Implementazione dell'IT Service Continuity Management
Nel post precedente abbiamo parlato di IT Service Continuity Management, in questo post daremo qualche accenno all'implementazione dello stesso.
Il Piano di IT Service Continuity Management non va costituito in solitudine, ma deve tenere presente i requisiti del business espressi nel Business Continuity Management (BCM). In ITIL vi e' una pubblicazione espressamente dedicata al Business Continuity Process: "An introduction to the Business Continutity Management"
Normalmente il Life Cycle del BCM comprende le seguenti fasi:
- Iniziazione (Initiation) - In questa fase si stabiliscono le policy. Tutte le parti coinvolte devono essere a conoscenza del proprio ruolo nelle policy. In questa fase si definisce anche l'ambito del BCM (terms of reference and scope), cioe' cio che va' dentro al piano e cosa si puo' lasciare fuori (perche' irrilevante, non rischioso etc...). Le risorse vengono allocate in questa fase. e si definisce la struttura. Una corretta impostazione nella fase di iniziazione permette (ma non garantisce...) che il resto del processo proceda correttamente.
- Requirements e strategia - In questa fase si effettua la Business Impact Analysis (BIA), cioe' l'analisi dell'impatto sul business di discontinuita' sui processi aziendali. Alcuni degli aspetti identificati nella BIA includono i seguenti: il tempo in cui il servizio va ripreso, lo staff, le facilities ed i servizi necessari per permettere alle funzioni aziendali identificate come critiche di operare ad un livello minimo accettabile. Altra attivita' che si effettua in questa fase e' il Risk Assessment, cioe' l'identificazione dei rischi, la determinazione dei livelli di probabilita' del rischio e di impatto dello stesso (threat and vulneerability levels). Esistono diverse metodologie di Risk Assessment, ITIL suggerisce il metodo CRAMM. Dalle informazioni ricavate dalle attivita' precedenti e' possibile definire una strategia di BCM che includa misure di riduzione del rischio (Risk Reduction Measures), varie opzioni di recovery, (tipici esempi sono: non fare nulla, avere dei workaround manuali, avere accordi reciproci con altre aziende che usino tecnologie simili, etc...)
- Implementazione - In questa fase si pianifica sia la struttura organizzativa che sottende al BCM che i vari piani operativi (Emergency response plan, Damage Assessment plan, Vital Records Plan, etc...). In questa fase si implementano le misure di riduzione dei rischi (generatori, UPS, offsite storage, etc...). Parte essenziale di questa fase e' la preparazione di procedure ben documentate di recovery , che includano anche un testing periodico.
- Gestione Operativa - La gestione operativa assicura che il BCM sia manutenuto come parte dei processi di business. In questa fase ci si assicura che tutti gli attori del BCM siano a conoscenza del rolo ruolo e che i cambiamenti all'infrastruttura siano riflessi nei vari piani di BCM. Elemento della gestione operativa e' l'invocazione del Business Continuity Plan, che se tutto e stato pianificato per tempo non dovrebbe dare problemi.
Alcuni degli elementi chiave di una buona implementazione di ITSCM sono i seguenti:
- Assicurarsi il buy-in del management
- Fare campagne di awareness sull'ITSCM a tutto lo staff
