Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROCCIO CORRETTO

Gestione della business continuity: migliorare la resilienza organizzativa per affrontare gli scenari di crisi

Una corretta gestione della business continuity consente ad un’organizzazione di continuare ad erogare i propri prodotti e servizi anche a seguito di un evento critico. Ecco le soluzioni per realizzare un piano di continuità operativa utile a definire la struttura di risposta alle emergenze e i metodi di allerta

25 Lug 2019
I

Maria Elena Iafolla

Avvocato esperto in diritto dell’informatica e nuove tecnologie e Data Protection Officer

L

Federico Lucia

Giurista-informatico e Lead Auditor specializzato in security e business continuity management (CSI Piemonte)


La gestione della business continuity è attività complessa, che richiede uno sforzo previsionale dei possibili rischi di natura disastrosa e l’identificazione degli scenari minimi da contemplare per migliorare la resilienza di un’organizzazione.

La continuità operativa di un’organizzazione è, tuttavia, concetto più ampio e trova riscontro in contesti differenti, quali la tutela dei servizi erogati dalla Pubblica Amministrazione o il rispetto degli obblighi dettati dall’art. 32 GDPR in materia di sicurezza del trattamento.

La business continuity: definizione e campo di applicazione

La business continuity (o continuità operativa) rappresenta la capacità di una organizzazione, a seguito del verificarsi di un evento critico e potenzialmente causa di interruzioni, di continuare ad erogare prodotti e servizi ad un livello preventivamente valutato come accettabile.

Da questa definizione, indicata nella principale norma di riferimento del settore, ossia la ISO 22301 (Societal Security – business continuity management systems), si evince chiaramente lo scopo fondante la gestione della business continuity.

Si tratta, infatti, di un processo olistico che mette in atto procedure di:

  • identificazione del campo di applicazione, dei requisiti delle parti interessate e degli asset aziendali;
  • identificazione delle potenziali minacce;
  • valutazione degli impatti al business dell’organizzazione qualora le stesse dovessero concretizzarsi;
  • definizione di una strategia di risposta alla crisi al fine di costruire una resilienza organizzativa.

Gestione della business continuity: non solo tutela del business

La continuità operativa come sopra definita, nella sua particolare accezione di “resilienza organizzativa”, assume rilievo anche in contesti non propriamente – o non esclusivamente – di business laddove, al verificarsi di un’interruzione, l’interesse primario da tutelare sia diverso o ulteriore rispetto all’erogazione di prodotti e servizi e dunque rispetto al mero business.

Si pensi, ad esempio, alle pubbliche amministrazioni, cui la continuità operativa permette di assicurare l’erogazione dei servizi essenziali a cittadini e imprese e, dunque, il corretto svolgimento della vita nel Paese.

Essa era prevista, in particolare, nel Codice dell’Amministrazione Digitale che all’art. 50 bis (rubricato, appunto, “Continuità operativa”) stabiliva un obbligo di predisporre piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il ritorno alla normale operatività.

Abrogato l’art. 50 bis C.A.D. ad opera della cosiddetta riforma Madia (D.lgs. n. 179/2016, art. 64, comma 1, lett. h), permangono tuttavia gli obblighi dettati dal successivo art. 51 C.A.D., “Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni.

Secondo detta norma, i documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.

L’articolo rimanda, altresì, ad apposite Linee guida per l’individuazione di più specifiche soluzioni tecniche, «idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture».

La necessità di protezione dei documenti informatici (e non) delle pubbliche amministrazioni assume evidente rilevanza in ambito pubblicistico, poiché la garanzia di continuità dei servizi e delle funzioni delle pubbliche amministrazioni costituisce un imprescindibile impegno istituzionale.

Per tali ragioni, la business continuity in questo ambito mostra una stretta correlazione con il principio di buon andamento della pubblica amministrazione di cui all’art. 97 della Costituzione, oltre che con le responsabilità che ne sono corollario: l’assenza di uno specifico piano per la continuità operativa ed il disaster recovery potrebbe avere conseguenze ai sensi del D.lgs. 165/2001 e successive modifiche (si vedano, in particolare, gli articoli 21 e 55), oltre che, in linea generale, dal punto di vista civile, penale e amministrativo-contabile.

Un ulteriore contesto da valutare con riferimento alla resilienza organizzativa esula dalle attività istituzionali e riguarda, invece, un bacino molto più ampio di organizzazioni: ci si riferisce, in particolare, agli obblighi che l’art. 32 GDPR pone in capo al titolare e al responsabile del trattamento circa la predisposizione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Tra queste, infatti, la norma individua la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

La circostanza, dunque, che tali necessarie tutele esulino dalla protezione del business vero e proprio non rende la continuità operativa meno importante, anzi: si pensi non solo alle possibili conseguenze giuridiche, reputazionali ed economiche sull’organizzazione, ma anche e soprattutto ai possibili rischi per i diritti e le libertà delle persone.

