L'APPROCCIO CORRETTO

Gestione della business continuity: migliorare la resilienza organizzativa per affrontare gli scenari di crisi

Una corretta gestione della business continuity consente ad un’organizzazione di continuare ad erogare i propri prodotti e servizi anche a seguito di un evento critico. Ecco le soluzioni per realizzare un piano di continuità operativa utile a definire la struttura di risposta alle emergenze e i metodi di allerta

25 Lug 2019
I
Maria Elena Iafolla

Avvocato esperto in diritto dell’informatica e nuove tecnologie e Data Protection Officer

L
Federico Lucia

Giurista-informatico e Lead Auditor specializzato in security e business continuity management (CSI Piemonte)

La gestione della business continuity è attività complessa, che richiede uno sforzo previsionale dei possibili rischi di natura disastrosa e l’identificazione degli scenari minimi da contemplare per migliorare la resilienza di un’organizzazione.

La continuità operativa di un’organizzazione è, tuttavia, concetto più ampio e trova riscontro in contesti differenti, quali la tutela dei servizi erogati dalla Pubblica Amministrazione o il rispetto degli obblighi dettati dall’art. 32 GDPR in materia di sicurezza del trattamento.

La business continuity: definizione e campo di applicazione

La business continuity (o continuità operativa) rappresenta la capacità di una organizzazione, a seguito del verificarsi di un evento critico e potenzialmente causa di interruzioni, di continuare ad erogare prodotti e servizi ad un livello preventivamente valutato come accettabile.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Da questa definizione, indicata nella principale norma di riferimento del settore, ossia la ISO 22301 (Societal Security – business continuity management systems), si evince chiaramente lo scopo fondante la gestione della business continuity.

Si tratta, infatti, di un processo olistico che mette in atto procedure di:

  • identificazione del campo di applicazione, dei requisiti delle parti interessate e degli asset aziendali;
  • identificazione delle potenziali minacce;
  • valutazione degli impatti al business dell’organizzazione qualora le stesse dovessero concretizzarsi;
  • definizione di una strategia di risposta alla crisi al fine di costruire una resilienza organizzativa.

Gestione della business continuity: non solo tutela del business

La continuità operativa come sopra definita, nella sua particolare accezione di “resilienza organizzativa”, assume rilievo anche in contesti non propriamente – o non esclusivamente – di business laddove, al verificarsi di un’interruzione, l’interesse primario da tutelare sia diverso o ulteriore rispetto all’erogazione di prodotti e servizi e dunque rispetto al mero business.

Si pensi, ad esempio, alle pubbliche amministrazioni, cui la continuità operativa permette di assicurare l’erogazione dei servizi essenziali a cittadini e imprese e, dunque, il corretto svolgimento della vita nel Paese.

Essa era prevista, in particolare, nel Codice dell’Amministrazione Digitale che all’art. 50 bis (rubricato, appunto, “Continuità operativa”) stabiliva un obbligo di predisporre piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il ritorno alla normale operatività.

Abrogato l’art. 50 bis C.A.D. ad opera della cosiddetta riforma Madia (D.lgs. n. 179/2016, art. 64, comma 1, lett. h), permangono tuttavia gli obblighi dettati dal successivo art. 51 C.A.D., “Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni.

Secondo detta norma, i documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.

L’articolo rimanda, altresì, ad apposite Linee guida per l’individuazione di più specifiche soluzioni tecniche, «idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture».

La necessità di protezione dei documenti informatici (e non) delle pubbliche amministrazioni assume evidente rilevanza in ambito pubblicistico, poiché la garanzia di continuità dei servizi e delle funzioni delle pubbliche amministrazioni costituisce un imprescindibile impegno istituzionale.

Per tali ragioni, la business continuity in questo ambito mostra una stretta correlazione con il principio di buon andamento della pubblica amministrazione di cui all’art. 97 della Costituzione, oltre che con le responsabilità che ne sono corollario: l’assenza di uno specifico piano per la continuità operativa ed il disaster recovery potrebbe avere conseguenze ai sensi del D.lgs. 165/2001 e successive modifiche (si vedano, in particolare, gli articoli 21 e 55), oltre che, in linea generale, dal punto di vista civile, penale e amministrativo-contabile.

Un ulteriore contesto da valutare con riferimento alla resilienza organizzativa esula dalle attività istituzionali e riguarda, invece, un bacino molto più ampio di organizzazioni: ci si riferisce, in particolare, agli obblighi che l’art. 32 GDPR pone in capo al titolare e al responsabile del trattamento circa la predisposizione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Tra queste, infatti, la norma individua la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

La circostanza, dunque, che tali necessarie tutele esulino dalla protezione del business vero e proprio non rende la continuità operativa meno importante, anzi: si pensi non solo alle possibili conseguenze giuridiche, reputazionali ed economiche sull’organizzazione, ma anche e soprattutto ai possibili rischi per i diritti e le libertà delle persone.

