Indietro

ⓘ Business continuity management




Business continuity management
                                     

ⓘ Business continuity management

Per Business Continuity Management si intende un processo gestionale olistico che identifica potenziali minacce a unorganizzazione e gli impatti sulle attività che quelle minacce, se sfruttate attraverso vulnerabilità, potrebbero causare, e che fornisce un framework per costruire resilienza organizzativa con la capacità di unefficace risposta a un evento critico che salvaguardi gli interessi degli stakeholder chiave, della reputazione, del brand e delle attività che creano valore. E in particolare il Business Continuity Management System è una parte del complessivo sistema di management che stabilisce, implementa, monitora, rivede, mantiene e migliora la business continuity. Il Sistema di Gestione include la struttura organizzativa, le politiche, la pianificazione delle attività, le responsabilità, le procedure, i processi le risorse.

Le organizzazioni pubbliche o private che siano, di qualsiasi settore o dimensione e che intendono preoccuparsi della propria continuità operativa devono stabilire, implementare, mantenere e migliorare continuamente il proprio sistema di gestione, considerando i processi necessari le diverse interazioni tra gli stessi, in accordo con quanto previsto dalla norma ISO 22301.

La sfera di interesse della gestione della continuità operativa, diversamente da quanto spesso asserito, va ben oltre lambito esclusivamente informatico, includendo nel suo perimetro lintera organizzazione e la sua capacità di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente.

Lobiettivo principale del business continuity management è quello di contribuire alla definizione di una struttura in grado di aumentare la resilienza organizzativa e la capacità di risposta a un evento critico, indipendentemente dalla causa che lha generato.

                                     

1. Standard e Norme di Riferimento

Nel mese di maggio del 2012 è stata pubblicata dall International Organization for Standardization la Norma ISO 22301 Societal security -- Business continuity management systems -- Requirements, alla quale nel mese di dicembre ha fatto seguito la norma ISO 22313 Societal security -- Business continuity management systems -- Guidance. Nel mese di dicembre del 2015, invece, sono state emanate le seguenti Technical Specification correlate: ISO TS 22317 Societal security -- Business continuity management systems -- Guidelines for business impact analysis BIA e ISO TS 22318 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity.

In materia di Crisis Management, invece, nel mese di maggio del 2014 è stato pubblicato dal British Standards Institution la norma BS 11200 Crisis management -- Guidance and good practice.

Tutti questi Standard forniscono un metodo formalizzato per garantire che il Programma di business continuity e crisis management dell’organizzazione sia efficace e allineato alla cultura e ai requisiti dellorganizzazione. L’approccio dei Sistemi di Gestione è utilizzato anche per altre discipline - come lInformation Security norma ISO/IEC 27001:2013 e la Qualità norma ISO 9001 e quindi un Business Continuity Management System può essere facilmente aggiunto poiché vi è una convergenza di tali Sistemi intorno a un testo standard comune.

Infine, il Business Continuity Institute:

  • nel 2013 ha rilasciato le BCI Good Practice Guidelines - basate sulla Norma ISO 22301:2012 - che ad oggi rappresentano il principale punto di riferimento a livello internazionale dei professionisti di business continuity per la gestione di un Programma di continuità operativa in azienda;
  • nel 2016 ha pubblicato il BCM Legislations, Regulations & Standards Report che riassume tutti i riferimenti normativi in materia per ciascun singolo Paese.
                                     

2. Il Sistema di Gestione della Continuità Operativa

Miglioramento Continuo

Le non conformità daranno quindi luogo ad azioni correttivi, nella logica del miglioramento continuo su cui la materia si fonda Ciclo di Deming, Plan-Do-Check-Act.

                                     

2.1. Il Sistema di Gestione della Continuità Operativa Contesto Organizzativo

Il punto di partenza per la corretta gestione della continuità operativa è la comprensione dellorganizzazione e del contesto in cui essa opera. Questo passaggio impone delle considerazioni preliminari sulla natura dellorganizzazione, sui suoi obiettivi, sulle opportunità e i vincoli derivanti dal contesto esterno e dalla cultura organizzativa in essere, ma anche su necessità e aspettative delle parti interessate compresi i Regulator.

Sulla base di queste considerazioni è poi opportuno determinare il campo di applicazione del sistema di gestione della continuità operativa, motivando eventuali esclusioni dal perimetro.

                                     

2.2. Il Sistema di Gestione della Continuità Operativa Pianificazione

Una volta definito pienamente il contesto e assicurata la leadership sul sistema di gestione, nella fase di pianificazione occorre darsi dei precisi obiettivi da raggiungere tramite limplementazione del programma di business continuity. In questo processo è opportuno tener conto dei rischi e delle opportunità derivanti dal contesto, anche con lobiettivo di definire un piano di azioni che supporti lorganizzazione nel conseguimento degli obiettivi di continuità operativa.

