Continuità operativa
Per continuità operativa[1][2][3] (in inglese business continuity) si intende la capacità di un'organizzazione di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente[4].
Storia
modificaLa continuità operativa nacque verso la fine degli anni '70 negli Stati Uniti d'America come conseguenza dell'avvento dell'Information Technology nelle aziende. I manager si resero conto che in caso di malfunzionamento dei sistemi IT, non era più possibile tornare a processi manuali. Pertanto iniziarono a riflettere sulla continuità dei processi IT, attraverso le prime attività di "Disaster Recovery". Una delle difficoltà iniziali dei tecnici chiamati a fare queste riflessioni fu quella di giustificare investimenti significativi per preparare l'organizzazione a reagire a eventi distruttivi con bassa probabilità di accadimento. Si instaurò così verso la metà degli anni '80 la prima metodologia di Business Impact Analysis, che venne originariamente applicata al solo ambito informatico.
La disciplina iniziò quindi a evolversi e a essere implementata anche in altri Paesi anglosassoni (principalmente nel Regno Unito e in Australia). Negli anni '90 le organizzazioni incominciarono inoltre ad allargare la riflessione anche alle risorse umane, agli asset fondamentali e ai processi aziendali nel loro complesso. In quegli stessi anni il British Standards Institution lanciò un primo standard per la sicurezza informatica (che negli anni è stato modificato fino a diventare l'attuale Norma ISO/IEC 27001) che tra i principi fondamentali enunciava la necessità di continuità operativa, definita ai tempi ancora in termini di disponibilità dei dati.
A cavallo tra la fine degli anni '80 e l'inizio degli anni '90 vennero fondate anche diverse associazioni professionali, alcune delle quali diventate con il tempo di rilevanza globale. Verso la fine del XX secolo, grazie soprattutto al lavoro di questi enti, emerse invece l’idea di un approccio olistico alla materia. Stava diventando ormai evidente la necessità di fornire protezione e resilienza a tutte le attività di un'organizzazione, non solo a quelle di derivazione IT.
Negli anni 2000, quindi, anche a seguito dell'impulso di gravi eventi (come gli Attentati dell'11 settembre 2001) che hanno ampliato ulteriormente la riflessione agli aspetti di gestione delle crisi, si è cercato di codificare la continuità operativa e classificarla come parte della famiglia degli standard dei sistemi di gestione, seguendo un percorso già tracciato dai servizi di Qualità, Ambiente e Information Security. Questo ebbe inizio con una serie di norme guida che hanno poi portato alla definizione della Norma ISO 22301:2012.
Descrizione
modificaSi tratta di una disciplina di gestione che consente all’organizzazione - privata o pubblica che sia - di diventare più resiliente agli incidenti che potrebbero causarne l’interruzione delle attività o addirittura minacciarne l'esistenza. Come tale, la continuità operativa è una delle discipline chiave della resilienza organizzativa e contribuisce quindi a un significativo miglioramento delle performance dell'organizzazione. La continuità operativa, infatti, fornisce in modo univoco il quadro di riferimento per comprendere come il valore viene creato e mantenuto all’interno di un’organizzazione e stabilisce una relazione diretta con le dipendenze o le vulnerabilità inerenti alla distribuzione di tale valore.
Erroneamente, viene spesso confusa con il disaster recovery che è applicabile (come misura di gestione di un incidente critico) unicamente alla sicurezza informatica. La continuità operativa ha un campo di applicazione molto più ampio e prevede riflessioni anche su persone, siti, risorse, fornitori dell'organizzazione e servizi pubblici. Pertanto, il concetto di disastro ha a che fare unicamente con la sicurezza informatica, l'emergenza, la crisi e la catastrofe con la continuità operativa.
Continuità operativa e gestione del rischio
modificaTramite i modelli di gestione del rischio, le organizzazioni danno la percezione di tutela e creazione di valore per le parti interessate (azionisti, addetti, clienti e utenti, fornitori, comunità locale, autorità di regolamentazione e pubblico in generale). Questo obiettivo è molto simile a ciò che è espresso quale fondamento logico per la continuità operativa. Quindi è chiaro che le due discipline debbano condividere una serie di caratteristiche.