Dalla Business Continuity Strategy ai Business Continuity Plans: gli scenari di crisi

Il piano di continuità operativa ha lo scopo di definire la struttura di risposta alle emergenze, i metodi di allerta e il piano della comunicazione nei confronti delle parti interessate, nonché tutte le procedure atte a rispondere all’incidente; la finalità è evidentemente quella di mitigarne gli impatti ed assicurare che i tempi di ripristino rispettino i valori di RTO (Recovery Time Objective, ossia il periodo di tempo entro cui effettuare il ripristino), RPO (Recovery Point Objective, ossia il punto di ripristino e la massima perdita accettabile di dati) e che siano inferiori al MAO (Maximum Acceptable Outage, ossia il tempo massimo di interruzione tollerabile), nonché coerenti con il livello minimo di performance stabilito dal parametro di MBCO (Minimum Business Continuity Objective).

I valori sopra riportati dovranno risultare dalla BIA (Business Impact Analysis), che rappresenta il metodo privilegiato impiegato durante la fase di risk assessment per valutare gli impatti derivanti dall’interruzione.

Poiché le ipotesi di eventi disastrosi sono diverse, l’organizzazione non potrà esimersi dal redigere tanti piani quanti possano essere gli scenari di crisi contemplabili.

Non esiste un numero massimo di piani, poiché esso viene desunto dal Risk Assessment e dalla Business Continuity Strategy, la quale dovrà essere coerente con gli scopi di business e di servizio dell’ente. Esiste invece un numero minimo di piani di cui tenere in considerazione e che possiamo definire trasversali a tutte le organizzazioni, a prescindere dalla loro natura, complessità e capacità economico-finanziarie. Tali scenari sono:

  • scenario di indisponibilità dei sistemi informativi: contempla un evento che ha causato un’interruzione nelle componenti applicative o infrastrutturali di un sistema informativo. Gli impatti possono variare dall’indisponibilità dei servizi erogati dal sistema informativo stesso, ai dati (anche personali o particolari) in esso contenuti. Si rende pertanto necessario provvedere al ripristino dei servizi o sul sito primario o avvalendosi di un sito secondario (disaster recovery plan);
  • scenario di indisponibilità dei locali: contempla un evento che ha causato un’interruzione nella disponibilità dei locali, con conseguente impatto sull’operatività delle persone dovuti all’inaccessibilità totale o parziale degli ambienti di lavoro. In tale scenario potrebbe altresì essere contemplata la distruzione o l’indisponibilità di accesso ai dati (anche personali o particolari) contenuti nel locale stesso. Si rende pertanto necessario provvedere all’impiego di locali alternativi (contingency room) in attesa del rientro alla normalità operativa;
  • scenario di indisponibilità delle persone: contempla un evento che ha causato un’indisponibilità delle persone necessarie a garantire l’esecuzione di attività, l’erogazione di servizi o la produzione. Si rende pertanto necessario provvedere all’impiego di risorse alternative interne o esterne all’organizzazione, in attesa del rientro alla normalità operativa;
  • scenario di indisponibilità delle utilities: contempla un evento che ha causato un’indisponibilità delle utilities necessarie al regolare svolgimento del business. Si rende necessario prevedere la diversificazione delle fonti di approvvigionamento e l’adozione di misure atte a mitigare gli impatti che l’interruzione delle utilities, quale ad esempio il servizio di energia elettrica, potrebbero causare;
  • indisponibilità dei fornitori essenziali: contempla un evento che ha causato l’indisponibilità di un fornitore critico, la cui assenza ha la potenzialità di determinare l’interruzione delle attività, dei servizi erogati o la produzione. È il caso di un manutentore che risulta essere impossibilitato ad eseguire una manutenzione straordinaria su un sistema informativo, tale da impedirne il regolare funzionamento;
  • indisponibilità della documentazione operativa essenziale: contempla la perdita e/o l’indisponibilità della documentazione operativa essenziale, la cui assenza determina l’impossibilità di erogare i servizi, le attività o di proseguire la produzione. Tale scenario assume rilievo anche con riferimento ai dati personali, laddove la documentazione operativa dovesse contenerli.

Conclusioni

I sei scenari di crisi sopra menzionati dovrebbero rappresentare, come già detto, la risposta minima alle strategie di business continuity adottate dall’organizzazione: non è, infatti, da escludersi (al contrario, è assai plausibile) che un disruption event possa generare più scenari di crisi, obbligando l’Incident Response Structure (l’organo di governo della crisi) a muoversi su più strategie di intervento contemporaneamente.

Si pensi, ad esempio, ad un evento che generi l’interruzione delle utilities e, in conseguenza di questo, un’indisponibilità dei locali e dei sistemi informativi, circostanza effettivamente verificatasi nel 2011 a danno di un noto provider italiano: un principio di incendio aveva, in quel caso, reso indisponibili centinaia di migliaia di siti web su tutto il territorio nazionale ed interrotto il servizio di posta elettronica certificata.

Diventa, pertanto, sempre più importante adottare misure preventive volte a ridurre la probabilità di accadimento degli eventi, affiancate a piani di continuità operativa accurati, anche considerando i danni che potrebbero gravare sull’organizzazione quali, ad esempio, quelli reputazionali, economico-finanziari o derivanti dalla violazione di norme e obblighi di legge.

I-trend-della-Business-Continuity-nel-2019

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr