ITIL, Italia

L'IT Service Continuity Management (ITSCM) e' un processo che fa parte della parte Service Delivery di ITIL v2. Obiettivo del processo di IT Service Continuity Management e' di supportare il processo di Business Continuity Management assicurando che i servizi IT possano essere ripristinati in tempi e modi predeterminati.

L'IT Service Continuity Management va un po' visto come un'assicurazione nel caso che il business venga interrotto, e come tale va fatta un'analisi costi benefici su cosa esattamente deve essere compreso in questo processo.

Il Business Continuity Management (BCM) e' il processo che si occupa della gestione dei rischi al business e che una azienda possa continuare ad operare (anche in forma minimale) se i rischi dovessero materializzarsi. L'ITSCM forma una parte integrate del BCM, ed e' focalizzata alla parte IT del processo (sempre piu' centrale per le aziende).

I benefici dell'ITSCM sono abbastanza ovvi:

• Assicurare che il business passi indenne da disastri o avvenimenti simili
• Riducendo la vulnerabilita' dell'organizzazione ai rischi identificati
• Producendo piani di recovery a supporto del BCM

L' ITSCM interagisce con altri processi, ed in particolare con:

• Availability Management, implementando misure di riduzione del rischio in modo da aumentare l'availability dei servizi
• Service Level Management, definendo i livelli di ITSCM
• Change Management, assicurandosi che l'ITCSM sia sempre in linea con l'infrastruttura corrente
• Service Desk/Incident Management, nell'utilizzo di dati storici.

Responsabilita' del processo di ITSCM sono le seguenti:

• Comprendere e valutare le differenti opzioni di IT Service Continuity e selezionare quelle piu' opportune in base alle necessita' del business (e quindi del Business Continuity Plan)
• Creare il piano di IT recovery ed assicurarsi che siano allineati con i piani di Business Continuity
• Identificare ruoli e responsabilita' nell'ambito del piano di IT recovery in particolare e di ITSCM in generale.

Il Piano di IT Service Continuity Management non va costituito in solitudine, ma deve tenere presente i requisiti del business espressi nel Business Continuity Management (BCM). In ITIL vi e' una pubblicazione espressamente dedicata al Business Continuity Process: "An introduction to the Business Continutity Management"

Normalmente il Life Cycle del BCM comprende le seguenti fasi:

• Iniziazione (Initiation) - In questa fase si stabiliscono le policy. Tutte le parti coinvolte devono essere a conoscenza del proprio ruolo nelle policy. In questa fase si definisce anche l'ambito del BCM (terms of reference and scope), cioe' cio che va' dentro al piano e cosa si puo' lasciare fuori (perche' irrilevante, non rischioso etc...). Le risorse vengono allocate in questa fase. e si definisce la struttura. Una corretta impostazione nella fase di iniziazione permette (ma non garantisce...) che il resto del processo proceda correttamente.
• Requirements e strategia - In questa fase si effettua la Business Impact Analysis (BIA), cioe' l'analisi dell'impatto sul business di discontinuita' sui processi aziendali. Alcuni degli aspetti identificati nella BIA includono i seguenti: il tempo in cui il servizio va ripreso, lo staff, le facilities ed i servizi necessari per permettere alle funzioni aziendali identificate come critiche di operare ad un livello minimo accettabile. Altra attivita' che si effettua in questa fase e' il Risk Assessment, cioe' l'identificazione dei rischi, la determinazione dei livelli di probabilita' del rischio e di impatto dello stesso (threat and vulneerability levels). Esistono diverse metodologie di Risk Assessment, ITIL suggerisce il metodo CRAMM. Dalle informazioni ricavate dalle attivita' precedenti e' possibile definire una strategia di BCM che includa misure di riduzione del rischio (Risk Reduction Measures), varie opzioni di recovery, (tipici esempi sono: non fare nulla, avere dei workaround manuali, avere accordi reciproci con altre aziende che usino tecnologie simili, etc...)
• Implementazione - In questa fase si pianifica sia la struttura organizzativa che sottende al BCM che i vari piani operativi (Emergency response plan, Damage Assessment plan, Vital Records Plan, etc...). In questa fase si implementano le misure di riduzione dei rischi (generatori, UPS, offsite storage, etc...). Parte essenziale di questa fase e' la preparazione di procedure ben documentate di recovery , che includano anche un testing periodico.
• Gestione Operativa - La gestione operativa assicura che il BCM sia manutenuto come parte dei processi di business. In questa fase ci si assicura che tutti gli attori del BCM siano a conoscenza del rolo ruolo e che i cambiamenti all'infrastruttura siano riflessi nei vari piani di BCM. Elemento della gestione operativa e' l'invocazione del Business Continuity Plan, che se tutto e stato pianificato per tempo non dovrebbe dare problemi.

Alcuni degli elementi chiave di una buona implementazione di ITSCM sono i seguenti:

• Assicurarsi il buy-in del management
• Fare campagne di awareness sull'ITSCM a tutto lo staff