Il risk management ha solitamente una più ampia portata rispetto alla continuità operativa, comportando in alcune grandi organizzazioni - specialmente nel settore finanziario - la necessità per la continuità operativa di adeguarsi al quadro complessivo dei rischi. Questo è perfettamente possibile da realizzare, purché vi sia una chiara distinzione a livello di terminologia e di contenuti tra le due discipline. A questo proposito è importante notare come la continuità operativa si focalizzi - in particolare nella fase di Analisi - sull’identificazione delle vulnerabilità organizzative collegate al valore di base che supportano (Analisi delle Minacce) e sulla comprensione dell’impatto di una loro indisponibilità sull’organizzazione (Business Impact Analysis).
La continuità operativa non è dunque solo identificazione, valutazione e segnalazione di ogni singolo rischio concepibile per un’organizzazione, i suoi mercati, i clienti e il contesto in cui opera e non è certamente mera assegnazione delle probabilità di manifestazione degli eventi. La gestione dei rischi identifica le minacce catastrofiche che sono al di fuori del controllo dell’organizzazione, mentre la gestione della continuità operativa si preoccupa di definire il modo per ridurre l’impatto di tali minacce, qualora si dovessero verificare.
La valutazione dei rischi che viene svolta all’interno di un programma di gestione della continuità operativa è di solito a livello operativo, in quanto riguarda l’interruzione delle attività. Tale valutazione dei rischi può integrare quella intrapresa come parte del programma di gestione dei rischi. L’implementazione di entrambe le discipline, continuità operativa e gestione dei rischi, fornisce a un'organizzazione l’opportunità di rafforzare la sua resilienza, ma questo avverrà solo se il management delle due discipline è effettivamente coordinato.
Continuità operativa e gestione delle crisi
modificaLa gestione delle crisi è il processo tramite il quale viene sviluppata e applicata la capacità organizzativa di affrontare eventi critici, intesi come situazioni anormali e di grave instabilità che minacciano gli obiettivi strategici, la reputazione o la sopravvivenza stessa di un'organizzazione[5]. Le crisi non comportano necessariamente un’interruzione delle attività dell’organizzazione, si pensi ad esempio all'eventualità di dover gestire notizie mediatiche negative potenzialmente in grado di danneggiare la reputazione di un’organizzazione. Tuttavia, la gestione delle crisi richiede conoscenze e competenze specialistiche del tutto assimilabili a quelle previste nell'ambito del Programma di gestione della continuità operativa.
La gestione delle crisi è quindi certamente una delle attività che deve essere affrontata da qualsiasi organizzazione che implementi la continuità operativa. Non dovrebbe pertanto essere separata dalla continuità operativa, in quanto parte integrante di una qualsiasi risposta positiva a un incidente. Potrebbero esserci comunque ulteriori aspetti della disciplina da considerare quando viene applicata a incidenti derivanti da minacce non operative, come ad esempio la gestione dei media e la comunicazione con gli stakeholder esterni in caso di crisi. In ogni caso, il coordinamento delle attività di gestione delle crisi pertiene al livello strategico del Sistema di Gestione della Continuità Operativa.
Standard e norme di riferimento
modificaNel mese di maggio del 2012 è stata pubblicata dall'International Organization for Standardization la Norma ISO 22301:2012 Societal security -- Business continuity management systems -- Requirements[6], alla quale nel mese di dicembre ha fatto seguito la Norma ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance[7]. Nel mese di dicembre del 2015, invece, sono state emanate le seguenti Technical Specification correlate: ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)[8] e ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity[9].
In materia di gestione delle crisi, invece, nel mese di maggio del 2014 è stato pubblicato dal British Standards Institution la Norma BS 11200:2014 Crisis management -- Guidance and good practice.
