Continuità Operativa – Business Continuity Management – ISO 22301

da | 6, Gen 2021 | Organizzazione aziendale, Sicurezza delle informazioni

ISO 22301 - Sistema di gestione della continuità operativa
Le aziende sono esposte costantemente ad una serie di rischi, dagli sbalzi del mercato finanziario ed economico ai cambiamenti climatici e tanto altro ancora. Eventi catastrofici naturali, atti di sabotaggio, atti terroristici, turbolenze dei mercati, crisi economiche e geopolitiche, blocco dei sistemi informatici dovuto a malfunzionamenti tecnici o a cyber attack, interruzione dell’alimentazione elettrica, incendi, guerre dei dazi, interruzione della supply chain per fornitori critici ecc., possono interrompere la normale erogazione di prodotti e servizi comportando un fermo operativo, se non addirittura, la chiusura dell’impresa.

Ecco perché la resilienza è una caratteristica fondamentale che le aziende devono avere per restare “in salute” sul mercato.

Essere resilienti vuol dire migliorare la capacità di gestione e comunicazione della crisi, la rapidità di ripristino della continuità operativa e la sicurezza dei sistemi informativi. Quando si parla di continuità operativa, si intende la capacità di continuare a offrire prodotti o servizi a livelli accettabili a seguito di un incidente, ovvero la Business Continuity.

Business Continuity:
Capacità di un’organizzazione di continuare la fornitura di prodotti o servizi a livelli predefiniti, accettabili a seguito di un’incidente dirompente.

Business Continuity Management:
Processo di gestione olistico che identifica le potenziali minacce per un’organizzazione e gli impatti di quelle minacce a operazioni aziendali, fornisce un quadro di riferimento per la costruzione di una resilienza organizzativa, con la capacità di una risposta efficace che salvaguardi gli interessi delle parti interessate, reputazione, marchio e le attività che creano valore.

La capacità di dimostrare la propria resistenza nei confronti degli svariati tipi di minacce cui si è esposti diventa sempre più un fattore di alta visibilità sia verso la comunità in generale, sia verso la clientela. Per questo è maturata la consapevolezza che la Business Continuity non è più solo garantire il funzionamento dei servizi informatici (meglio definito come Disaster Recovery), ma si occupa di salvaguardare l’operatività del proprio core business, attraverso interventi preventivi e la costruzione di soluzioni organizzative per il funzionamento dei processi.

Infatti un Business Continuity Management System secondo lo standard ISO 22301 evidenzia l’importanza dei piani di Business Continuity rispetto al Disaster Recovery: il Disaster recovery interviene a seguito dell’evento e della sua stabilizzazione (es. restore con back up), mentre la Business Continuity agisce anche sugli aspetti preventivi e di risposta tempestiva all’evento come ad es. BIA (Business Impact Analysis) e BCP (Business Continuity Plan).

Scopo della norma (standard ISO 22301) per la gestione della Business Continuity è quello di specificare i requisiti atti a pianificare, stabilire, implementare, realizzare, monitorare, riesaminare, mantenere e migliorare in modo continuo un sistema di gestione documentato per proteggersi contro gli incidenti che possono accadere e fermare l’Organizzazione, ma non solo.

Un Business Continuity Management System secondo lo standard ISO 22301 supporta le organizzazioni nello sviluppo della continuità operativa in base alla quantità ed al tipo di impatto che l’organizzazione può o meno accettare a seguito di un’interruzione.

A chi si rivolge?

La norma è applicabile a tutti i tipi e dimensioni di organizzazioni e risulta particolarmente importante per:

  • Organizzazioni che operano in ambienti ad alto rischio (ad es. Utilities, servizi finanziari, petrolio e gas, trasporti, telecomunicazioni, servizi IT).
  • Organizzazioni in cui è fondamentale continuare a operare (ad es. settore pubblico).

Prevenire le interruzioni e avere in atto un buon piano d’emergenza risulta essenziale per mantenere la Continuità Operativa del business sotto le condizioni più avverse.

Gli obiettivi della Business Continuity

Un buon sistema di gestione della continuità operativa permette di:

  • garantire le funzioni essenziali e il servizio ai clienti;
  • assicurare l’incolumità del personale in caso di contingenza;
  • mantenere gli obblighi dell’azienda nei confronti dei dipendenti, dei clienti, degli azionisti e di parti terze;
  • ridurre al minimo possibili perdite finanziarie e i conseguenti impatti sulle attività aziendali;
  • contenere le conseguenze sull’operatività, predisponendo delle linee guida per recuperare e ripristinare le attività aziendali a seguito di una contingenza negativa;
  • preservare il brand e l’immagine aziendale, la credibilità e la fiducia degli stakeholder;
  • seguire correttamente gli obblighi e i requisiti normativi.

È utile inoltre notare che, anche se la continuità operativa non viene citata direttamente nel Regolamento Generale per la protezione dei dati personali (General Data Protection Regulation o GDPR), l’articolo 32 del Regolamento è abbastanza esplicito: il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ed avere implementato una vera strategia di continuità operativa, che sia periodicamente testata in modo da poterne dimostrare l’efficacia.

error: Content is protected !!