Dalla Business Continuity Strategy ai Business Continuity Plans: gli scenari di crisi

Il piano di continuità operativa ha lo scopo di definire la struttura di risposta alle emergenze, i metodi di allerta e il piano della comunicazione nei confronti delle parti interessate, nonché tutte le procedure atte a rispondere all’incidente; la finalità è evidentemente quella di mitigarne gli impatti ed assicurare che i tempi di ripristino rispettino i valori di RTO (Recovery Time Objective, ossia il periodo di tempo entro cui effettuare il ripristino), RPO (Recovery Point Objective, ossia il punto di ripristino e la massima perdita accettabile di dati) e che siano inferiori al MAO (Maximum Acceptable Outage, ossia il tempo massimo di interruzione tollerabile), nonché coerenti con il livello minimo di performance stabilito dal parametro di MBCO (Minimum Business Continuity Objective).

I valori sopra riportati dovranno risultare dalla BIA (Business Impact Analysis), che rappresenta il metodo privilegiato impiegato durante la fase di risk assessment per valutare gli impatti derivanti dall’interruzione.

Poiché le ipotesi di eventi disastrosi sono diverse, l’organizzazione non potrà esimersi dal redigere tanti piani quanti possano essere gli scenari di crisi contemplabili.

Non esiste un numero massimo di piani, poiché esso viene desunto dal Risk Assessment e dalla Business Continuity Strategy, la quale dovrà essere coerente con gli scopi di business e di servizio dell’ente. Esiste invece un numero minimo di piani di cui tenere in considerazione e che possiamo definire trasversali a tutte le organizzazioni, a prescindere dalla loro natura, complessità e capacità economico-finanziarie. Tali scenari sono:

  • scenario di indisponibilità dei sistemi informativi: contempla un evento che ha causato un’interruzione nelle componenti applicative o infrastrutturali di un sistema informativo. Gli impatti possono variare dall’indisponibilità dei servizi erogati dal sistema informativo stesso, ai dati (anche personali o particolari) in esso contenuti. Si rende pertanto necessario provvedere al ripristino dei servizi o sul sito primario o avvalendosi di un sito secondario (disaster recovery plan);
  • scenario di indisponibilità dei locali: contempla un evento che ha causato un’interruzione nella disponibilità dei locali, con conseguente impatto sull’operatività delle persone dovuti all’inaccessibilità totale o parziale degli ambienti di lavoro. In tale scenario potrebbe altresì essere contemplata la distruzione o l’indisponibilità di accesso ai dati (anche personali o particolari) contenuti nel locale stesso. Si rende pertanto necessario provvedere all’impiego di locali alternativi (contingency room) in attesa del rientro alla normalità operativa;
  • scenario di indisponibilità delle persone: contempla un evento che ha causato un’indisponibilità delle persone necessarie a garantire l’esecuzione di attività, l’erogazione di servizi o la produzione. Si rende pertanto necessario provvedere all’impiego di risorse alternative interne o esterne all’organizzazione, in attesa del rientro alla normalità operativa;
  • scenario di indisponibilità delle utilities: contempla un evento che ha causato un’indisponibilità delle utilities necessarie al regolare svolgimento del business. Si rende necessario prevedere la diversificazione delle fonti di approvvigionamento e l’adozione di misure atte a mitigare gli impatti che l’interruzione delle utilities, quale ad esempio il servizio di energia elettrica, potrebbero causare;
  • indisponibilità dei fornitori essenziali: contempla un evento che ha causato l’indisponibilità di un fornitore critico, la cui assenza ha la potenzialità di determinare l’interruzione delle attività, dei servizi erogati o la produzione. È il caso di un manutentore che risulta essere impossibilitato ad eseguire una manutenzione straordinaria su un sistema informativo, tale da impedirne il regolare funzionamento;
  • indisponibilità della documentazione operativa essenziale: contempla la perdita e/o l’indisponibilità della documentazione operativa essenziale, la cui assenza determina l’impossibilità di erogare i servizi, le attività o di proseguire la produzione. Tale scenario assume rilievo anche con riferimento ai dati personali, laddove la documentazione operativa dovesse contenerli.

Conclusioni

I sei scenari di crisi sopra menzionati dovrebbero rappresentare, come già detto, la risposta minima alle strategie di business continuity adottate dall’organizzazione: non è, infatti, da escludersi (al contrario, è assai plausibile) che un disruption event possa generare più scenari di crisi, obbligando l’Incident Response Structure (l’organo di governo della crisi) a muoversi su più strategie di intervento contemporaneamente.

Si pensi, ad esempio, ad un evento che generi l’interruzione delle utilities e, in conseguenza di questo, un’indisponibilità dei locali e dei sistemi informativi, circostanza effettivamente verificatasi nel 2011 a danno di un noto provider italiano: un principio di incendio aveva, in quel caso, reso indisponibili centinaia di migliaia di siti web su tutto il territorio nazionale ed interrotto il servizio di posta elettronica certificata.

Diventa, pertanto, sempre più importante adottare misure preventive volte a ridurre la probabilità di accadimento degli eventi, affiancate a piani di continuità operativa accurati, anche considerando i danni che potrebbero gravare sull’organizzazione quali, ad esempio, quelli reputazionali, economico-finanziari o derivanti dalla violazione di norme e obblighi di legge.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5