degli Studi di Milano
- Percorso di Alta Formazione Data Protection Officer del Cefriel
- Master di Specializzazione per Responsabili della Protezione dei Dati Personali dell’UNISEF
- Percorso DPO e dell’Osservatorio Information Security & Privacy del Politecnico di Milano
- Analisi e gestione del rischio all’Università Statale di Milano
- Master Risk management, internal audit & frodi della Ca Foscari Challenge School.
Socio e già proboviro di AIEA/ISACA (www.aiea.it – Associazione Italiana Information Systems Auditors), del CLUSIT (www.clusit.it – Associazione Italiana per la Sicurezza Informatica), di DFA (www.perfezionisti.it – Digital Forensics Alumni ), di ACFE (https://www.acfecentral.it/- Association of Certified Fraud Examiner).e di BCI (www.thebci.org – Business Continuity Institute).
Partecipa a diversi gruppi di lavoro di ABI LAB, di ISACA-AIEA, del CLUSIT…
(*) Già ricercatore nell’ambito delle energie rinnovabili (UNESCO – International directory of new and renewable energy information sources and research centers, 1986)
I rischi della supply chain (mise.gov.it)
Dalla business continuity alla resilienza operativa (mise.gov.it)
Business Impact Analysis a prova di errore: ecco le linee guida – Cyber Security 360
Gestione di fornitori e outsourcer: limiti e pregi del Regolamento DORA – Cyber Security 360
Implementare DORA: le buone pratiche per sopravvivere all’adeguamento normativo – Cyber Security 360
Regolamento DORA, le certificazioni dei fornitori: i limiti operativi – Cyber Security 360
Rischio ICT, fornitori e subfornitori alla prova
NIS 2 e DORA, la (ri)valutazione dei fornitori: gli errori da evitare
DORA: errori e refusi a cui prestare attenzione per l’implementazione normativa
I limiti e le difficoltà di una corretta profilazione degli utenti
Prime scadenze NIS 2, ma per le entità finanziarie c’è ancora tempo: i motivi
Regolamento DORA, le funzioni essenziali e importanti: gli errori da evitare
Chi controlla l’audit? I rischi di una violazione della normativa privacy e il ruolo del DPO
