L'APPROFONDIMENTO

ISO 22301: ecco l’iter di certificazione e come costruire un Business Continuity Management System

La Business Continuity fa riferimento alla ISO 22301 che stabilisce i requisiti per un efficiente Business Continuity Management System (BCMS) applicabile a tutte le organizzazioni. Ecco come implementare un sistema di gestione per la continuità operativa aziendale

19 Dic 2019
L
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant


La Business Continuity è una disciplina che ti coinvolge, si basa sul buon senso ed è definita come la capacità di un’azienda di continuare ad erogare prodotti e servizi ad un livello accettabile, a fronte di eventi avversi che potrebbero verificarsi: essa fa riferimento alla norma ISO 22301 che stabilisce i requisiti per un efficiente Business Continuity Management System (BCMS).

Ecco quindi che la Business Continuity riguarda la costruzione ed il continuo miglioramento del livello di resilienza del business.

Ad inizio di novembre di quest’anno è stata pubblicata la nuova ISO 22301:2019, che è stata aggiornata e migliorata, risultando più fluida, più pratica e meno “pesante” alla lettura rispetto alla versione del 2012.

Le linee guida della nuova ISO 22301:2019 non si discostano molto da quelle della precedente versione: sono state migliorate alcune definizioni e tolte altre – che di fatto si trovano nelle altre ISO della famiglia 22300 – e sono stati resi maggiormente chiari alcuni requisiti.

ISO 22301: lo scenario applicativo

Eventi catastrofici naturali, atti di sabotaggio, atti terroristici, turbolenze dei mercati, crisi economiche e geopolitiche, blocco dei sistemi informatici dovuto a malfunzionamenti tecnici o a cyber attack, interruzione dell’alimentazione elettrica, incendi, guerre dei dazi, interruzione della supply chain per fornitori critici ecc., possono interrompere la normale erogazione di prodotti e servizi comportando un fermo operativo, se non addirittura, la chiusura definitiva.

Le organizzazioni, oggi più che mai, si trovano ad operare in un contesto altamente articolato, globalizzato e digitalizzato e hanno la necessità di proteggersi dalle varie tipologie di eventi che potrebbero provocare un’interruzione delle attività per un certo lasso di tempo, anche breve, con costi diretti e indiretti importanti (i.e. perdite ingenti di fatturato, di quote di mercato, pagamento di sanzioni amministrative – locali o nazionali – o penali contrattuali, danni reputazionali ecc.).

Pertanto, ogni organizzazione deve dotarsi di strumenti di prevenzione e di risorse, che, oltre a garantire la resilienza organizzativa, dimostrino la capacità di affrontare e di assorbire qualsiasi imprevisto, continuando a conseguire gli obiettivi prefissati.

I dettagli della norma ISO 22301:2019

La norma ISO 22301:2019 fornisce i requisiti per un efficiente Business Continuity Management System (BCMS) e si applica a tutte le organizzazioni, siano esse piccole, medie, grandi, locali, nazionali o globali, pubbliche o private.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza

Oggigiorno clienti, soprattutto le grandi aziende e i gruppi internazionali parte di “catene” di fornitura, ma anche gli enti della pubblica amministrazione, richiedono – sempre più spesso – ai loro fornitori – di gestire la Business Continuity e dotarsi di un Business Continuity Plan (BCP) e di conseguire certificazioni/attestati che possano maggiormente tutelarli rispetto alla “resilienza” del fornitore, alla capacità di erogazione dei prodotti/servizi anche a fronte di incidenti, eventi catastrofici e altri fenomeni di pari perniciosità.

Vale la pena sottolineare che la certificazione internazionale del BCMS sta iniziando ad essere considerata non solo per migliorare la gestione delle interruzioni, delle crisi e degli incidenti, ma anche per ottenere un vantaggio competitivo.

Linee guida per l’implementazione del BCMS

Il BCMS contribuisce a comprendere le esigenze dell’organizzazione e, al contempo, a stabilire gli obiettivi in termini di Business Continuity; a implementare e rendere operativi i controlli e le misure per gestire la gestione delle interruzioni, crisi ed incidenti; a monitorare e a riesaminare le prestazioni e l’efficacia del BCMS in un’ottica di miglioramento continuo, basato su obiettivi misurabili.Secondo le “Good Practice Guidelines” (GPG) del Business Continuity Institute (BCI) – UK, il ciclo di vita del BCMS può suddividersi in 6 fasi che comprendono attività specifiche ai fini della preparazione alla Certificazione della ISO 22301:2019.

Ruota Ciclo Vita BCMS. Fonte: GPG -BCI, UK

Fase 1 – Gestione della Policy & Programma (Policy & Programme Management)

  • Policy di BC – Determinazione
  • Campo di Applicazione del BCP – Definizione
  • Governance – Determinazione
  • Ruoli e Responsabilità – Assegnazione
  • BCP – Determinazione

NOTA: Il Top Management deve fornire il proprio supporto e il sostegno per l’impostazione, l’elaborazione e la revisione della policy e del programma utilizzato per la sua implementazione.

Fase 2 – Incorporazione (Embedding)

  • Cultura Organizzativa – Comprensione e influenza
  • Competenze e skill – Definizione

NOTA: La cultura della BC deve essere comunicata ed implica il coinvolgimento delle parti interessate; è necessario garantire l’erogazione di formazione ed apprendimento adeguato.

