Gestione della continuità operativa

processo che identifica potenziali minacce

Con gestione della continuità operativa (in inglese Business Continuity Management, abbreviato in BCM) si intende un processo gestionale olistico che identifica potenziali minacce a un'organizzazione e gli impatti sulle attività che quelle minacce, se sfruttate attraverso vulnerabilità, potrebbero causare, e che fornisce un quadro per costruire una resilienza organizzativa con la capacità di un'efficace risposta a un evento critico che salvaguardi gli interessi degli stakeholder chiave, della reputazione, del brand e delle attività che creano valore. In particolare il sistema di gestione della continuità operativa (in inglese Business Continuity Management System, abbreviato in BCMS) è una parte del complessivo sistema di gestione che stabilisce, implementa, monitora, rivede, mantiene e migliora la continuità operativa. Il sistema di gestione include la struttura organizzativa, le politiche, la pianificazione delle attività, le responsabilità, le procedure, i processi e le risorse[1].

Le organizzazioni (pubbliche o private che siano), di qualsiasi settore o dimensione e che intendono preoccuparsi della propria continuità operativa devono stabilire, implementare, mantenere e migliorare continuamente il proprio sistema di gestione, considerando i processi necessari e le diverse interazioni tra gli stessi, in accordo con quanto previsto dalla norma ISO 22301.

La sfera di interesse della gestione della continuità operativa, diversamente da quanto spesso asserito, va ben oltre l'ambito esclusivamente informatico, includendo nel suo perimetro l'intera organizzazione e la sua capacità di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente.

L'obiettivo principale della gestione della continuità operativa è quello di contribuire alla definizione di una struttura in grado di aumentare la resilienza organizzativa e la capacità di risposta a un evento critico, indipendentemente dalla causa che l'ha generato.

Standard e norme di riferimento

modifica

Nel mese di maggio del 2012 è stata pubblicata dall'International Organization for Standardization la Norma ISO 22301 Societal security -- Business continuity management systems -- Requirements, alla quale nel mese di dicembre ha fatto seguito la norma ISO 22313 Societal security -- Business continuity management systems -- Guidance. Nel mese di dicembre del 2015, invece, sono state emanate le seguenti Technical Specification correlate: ISO TS 22317 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA) e ISO TS 22318 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity. Attualmente, la versione attualmente in vigore della norma ISO 22301 è quella rilasciata nell'anno 2019 (ISO 22301:2019).

In materia di gestione delle crisi, invece, nel mese di maggio del 2014 è stato pubblicato dal British Standards Institution la norma BS 11200 Crisis management -- Guidance and good practice.

Tutti questi standard forniscono un metodo formalizzato per garantire che il Programma di continuità operativa e gestione delle crisi dell’organizzazione sia efficace e allineato alla cultura e ai requisiti dell'organizzazione. L’approccio dei sistemi di gestione è utilizzato anche per altre discipline - come l'Information Security (norma ISO/IEC 27001:2013) e la Qualità (norma ISO 9001) e quindi un sistema di gestione della continuità operativa può essere facilmente aggiunto ed integrato poiché vi è una convergenza di tali Sistemi intorno a un testo standard comune.

Infine, il Business Continuity Institute:

  • nel 2013 ha rilasciato le BCI Good Practice Guidelines[2] - basate sulla Norma ISO 22301:2012 - che ad oggi rappresentano il principale punto di riferimento a livello internazionale dei professionisti di business continuity per la gestione di un Programma di continuità operativa in azienda;
  • nel 2016 ha pubblicato il BCM Legislations, Regulations & Standards Report[3] che riassume tutti i riferimenti normativi in materia per ciascun singolo Paese.

Il sistema di gestione della continuità operativa

modifica

Di seguito la struttura di un sistema di gestione della continuità operativa (SGCO o BCMS in inglese).

