La Gestione della Continuità Operativa – la norma ISO 22301:2019

Continuità Operativa: quale lezione ci lascerà il Covid-19 ?

L’emergenza mondiale determinata dalla pandemia da Coronavirus, che ha caratterizzato l’anno 2020 e che stiamo ancora vivendo, ha posto le aziende di fronte al tema di come continuare a operare in una situazione emergenziale non prevista.

Per molte aziende l’emergenza coronavirus ha infatti rappresentato un importante test del sistema di Continuità Operativa.

La Continuità operativa è la capacità di un’organizzazione di continuare, in situazioni di emergenza, a fornire prodotti o servizi a livelli accettabili predefiniti. Corrisponde quindi ad un “sistema gestionale” che prevede:

  • la valutazione del rischio di accadimento degli incidenti che possono determinare le interruzioni “produttive”
  • la definizione delle strategie di contenimento e contrasto delle minacce, con la preparazione di risorse (umane e materiali), informazioni e procedure.

Con la pandemia da Coronavirus, le aziende hanno sperimentato quanto sia importante, per poter continuare ad operare, avere un’organizzazione pronta a gestire gli eventi emergenziali. Spesso la continuità operativa è stata associata al solo ripristino dei sistemi informatici; ma cosa si poteva fare nel 2020 con la sola struttura di backup e di ripristino dei sistemi se non si disponeva ad esempio di adeguate scorte di mascherine ed igienizzanti o di sistemi di accesso alternativo alle infrastrutture aziendali?

La Continuità operativa e la norma ISO 22301:2019

La norma internazionale ISO 22301 “Security and resilience — Business continuity management systems — Requirements” specifica i requisiti per pianificare, implementare, monitorare, rivedere e migliorare il Sistema di Gestione per la continuità operativa, così da ridurre l’impatto di eventuali interruzioni.

Requisito importante richiesto dalla norma è la definizione di processi sistematici di valutazione dei rischi di una interruzione e di analisi dell’impatto operativo.

L’Organizzazione deve quindi esaminare le conseguenze, nel tempo, di una interruzione con l’analisi di:

      • attività aziendali che sostengono l’erogazione di prodotti e servizi;
      • impatti della mancata ripresa delle attività e risorse da cui dipendono;
      • possibili eventi di rischio di interruzione;
      • necessità, tempi, capacità e strategie per riprendere l’attività operativa minimale per la sopravvivenza;
      • soluzioni per garantire l’efficacia degli interventi in tutte le circostanze emergenziali.

L’analisi di impatto operativo consente quindi di definire, in base all’importanza, le priorità per il ripristino delle attività interrotte.

A seguito della valutazione di impatto operativo, l’organizzazione deve quindi definire il Business Continuity Plan, come insieme delle informazioni documentate che guidano la risposta all’incidente, definendo, per ogni tipologia di emergenza che può determinare l’interruzione, le azioni necessarie per recuperare e ripristinare l’erogazione di prodotti e servizi, considerando le necessità aziendali per la continuità dal punto di vista commerciale, finanziario, produttivo ed amministrativo.

Nella definizione del Business Continuity Plan occorre quindi definire le modalità di gestione dei seguenti elementi necessari per la continuità: i) persone; ii) informazioni e dati; iii) infrastrutture fisiche; iv) attrezzature; v) tecnologie ICT; vi) mezzi di trasporto e logistica; vii) risorse finanziarie; viii) fornitori e partner.

Per la risposta efficace alle emergenze, la norma richiede che siano inoltre identificati i team di soggetti, con ruoli e responsabilità ben definiti, che si devono attivare per la risposta appropriata.

L’organizzazione deve anche mantenere una struttura di risposta alle emergenze che permetta l’allerta e la comunicazione tempestiva alle parti interessate rilevanti. Occorre quindi definire le procedure che: 1) disciplinano come attivare i sistemi di allerta delle parti interessate potenzialmente danneggiate; 2) definiscono i flussi comunicativi per il coordinamento dei diversi soggetti coinvolti nella risposta.

L’importanza dei Sistemi Gestione per la continuità operativa

Istituire un sistema di gestione per la continuità operativa conforme alla norma ISO 22301 consente di:

      • Migliorare proattivamente la capacità di resistere ad incidenti (resilienza) che possono determinare interruzioni di attività critiche da cui dipende il raggiungimento di obiettivi chiave
      • Ridurre i costi degli incidenti
      • Facilitare il rispetto dei requisiti contrattuali e legislativi
      • Consentire una chiara comprensione di come funziona l’intera organizzazione e permettere di identificare le opportunità di miglioramento.
      • Rafforzare la credibilità e la visibilità dell’azienda salvaguardandone l’immagine ed il patrimonio
      • Assicurare gli “stakeholders” sull’attuazione di soluzioni tecniche e organizzative necessari per garantire l’erogazione di prodotti e servizi anche in situazioni di emergenza.

Nei prossimi anni, anche grazie all’accelerazione determinata dall’emergenza Coronavirus, si diffonderanno sempre più i sistemi industriali per la gestione ed il controllo della produzione governabili da remoto. Il tema della cyber security diventerà quindi sempre più rilevante. Aumenteranno infatti le possibilità di attacco agli “organi vitali” aziendali, minacciando la continuità operativa. Le complessità aumenteranno e sarà sempre più opportuno prepararsi con adeguati Business Continuity Plan.

Categorie

Get Free Consultations

SPECIAL ADVISORS
Quis autem vel eum iure repreh ende