                                     

2.3. Il Sistema di Gestione della Continuità Operativa Supporto

A questo punto occorre dotare il programma di business continuity management di risorse adeguati agli scopi definiti. Lorganizzazione deve fornire al team di business continuity management tutte le risorse necessarie a stabilire, implementare, mantenere e migliorare costantemente nel tempo il sistema di gestione della continuità operativa.

In primis, occorre garantire la competenza dello staff coinvolto nella gestione della continuità operativa e la sensibilizzazione di tutte le risorse umane sulla rilevanza di questa disciplina. Lincorporazione della business continuity nella cultura aziendale è un aspetto di fondamentale importanza per il successo del programma. Questo si può ottenere mediante lorganizzazione di campagne di formazione e di awareness da ripetere periodicamente nel tempo per garantire sempre laggiornamento del personale coinvolto a tutti i livelli.

Inoltre, lorganizzazione deve anche predefinire quali saranno le necessità a livello di comunicazione che saranno rilevanti per il corretto funzionamento del sistema di gestione della continuità operativa. Occorrerà dunque stabilire, implementare e mantenere procedure specifiche per:

  • ricevere, documentare e rispondere alle comunicazioni dalle parti interessate, anche in caso di evento critico.
  • gestire le comunicazioni interne tra le parti interessate e lo staff;
  • gestire le comunicazioni esterne con clienti, partner, comunità locale e altri stakeholder inclusi i media;

Lorganizzazione dovrà infine definire un set documentale ordinato che consenta la creazione, laggiornamento e il controllo costante nel tempo delle suddette informazioni documentate. Questo aspetto è particolarmente rilevante e costituisce uno dei principali fattori critici di successo per la business continuity. Specialmente in organizzazioni di grandi dimensioni, infatti, il ricambio del personale è inevitabile e deve essere pianificato come parte del programma di continuità operativa. La soluzione ai problemi associati al ricambio del personale si ottiene con lutilizzo di una documentazione completa, aggiornata e ordinata. Questo assicura che il personale abbia sempre le informazioni necessarie per diventare rapidamente competente e produttivo. Al giorno doggi, diverse organizzazioni utilizzano dei software di document management, alcuni dei quali costruiti appositamente per la gestione della business continuity.



                                     

2.4. Il Sistema di Gestione della Continuità Operativa Operation

Lorganizzazione deve quindi pianificare, implementare e controllare i processi necessari per raggiungere gli obiettivi definiti e rispettare i requisiti identificati. Anche questo passaggio è cruciale per una corretta gestione della continuità operativa e prevede tra le altre cose la nomina formale di un business continuity manager dellorganizzazione che abbia un mandato chiaro da parte del top management per coordinare le attività relative al sistema di gestione.

                                     

2.5. Il Sistema di Gestione della Continuità Operativa Business Impact Analysis e Analisi delle Minacce

Queste analisi sono finalizzate a comprendere le priorità e i requisiti di business continuity. La Business Impact Analysis BIA, nello specifico, è il processo di analisi delle attività e degli effetti che uninterruzione potrebbe avere su di esse e consente di stabilire le priorità per il recupero dei processi critici mediante la definizione del Maximum Tolerable Period of Disruption MTPD. LAnalisi delle Minacce, invece, promuove la comprensione dei rischi relativi ai processi critici, delle loro dipendenze e delle potenziali conseguenze in caso di interruzione. Queste attività costituiscono la base su cui vengono definiti - in fase di progettazione - i Recovery Time Objective RTO e i Recovery Point Objective RPO, e su cui vengono selezionate le strategie le tattiche di continuità operativa le misure di mitigazione delle minacce.

Le Analisi in oggetto devono essere effettuate annualmente o comunque ogni volta che si dovesse verificare uno dei seguenti casi:

  • cambiamenti significativi nei processi organizzativi;
  • cambiamenti significativi del contesto esterno.

La ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis BIA è lo standard internazionale di riferimento per lo sviluppo di questa particolare tipologia di analisi.

Elaborate e aggiornate da Disaster Recovery Institute International, le Pratiche Professionali per il Business Continuity Management sono un corpus di conoscenze create per fornire assistenza durante le fasi di sviluppo, implementazione e aggiornamento dei programmi di business continuity. Intendono anche costituire uno strumento per condurre valutazioni di programmi esistenti.



                                     

2.6. Il Sistema di Gestione della Continuità Operativa Strategie di Business Continuity

Lidentificazione e la valutazione di un range di strategie di business continuity consentono allorganizzazione di scegliere le opzioni più appropriate per prevenire uninterruzione dei processi critici e per fronteggiarla in caso di incidente. Le strategie selezionate forniranno le linee guida per la ripresa delle attività a un livello predefinito accettabile, entro i limiti temporali concordati.