Tutti questi standard forniscono un metodo formalizzato per garantire che il Programma di continuità operativa e gestione della crisi dell’organizzazione sia efficace e allineato alla cultura e ai requisiti dell'organizzazione. L’approccio dei Sistemi di Gestione è utilizzato anche per altre discipline - come l'Information Security (Norma ISO/IEC 27001:2013) e la Qualità (Norma ISO 9001:2015) e quindi un sistema di gestione della continuità operativa può essere facilmente aggiunto poiché vi è una convergenza di tali Sistemi intorno a un testo standard comune.
Infine, il Business Continuity Institute:
- nel 2013 ha rilasciato le BCI Good Practice Guidelines - basate sulla Norma ISO 22301:2012 - che ad oggi rappresentano il principale punto di riferimento a livello internazionale dei professionisti di continuità operativa per la gestione di un Programma di continuità operativa in azienda;
- nel 2016 ha pubblicato il BCM Legislations, Regulations & Standards Report che riassume tutti i riferimenti normativi in materia per ciascun singolo Paese.
Focus sulla Normativa Italiana
modificaPubblica Amministrazione
modificaLa pubblica amministrazione era tenuta ad assicurare la continuità dei propri servizi per garantire il corretto svolgimento della vita nel Paese secondo l'Art. 97 della Costituzione ed il principio di buon andamento dell'amministrazione, da rispettare seguendo il Codice dell'Amministrazione Digitale (CAD) che agli articoli 50 e 50-bis esprimeva e dichiarava le norme che ogni pubblica amministrazione avrebbe dovuto seguire in caso di disastro.
Il d. lgs. 30 dicembre 2010 aveva infatti introdotto nel CAD l'articolo 50-bis (Continuità operativa) i seguenti punti:
- In relazione ai nuovi scenari di rischio, alla crescente complessità dell'attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell'informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.
- Il ministro per la pubblica amministrazione e l'innovazione assicura l'omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.[10]
Per la Pubblica Amministrazione, la Continuità Operativa era un dovere perché:
- Sarebbe tenuta ad assicurare la continuità dei propri servizi per garantire il corretto svolgimento delle funzioni pubbliche ed il diritto dei cittadini ad accedere ai servizi pubblici per via telematica (art. 3, d. lgs. 82/2005, “Codice dell'Amministrazione Digitale”);
- L'Art. 97 della Costituzione ed il principio di buon andamento dell'amministrazione devono essere garantiti anche se si utilizzano tecnologie ICT a supporto dei procedimenti;
- La normativa in merito alla Continuità Operativa per gli Enti della pubblica amministrazione all'interno del CAD (art. 50-bis del d. lgs. 30 dicembre 2010, n. 235 - Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82), ed in particolare le “Linee guida per il Disaster Recovery della Pubbliche Amministrazioni” emesse dall'Agenzia per l'Italia Digitale, imponevano l'adozione da parte degli Enti di un Piano di Disaster Recovery in grado di salvaguardare i servizi erogati mediante specifiche infrastrutture ICT.[11]
All'interno del CAD erano presenti dall'articolo 50 in poi le maggiori norme che le pubbliche amministrazioni avrebbero dovuto rispettare a seguito di un disastro che ne infici la continuità operativa. Queste norme in molti casi sono state redatte a seguito di eventi disastrosi accaduti in Italia recentemente come il terremoto in Abruzzo e in Emilia.
L'Agenzia per l'Italia Digitale (AgID) aveva anche pubblicato un aggiornamento delle “Linee Guida per il Disaster Recovery (DR) delle Pubbliche Amministrazioni” ai sensi del comma 3, lettera b) dell'art. 50-bis del d. lgs. 7 marzo 2005, n. 82 (Codice dell'Amministrazione Digitale). Questa versione era il risultato di un lavoro congiunto fra AgID, Pubbliche Amministrazioni e rappresentanze dei fornitori. Gli interventi di razionalizzazione rispettavano le evoluzioni delle funzioni dell'Agenzia e del quadro normativo vigente, le disposizioni in tema di sicurezza informatica e tutela della privacy, nonché i provvedimenti del Garante per la protezione di dati personali.[12]
Tuttavia, il d. lgs. n. 179 del 26 agosto 2016 ha abrogato integralmente l'art. 50-bis del CAD, di fatto eliminando l'obbligo di continuità operativa per le Pubbliche Amministrazioni.
