ISO 22301: come gestire la business continuity

In particolare, la resilienza informatica è l'area in cui la maggior parte degli intervistati si aspetta un budget più elevato nel 2024: le risorse aggiuntive saranno destinate a soddisfare la crescente domanda causata dal numero e dalla complessità degli attacchi informatici e dalla crescente pervasività digitale all’interno delle organizzazioni.

Molte organizzazioni, anche nel nostro paese, pongono la business continuity al primo posto delle loro priorità. In questo articolo daremo indicazione di un metodo strutturato e basato sulla normativa ISO 22301, per consentire alle organizzazioni di garantire la business continuity, attraverso la redazione di un business continuity plan di cui il disaster recovery è una parte integrante per la continuità operativa.

Cos'è la certificazione ISO 22301? 

La certificazione ISO 22301 è un attestato di qualità che dimostra la capacità di un’organizzazione di rispondere rapidamente a blocchi operativi, continuando a fornire il servizio richiesto anche in caso di situazioni critiche che potrebbero mettere a repentaglio il business. Basandosi sulla messa in atto delle best practices, lo standard aiuta a comprendere, sviluppare e implementare un Business Continuity Management System (BCMS) strutturato, indispensabile per minimizzare i rischi e le possibilità di interruzione dell’attività e garantire, in tempi rapidi, il ripristino della normalità in caso di emergenza.

Un sistema di gestione della continuità operativa certificato ISO 22301 indica che l'organizzazione:

• implementa, mantiene e migliora il proprio BCMS;
• è conforme alla policy di continuità operativa dichiarata;
• supporta la resilienza in caso di interruzioni dell'attività;
• è in grado di continuare a fornire prodotti e servizi anche durante un'interruzione.

 Lo standard ISO 22301 è stato inizialmente introdotto nel 2012 e rivisto nel 2019, senza tuttavia introdurre significative variazioni rispetto alla versione precedente ma limitandosi a ridurre il numero di documenti obbligatori, dei requisiti e delle nuove linee guida relative alle modifiche della pianificazione del BCMS.
 

Quante sono le clausole di ISO 22301?

Lo standard prevede 10 clausole principali, che le aziende devono rispettare per ottenere la certificazione. Si va dallo scopo ai riferimenti normativi, passando per termini e definizioni, contesto dell’organizzazione, leadership, pianificazione, supporto, operazioni, valutazione delle performance, miglioramenti. 

Le prime tre clausole definiscono lo scopo, i riferimenti normativi, i termini e le definizioni relativi allo standard. Le restanti indicano gli elementi necessari per un sistema di gestione efficace della continuità operativa e come implementare la ISO 22301. 

Particolarmente significativa la norma n° 7, relativa al supporto che indica le necessarie conoscenze, capacità ed esperienze dei dipendenti per sviluppare e mantenere il sistema e rispondere agli incidenti. 

Anche i clienti devono essere consapevoli dei problemi relativi alla continuità aziendale e, in caso di interruzione dei consueti canali di comunicazione, devono essere supportati con mezzi alternativi. 

È importante individuare una leadership (clausola 5), responsabile nell’assicurare le risorse adeguate per rispondere alle criticità e nell’indicare le misure da adottare tempestivamente. Il cuore della normativa è racchiuso nella clausola 8 che indica le esigenze operative. 

Per valutare in che modo le diverse unità aziendali possono essere interessate dalle interruzioni e come queste possano estendersi ad altre aree, l’organizzazione deve intraprendere, in via preliminare, un'analisi dell'impatto di un’eventuale criticità sul business. 

Fondamentale, infine, la clausola relative alla valutazione (9) delle prestazioni aziendali nel tempo, strettamente correlata alla necessità di miglioramento (clausola 10), parte integrante della certificazione ISO 22301.

Cosa si intende per business continuity? 

Secondo la definizione indicata dalla norma ISO 22301, “la business continuity è la capacità di un’organizzazione di continuare a erogare prodotti o servizi a livelli accettabili a seguito di un incidente”. 

Aiuta dunque le imprese a pianificare eventi imprevisti e a gestire i rischi nel modo migliore, riducendo i tempi per ripristino, parziale o totale, dell’attività. Non solo per le grandi ma anche per le imprese medie e piccole, sempre più spesso inserite in complesse catene del valore, è essenziale comprendere l’importanza della business continuity. 

Questa deve infatti essere garantita anche in caso di eventi che possono interrompere la normale erogazione di prodotti e servizi quali atti di sabotaggio o terroristici, turbolenze dei mercati, crisi economiche e geopolitiche che possono causare l’interruzione della supply chain, eventi naturali catastrofici, malfunzionamento o blocco dei sistemi informatici per guasti tecnici o cyber attacchi.

La business continuity richiede un approccio olistico che non si limiti ad assicurare il corretto funzionamento dei singoli componenti ma punti all’armonizzazione dell’intero sistema aziendale. Le organizzazioni di qualunque settore e dimensione, per ridurre i costi diretti e indiretti, spesso significativi, derivanti dal blocco anche temporaneo delle attività, dovrebbero adottare strumenti di prevenzione e dotarsi di risorse capaci di garantire la resilienza organizzativa, dimostrando di essere in grado di affrontare e di assorbire gli imprevisti e continuare a conseguire gli obiettivi di business. 

La capacità di perseguire la resilienza dell’organizzazione e garantire una maggiore efficienza dei tempi di ripristino, produce anche ulteriori vantaggi quali:

• la riduzione dell’esposizione legale e finanziaria,  
• il miglioramento delle performance, 
• l’incremento del vantaggio competitivo, 
• la crescente capacità di protezione degli asset aziendali, 
• la maggiore garanzia di affidabilità e stabilità agli occhi dei clienti.