Operativamente, una strategia di BC è, per un dato rischio di interruzione, la contromisura opzione che si intenderebbe attuare in caso di incidente emergenza, crisi o disastro.

Un Piano di contingenza è una tipologia di programma di BC.

                                     

2.7. Il Sistema di Gestione della Continuità Operativa Piani e Procedure di Business Continuity

Limplementazione di un Business Continuity Plan comporta la creazione di una struttura di risposta agli incidenti che monitori e coordini la fase di reazione a un evento critico, fino al ritorno alla normalità. È linsieme di procedure documentate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello pre-definito le attività a seguito di uninterruzione e copre le risorse, i servizi le attività richieste per assicurare la continuità delle funzioni organizzative critiche. Tali documenti, a differenza del programma di BC che è di livello direzionale, devono avere un taglio estremamente operativo e sintetico in caso di emergenza le persone devono avere poche ma chiare e pratiche istruzioni.

Il Piano inoltre rappresenta uno dei principali output del ciclo di vita della gestione della continuità operativa ed è declinato per qualsiasi tipo di organizzazione pubblica, privata o anche no-profit e per qualsiasi livello dellorganizzazione strategico, tattico e operativo con lobiettivo di aumentarne la resilienza.

Il Business Continuity Plan può comprendere a sua volta dei piani specifici che includano procedure e informazioni particolari che - per motivi di migliore utilizzabilità e/o di dimensioni - è preferibile vengano trattate separatamente. A titolo esemplificativo, si pensi al Piano di Crisi, al Piano Pandemico o al Piano di Comunicazioni nella Crisi. Tali piani specifici fanno comunque parte del Business Continuity Plan dell’organizzazione.

                                     

2.8. Il Sistema di Gestione della Continuità Operativa Esercitazioni e Test

Nulla di quanto fatto finora è valido se non si prevede unopportuna fase di esercitazione e test, che fornisce allorganizzazione lopportunità di:

  • promuovere la sensibilizzazione del personale e lo sviluppo delle competenze;
  • identificare le opportunità per il miglioramento del programma.
  • assicurare che il sistema di gestione le procedure di business continuity siano completi, aggiornati e appropriati;

Le esercitazioni e i test di continuità operativa devono essere effettuati a tutti i livelli. A livello strategico sarà opportuno prevedere delle Simulazioni di Scenari di Crisi, coinvolgendo il top management e - più in generale - il Crisis Management Team. A livello tattico verranno fatti dei functional test sui principali processi dellorganizzazione. A livello operativo verranno invece provati i piani di emergenza.

                                     

2.9. Il Sistema di Gestione della Continuità Operativa Valutazione delle Performance

Le esercitazioni e i test, ma più in generale anche tutta la fase di monitoraggio, misurazione, analisi e valutazione del sistema di gestione della continuità operativa devono tenere conto di specifiche metriche di performance e di efficacia delle misure a protezione delle attività prioritizzate. Inoltre devono essere finalizzati a garantire la compliance rispetto ai requisiti predefiniti e la coerenza del set di informazioni documentate rispetto agli obiettivi di business continuity definiti nella policy.

A livello metodologico, invece, è importante anche che siano previste a intervalli regolari almeno ogni due anni degli internal audit approfonditi per verificare la conformità del sistema di gestione con le norme e gli standard di riferimento.

Tutte queste attività daranno unidea al top management dei punti di forza e delle aree di miglioramento del programma di business continuity, per continuare a garantire che la gestione della continuità operativa sia adatta agli scopi dellorganizzazione, adeguata ed efficace nel definire procedure e costruire una capacità di risposta agli eventi critici.



                                     

2.10. Il Sistema di Gestione della Continuità Operativa Miglioramento Continuo

Le non conformità daranno quindi luogo ad azioni correttivi, nella logica del miglioramento continuo su cui la materia si fonda Ciclo di Deming, Plan-Do-Check-Act.

                                     

3. Supply Chain Continuity Management SCCM

Il campo di applicazione del sistema di gestione della continuità operativa deve tenere conto anche delle interdipendenze con la catena di fornitura, che stanno diventando sempre più complesse, estese spesso anche a livello internazionale e mutevoli nel tempo, esponendo le organizzazioni a ulteriori rischi in caso di eventi critici o interruzioni. Per cui è particolarmente importante prevedere dei meccanismi di s upply chain continuity management. Abitualmente, la relazione tra cliente e fornitore è vincolata a degli accordi contrattuali quali i Service Level Agreement SLA per le esternalizzazioni o gli Operational Level Agreement OLA per i servizi interni.

La ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity è lo standard internazionale di riferimento per lo sviluppo di una capacità specifica di garantire la continuità operativa a fronte di interruzioni nella supply chain.