Fase 3 – Analisi (Analysis)

  • Processi, Prodotti & Servizi ed Attività – Analisi d’Impatto Operativo (Business Impact Analysis – BIA)
  • Rischi e Minacce – Definizione e valutazione

NOTA: l’Analisi prende in esame l’organizzazione per individuarne gli obiettivi, le funzionalità e i vincoli dell’ambiente in cui opera. Vengono definiti i requisiti di BC in termini di tempo, i.e. il MTDP – Maximum Tolerable of Disruption Period (i.e. il tempo massimo tollerabile che può trascorrere a fronte degli impatti negativi conseguenti ad un incidente come risultato della mancata fornitura di un prodotto, erogazione di un servizio o svolgimento di un’attività operativa) e l’RTO – Return Time Objective (i.e. periodo di tempo entro il quale i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo l’incidente che ha generato la discontinuità), risorse e skills per continuare a fornire i prodotti, i servizi, i processi e le attività prioritarie a seguito di un’interruzione.

Fase 4 – Progettazione (Design)

  • Soluzioni di BC – Progettazione
  • Misure di Mitigazione e dei Rischi e delle Minacce – Progettazione

NOTA: Si determinano le soluzioni che devono essere implementate per continuare ad operare a seguito di un’interruzione, sulla base dei requisiti di Business Continuity individuati nella BIA e sulla base dei risultati della valutazione dei rischi e delle minacce.

Fase 5 – Implementazione (Implementation)

  • Struttura di Risposta – Definizione dei ruoli necessari, i poteri e le competenze richieste per gestire un incidente
  • Sviluppo e Gestione dei Piani – Realizzazione delle soluzioni concordate in Fase 3 e 4

NOTA: Molte interruzioni richiedono l’attivazione di diversi piani di riposta per poter gestire efficacemente lo stesso incidente. È pertanto necessario, in un’ottica di approccio olistico, che il BC Manager collabori con altri esperti, i.e. IT Manager, Security Manager, Facility Manager, HR Manager, Marketing Manager, Communication Manager e via dicendo.

Fase 6 – Convalida (Validation)

  • Sviluppo di un Piano di Esercitazioni
  • Sviluppo di un’Esercitazione
  • Mantenimento
  • Revisione

NOTA: Il BCP deve soddisfare gli obiettivi stabiliti nella policy e verificare l’efficacia dei piani e delle procedure in vigore, la loro accuratezza e completezza, in un’ottica di miglioramento continuo ed attraverso esercitazioni atte a formare, testare, valutare, praticare e migliorare le capacità di BC dell’organizzazione.I vantaggi dell’implementazione di un BCMS

La preparazione alla certificazione dell’ISO 22301:2019 consolida la resilienza dell’organizzazione e garantisce una maggiore efficienza dei tempi di ripristino, oltre a comportare ulteriori vantaggi, quali:

  • miglioramento delle performance, anche in caso di eventi o situazioni che limitano l’operatività;
  • riduzione dell’esposizione legale e finanziaria grazie ad un consolidato BCP;
  • maggior vantaggio competitivo;
  • maggiore garanzia di affidabilità e stabilità ai clienti, garantendo tempi e modi per le forniture nel caso di interruzioni nell’operatività;
  • maggiore capacità di protezione degli asset aziendali;
  • salvaguardia dell’immagine e della reputazione aziendale e degli interessi degli stakeholders;
  • riduzione di costi di accesso al credito;
  • riduzione dei premi assicurativi.

ISO 22301: il processo di certificazione

Il processo di certificazione mira a verificare l’adeguatezza del BCMS e viene rilasciata solo in caso di verifica positiva e prevede diversi passaggi, quali:

  1. Definizione del processo di certificazione
  2. Eventuale pre-audit che, attraverso una gap analysis iniziale, evidenzi eventuali scostamenti vs. standard
  3. Audit di certificazione che viene articolata in due parti, precisamente:
  • Verifica iniziale dell’organizzazione e dell’effettiva preparazione alla certificazione
  • Verifica dell’implementazione della struttura base del BCMS
  1. Emissione del conseguimento della Certificazione ISO 22301:2019 (validità 3 anni) a fronte di Audit positivo
  2. Audit di sorveglianza, per un monitoraggio continuo e segnalazione degli ambiti di miglioramento che l’organizzazione può perseguire negli anni successivi
  3. Rinnovo alla scadenza dopo aver passato Audit

ISO 22301: un approccio olistico

La BC implica un approccio olistico, trasversale a tutta l’organizzazione e, come tale, deve interagire con tutti gli altri attori organizzativi che contribuiscono alla resilienza organizzativa, i.e. il Disaster Recovery Manager, l’Emergency Manager, il Crisis Manager, il Risk Manager. Dobbiamo ricordarci di guardare le cose con gli occhi resilienti del “bambino”, che è in grado di vedere il positivo nelle difficoltà e prendersi cura di sé stesso così come fa il Business Continuity Manager che si occupa di garantire la sopravvivenza della società per cui lavora.

Dobbiamo vedere il positivo nelle difficoltà e nelle minacce, perché attraverso la consapevolezza saremo in grado di gestire al meglio i processi e le attività necessarie per erogare prodotti e servizi e ripristinarli dopo un’interruzione.

Chi è resiliente e vuole garantire la continuità operativa osserva, identifica i punti di cedimento e, così facendo, avanza per cercare l’uscita dal potenziale empasse/crisi/catastrofe.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Ovviamente, come per tutte le certificazioni, prima di intraprendere l’iter certificativo, l’organizzazione deve aver raggiunto un grado di “maturità” adeguata grazie al recepimento delle linee guida di riferimento dell’ISO, al fine di evitare che tale processo diventi un mero esercizio documentale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5