Banche
modificaGli operatori del settore bancario sono tenuti al rispetto della Circolare n. 285 del 17 dicembre 2013 che in particolare al Titolo IV - Capitolo 5 fornisce delle linee disposizioni specifiche per la continuità operativa. La normativa si applica a tutte le banche e ai gruppi bancari, con dei requisiti particolari e aggiuntivi per i soggetti, individuati nominativamente, con apposita comunicazione, fra i gruppi bancari e le banche non appartenenti a gruppi con una quota di mercato, calcolata sul totale attivo, superiore al 5% del totale del sistema bancario.
Nell’ambito dei gruppi bancari, i requisiti particolari si applicano alla capogruppo, alle singole controllate bancarie italiane con totale attivo superiore a 5 miliardi di euro e alle altre controllate bancarie, finanziarie e strumentali che, indipendentemente dalla dimensione e localizzazione, svolgono in misura rilevante i processi a rilevanza sistemica o danno un supporto essenziale a questi ultimi.
Possono essere altresì assoggettati ai requisiti particolari gli operatori, incluse le succursali italiane di banche estere, che, su base individuale, detengono una quota di mercato superiore al 5% in almeno uno dei seguenti segmenti del sistema finanziario italiano: regolamento lordo in moneta di banca centrale, liquidazione di strumenti finanziari, servizi di controparte centrale, sistemi multilaterali di scambio di depositi interbancari in euro, aste BCE, operazioni di finanziamento del Tesoro effettuate tramite asta, mercato dei pronti contro termine all’ingrosso su titoli di Stato, pagamento delle pensioni sociali, bollettini postali.
Note
modifica- ^ Continuità operativa, su agid.gov.it, Agenzia per l'Italia digitale.
- ^ Giuseppe Iacono, Flavia Marzano e Carlo Maria Medaglia, La continuità operativa negli enti locali, Maggioli, 2012.
- ^ Emanuela Masini, Laura Mugnai e Sergio Boncinelli, Gestione della continuità operativa delle strutture ospedaliere in condizione di maxi-emergenza, Firenze University Press, 2015.
- ^ (EN) ISO 22300:2012 - Societal security -- Terminology, su ISO. URL consultato il 27 gennaio 2017.
- ^ BS 11200:2014 Crisis management. Guidance and good practice, su shop.bsigroup.com. URL consultato il 28 gennaio 2017.
- ^ (EN) ISO 22301:2012 - Societal security -- Business continuity management systems --- Requirements, su iso.org. URL consultato il 4 marzo 2017.
- ^ (EN) ISO 22313:2012 - Societal security -- Business continuity management systems -- Guidance, su iso.org. URL consultato il 4 marzo 2017.
- ^ (EN) ISO/TS 22317:2015 - Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA), su iso.org. URL consultato il 4 marzo 2017.
- ^ (EN) ISO/TS 22318:2015 - Societal security -- Business continuity management systems -- Guidelines for supply chain continuity, su iso.org. URL consultato il 4 marzo 2017.
- ^ Codice dell'amministrazione digitale | AgID, su archivio.digitpa.gov.it. URL consultato il 30 giugno 2016 (archiviato dall'url originale il 17 agosto 2016).
- ^ monica, Strumenti e metodi per la Continuità Operativa ed il Disaster Recovery, su riuso-pa.piemonte.it. URL consultato il 30 giugno 2016 (archiviato dall'url originale il 18 agosto 2016).
- ^ Agenzia per l'Italia Digitale, su agid.gov.it.