Il modo in cui un’azienda risponde a una crisi e la sua capacità di garantire la business continuity può influire, in particolare, sulla sua credibilità e la aiuta a preservare la sua reputazione. Se ad esempio un evento critico esteso fa ritardare le consegne per un tempo sensibilmente superiore a quello dei concorrenti, i clienti ridurranno la loro fiducia. 

Viceversa, se l’azienda sarà in grado di battere sul tempo i concorrenti, migliorerà la sua reputazione. Analogamente, se un incidente comporta danni ambientali o per la salute dei cittadini, la capacità di prevenirlo o mitigarne gli effetti migliorerà la reputazione pubblica dell’azienda.

Altri effetti importanti dell’attività volta a garantire la business continuity sono sia la maggiore visibilità delle potenziali minacce sia un’approfondita consapevolezza dei rischi e del loro impatto sul business aziendale oltre che sulla catena di fornitura.

Cosa contiene e come si redige un Business Continuity Plan

ll Business Continuity Plan (BCP) è lo strumento principale di cui dispone un’organizzazione per gestire situazioni critiche o eventi straordinari e garantire il ripristino delle attività produttive e delle funzioni essenziali nel minor tempo possibile.

Il piano deve indicare tutte le attività strategiche da attuare in caso di emergenza, stimare costi previsti e le persone coinvolte ai diversi livelli. Non è pensabile un piano tipo per qualunque organizzazione ma va personalizzato sulla base delle dimensioni, della complessità e del tipo di azienda. Per una piccola impresa, ad esempio, il BCP potrebbe racchiuso in un unico documento relativo ai processi principali mentre, per un grande gruppo multinazionale, potrebbe essere preferibile creare documenti dettagliati per ciascun prodotto/servizio, sede e divisione.
L’obiettivo comune di ogni BCP, in ogni caso, è minimizzare i danni causati da un’eventuale interruzione delle attività e ridurre i tempi di ripristino della normalità. 
Poiché il BCP è pensato per proteggere dipendenti e asset aziendali, l’organizzazione dovrà innanzi tutto mappare i processi critici quali, ad esempio: 

• il rapporto con clienti e partner;
• le risorse umane;
• l’erogazione e la realizzazione di servizi e prodotti;
• la supply chain,
• le catene di fornitura e di approvvigionamento,
• la catena della logistica e il trasporto;
• le risorse IT,
• le infrastrutture di connettività e le telecomunicazione;
• le infrastrutture fisiche fondamentali.

Per le applicazioni e i processi fondamentali si dovranno definire le condizioni che consentano all’organizzazione di disporre dell’accesso alle attività indipendentemente dal malfunzionamento o dal blocco di infrastrutture, reti o macchinari.
L’organizzazione dovrà inoltre disporre di un sistema di disaster recovery, per consentire il ripristino del data center, delle infrastrutture e delle reti IT nel caso in cui si verifichi un disastro o un attacco informatico.

I passi per creare il Business Continuity Plan sono, in sintesi, i seguenti:

1. Identificazione degli obiettivi del BCP e delle attività da proteggere;
2. Identificazione dei rischi che potrebbero interrompere le attività aziendali e valutazione della loro probabilità di verificarsi;
3. Sviluppo delle strategie per gestire i rischi identificati e proteggere le attività aziendali;
4. Implementazione del BCP, assicurandosi che tutti i dipendenti siano a conoscenza delle procedure da seguire per gestire l’emergenza;
5. Verifica del BPC per assicurarsi della sua efficacia e della capacità dei dipendenti coinvolti di eseguire le procedure.

DigitelNET, il partner ideale per la gestione della Business Continuity

Garantire la Business Continuity, nel rispetto della normativa ISO 22301, richiede la predisposizione di un piano personalizzato sulla base delle caratteristiche della singola organizzazione e del suo inserimento nel contesto della catena del valore. 

Al primo punto va posta la valutazione dei rischi e la predisposizione di tutte le azioni per prevenire possibili interruzioni causate da malfunzionamenti e da vulnerabilità infrastrutturali. 

Su questo terreno DigitelNET rappresenta un partner qualificato e affidabile grazie alla sua esperienza ventennale nel campo dei servizi informatici e della cyber security. In particolare, può mettere a disposizione dell’azienda cliente tecnologie e metodologie consolidate per garantire l’ottimizzazione e la sicurezza delle reti e delle risorse IT. 

Tuttavia, la prevenzione non è sufficiente per evitare qualunque evento imprevisto e imprevedibile come disastri naturali, atti di sabotaggio, crisi geopolitiche che possono interrompere la supply chain o cyber attacchi all’infrastruttura informatica e di comunicazione. 

Serve allora la predisposizione di un Disaster Recovery Plan (DRP), ossia quell’insieme di politiche, procedure e misure logistico-organizzative in grado di ripristinare sistemi, dati e infrastrutture necessari per garantire la business continuity e aiutare l’azienda a garantire la sicurezza dell’organizzazione e dei suoi dipendenti. 

DigitelNET può predisporre un DRP personalizzato sulla base delle esigenze dell’organizzazione ma comunque basato sullo standard ISO 22301, in grado di indicare in dettaglio tutte le azioni che il team di gestione e il personale di un’azienda devono intraprendere per minimizzare gli effetti del disastro e ripristinare rapidamente l’operatività. 

Per questo insieme di caratteristiche, DigitelNET rappresenta il partner ideale per aziende di qualunque dimensione nella gestione della business continuity.