Contesto organizzativo

modifica

Il punto di partenza per la corretta gestione della continuità operativa è la comprensione dell'organizzazione e del contesto in cui essa opera. Questo passaggio impone delle considerazioni preliminari sulla natura dell'organizzazione, sui suoi obiettivi, sulle opportunità e i vincoli derivanti dal contesto esterno e dalla cultura organizzativa in essere, ma anche su necessità e aspettative delle parti interessate (compresi i regulator).

Sulla base di queste considerazioni è poi opportuno determinare il campo di applicazione del sistema di gestione della continuità operativa, motivando eventuali esclusioni dal perimetro.

Leadership

modifica

Altro aspetto di fondamentale importanza è dettato dalla leadership e dall'impegno verso il Programma di gestione della continuità operativa che deve essere dimostrato dall'organizzazione e in particolare dal suo management, anche attraverso l'attribuzione di un budget che sia coerente con gli scopi prefissati. Questo impegno deve essere chiaramente espresso e comunicato all'interno della politiche, che deve anche definire i ruoli, le responsabilità e i poteri decisionali a tutti i livelli dell'organizzazione in materia di gestione della continuità operativa.

In particolare, il BCM (BC manager) ha un ruolo fondamentale nella struttura organizzativa che presiede il programma di BC.

Pianificazione

modifica

Una volta definito pienamente il contesto e assicurata la leadership sul sistema di gestione, nella fase di pianificazione occorre darsi dei precisi obiettivi da raggiungere tramite l'implementazione del programma di continuità operativa. In questo processo è opportuno tener conto dei rischi e delle opportunità derivanti dal contesto, anche con l'obiettivo di definire un piano di azioni che supporti l'organizzazione nel conseguimento degli obiettivi di continuità operativa.

Supporto

modifica

A questo punto occorre dotare il programma di gestione della continuità operativa di risorse adeguati agli scopi definiti. L'organizzazione deve fornire al gruppo di gestione della continuità operativa tutte le risorse necessarie a stabilire, implementare, mantenere e migliorare costantemente nel tempo il sistema di gestione della continuità operativa.

In primis, occorre garantire la competenza del personale coinvolto nella gestione della continuità operativa e la sensibilizzazione di tutte le risorse umane sulla rilevanza di questa disciplina. L'incorporazione della continuità operativa nella cultura aziendale è un aspetto di fondamentale importanza per il successo del programma. Questo si può ottenere mediante l'organizzazione di campagne di formazione e di consapevolezza da ripetersi periodicamente nel tempo per garantire sempre l'aggiornamento del personale coinvolto a tutti i livelli.

Inoltre, l'organizzazione deve anche predefinire quali saranno le necessità a livello di comunicazione che saranno rilevanti per il corretto funzionamento del sistema di gestione della continuità operativa. Occorrerà dunque stabilire, implementare e mantenere procedure specifiche per:

  • gestire le comunicazioni interne tra le parti interessate ed il personale;
  • gestire le comunicazioni esterne con clienti, partner, comunità locale e altri portatori d'interesse (inclusi i media);
  • ricevere, documentare e rispondere alle comunicazioni dalle parti interessate, anche in caso di evento critico.

L'organizzazione dovrà infine definire un set documentale ordinato che consenta la creazione, l'aggiornamento e il controllo costante nel tempo delle suddette informazioni documentate. Questo aspetto è particolarmente rilevante e costituisce uno dei principali fattori critici di successo per la continuità operativa. Specialmente in organizzazioni di grandi dimensioni, infatti, il ricambio del personale è inevitabile e deve essere pianificato come parte del programma di continuità operativa. La soluzione ai problemi associati al ricambio del personale si ottiene con l'utilizzo di una documentazione completa, aggiornata e ordinata. Questo assicura che il personale abbia sempre le informazioni necessarie per diventare rapidamente competente e produttivo. Al giorno d'oggi, diverse organizzazioni utilizzano dei software di document management, alcuni dei quali costruiti appositamente per la gestione della continuità operativa.

Operation

modifica

L'organizzazione deve quindi pianificare, implementare e controllare i processi necessari per raggiungere gli obiettivi definiti e rispettare i requisiti identificati. Anche questo passaggio è cruciale per una corretta gestione della continuità operativa e prevede tra le altre cose la nomina formale di un consulente della continuità operativa dell'organizzazione che abbia un mandato chiaro da parte del top management per coordinare le attività relative al sistema di gestione.

Business Impact Analysis e Analisi delle Minacce

modifica

Queste analisi sono finalizzate a comprendere le priorità e i requisiti di continuità operativa. La Business Impact Analysis (BIA), nello specifico, è il processo di analisi delle attività e degli effetti che un'interruzione potrebbe avere su di esse[1] e consente di stabilire le priorità per il recupero dei processi critici mediante la definizione del Maximum Tolerable Period of Disruption (MTPD). L'Analisi delle Minacce, invece, promuove la comprensione dei rischi relativi ai processi critici, delle loro dipendenze e delle potenziali conseguenze in caso di interruzione. Queste attività costituiscono la base su cui vengono definiti - in fase di progettazione - i Recovery Time Objective (RTO) e i Recovery Point Objective (RPO), e su cui vengono selezionate le strategie e le tattiche di continuità operativa e le misure di mitigazione delle minacce.

Le Analisi in oggetto devono essere effettuate annualmente o comunque ogni volta che si dovesse verificare uno dei seguenti casi:

  • cambiamenti significativi nei processi organizzativi;
  • cambiamenti significativi del contesto esterno.

La ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)[4] è lo standard internazionale di riferimento per lo sviluppo di questa particolare tipologia di analisi.

Elaborate e aggiornate da Disaster Recovery Institute International, le pratiche professionali per la gestione della continuità operativa sono un corpus di conoscenze create per fornire assistenza durante le fasi di sviluppo, implementazione e aggiornamento dei programmi di business continuity. Intendono anche costituire uno strumento per condurre valutazioni di programmi esistenti.[5]

Strategie di continuità operativa

modifica

L'identificazione e la valutazione di un range di strategie di continuità operativa consentono all'organizzazione di scegliere le opzioni più appropriate per prevenire un'interruzione dei processi critici e per fronteggiarla in caso di incidente. Le strategie selezionate forniranno le linee guida per la ripresa delle attività a un livello predefinito accettabile, entro i limiti temporali concordati.

Operativamente, una strategia di BC è, per un dato rischio di interruzione, la contromisura (opzione) che si intenderebbe attuare in caso di incidente (emergenza, crisi o disastro[6]).

Un Piano di contingenza è una tipologia di programma di BC.

Piani e procedure di continuità operativa

modifica

L'implementazione di un piano di continuità operativa comporta la creazione di una struttura di risposta agli incidenti che monitori e coordini la fase di reazione a un evento critico, fino al ritorno alla normalità. È l'insieme di procedure documentate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello pre-definito le attività a seguito di un'interruzione (disruption) e copre le risorse, i servizi e le attività richieste per assicurare la continuità delle funzioni organizzative critiche[1]. Tali documenti, a differenza del programma di BC che è di livello direzionale, devono avere un taglio estremamente operativo e sintetico (in caso di emergenza le persone devono avere poche ma chiare e pratiche istruzioni). L'interruzione si riferisce alla fornitura dei prodotti o all'erogazione dei servizi, cioè la gestione caratteristica (business) di un'impresa o la finalità di un ente pubblico.

Il Piano inoltre rappresenta uno dei principali output del ciclo di vita della gestione della continuità operativa ed è declinato per qualsiasi tipo di organizzazione (pubblica, privata o anche no-profit) e per qualsiasi livello dell'organizzazione (strategico, tattico e operativo) con l'obiettivo di aumentarne la resilienza.

Il piano di continuità operativa può comprendere a sua volta dei piani specifici che includano procedure e informazioni particolari che - per motivi di migliore utilizzabilità e/o di dimensioni - è preferibile vengano trattate separatamente. A titolo esemplificativo, si pensi al Piano delle crisi, al Piano pandemico o al Piano di comunicazione nella crisi. Tali piani specifici fanno comunque parte del piano di continuità operativa dell’organizzazione.

Esercitazioni e test

modifica

Nulla di quanto fatto finora è valido se non si prevede un'opportuna fase di esercitazione e test, che fornisce all'organizzazione l'opportunità di:

  • promuovere la sensibilizzazione del personale e lo sviluppo delle competenze;
  • assicurare che il sistema di gestione e le procedure di continuità operativa siano completi, aggiornati e appropriati;
  • identificare le opportunità per il miglioramento del programma.

Le esercitazioni e i test di continuità operativa devono essere effettuati a tutti i livelli. A livello strategico sarà opportuno prevedere delle simulazioni di scenari di crisi, coinvolgendo il top management e - più in generale - il gruppo di gestione della continuità operativa. A livello tattico verranno fatti dei functional test sui principali processi dell'organizzazione. A livello operativo verranno invece provati i piani di emergenza.

Valutazione degli andamenti

modifica

Le esercitazioni e i test, ma più in generale anche tutta la fase di monitoraggio, misurazione, analisi e valutazione del sistema di gestione della continuità operativa devono tenere conto di specifiche metriche di performance e di efficacia delle misure a protezione delle attività prioritizzate. Inoltre devono essere finalizzati a garantire la compliance rispetto ai requisiti predefiniti e la coerenza del set di informazioni documentate rispetto agli obiettivi di continuità operativa definiti nella politiche.

A livello metodologico, invece, è importante anche che siano previste a intervalli regolari (almeno ogni due anni) degli internal audit approfonditi per verificare la conformità del sistema di gestione con le norme e gli standard di riferimento.

Tutte queste attività daranno un'idea al top management dei punti di forza e delle aree di miglioramento del programma di business continuity, per continuare a garantire che la gestione della continuità operativa sia adatta agli scopi dell'organizzazione, adeguata ed efficace nel definire procedure e costruire una capacità di risposta agli eventi critici.

Miglioramento Continuo

modifica

Le non conformità daranno quindi luogo ad azioni correttivi, nella logica del miglioramento continuo su cui la materia si fonda (Ciclo di Deming, Plan-Do-Check-Act).

Supply Chain Continuity Management (SCCM)

modifica

Il campo di applicazione del sistema di gestione della continuità operativa deve tenere conto anche delle interdipendenze con la catena di fornitura, che stanno diventando sempre più complesse, estese (spesso anche a livello internazionale) e mutevoli nel tempo, esponendo le organizzazioni a ulteriori rischi in caso di eventi critici o interruzioni. Per cui è particolarmente importante prevedere dei meccanismi di supply chain continuity management. Abitualmente, la relazione tra cliente e fornitore è vincolata a degli accordi contrattuali quali i Service Level Agreement (SLA) per le esternalizzazioni o gli Operational Level Agreement (OLA) per i servizi interni.

La ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity[7] è lo standard internazionale di riferimento per lo sviluppo di una capacità specifica di garantire la continuità operativa a fronte di interruzioni nella supply chain.

  1. ^ a b c (EN) ISO 22300:2012 - Societal security -- Terminology, su ISO. URL consultato il 28 gennaio 2017.
  2. ^ (EN) Super User, The Good Practice Guidelines, su thebci.org. URL consultato il 28 gennaio 2017.
  3. ^ (EN) Downloads | BCI Resources | Other | Regulations, Standards & Guidelines, su thebci.org. URL consultato il 28 gennaio 2017.
  4. ^ (EN) ISO/TS 22317:2015 - Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA), su ISO. URL consultato il 29 gennaio 2017.
  5. ^ Professional Practices | DRI, su drii.org. URL consultato il 20 marzo 2018.
  6. ^ Tutti questi termini riportati, definiti dalle norme di riferimento, non sono né sinonimi né andrebbero utilizzati come tali.
  7. ^ (EN) ISO/TS 22318:2015 - Societal security -- Business continuity management systems -- Guidelines for supply chain continuity, su ISO. URL consultato il 29 gennaio 2017.

Voci correlate

modifica

Altri progetti

modifica