Business Continuity: mito o realtà? La continuità nella discontinuità
Questo è il primo di una serie di contenuti dedicati alla Business Continuity e ai sistemi di gestione della continuità operativa. L’articolo esplora l’evoluzione storica della disciplina, dalle prime soluzioni di Disaster Recovery degli anni ’70 fino all’attuale standard ISO 22301, fornendo una panoramica completa su come le organizzazioni possano implementare un efficace Business Continuity Management System (BCMS) per garantire la resilienza aziendale in un contesto di crescente incertezza e digitalizzazione.
Business Continuity Management System: mito o realtà nella continuità operativa
Lo scopo di questo White Paper è fornire degli spunti pratici su come iniziare a incorporare i principi della Business Continuity, oltre a fornire un ordine progressivo dei vari step di implementazione, seguendo quanto indicato dalla ISO 22301.
È doveroso ricordare che non esiste un unico modo per implementare la Business Continuity, soprattutto considerando il contingente scenario caratterizzato da policrisi e permacrisi, oltre che da un processo accelerato di digitalizzazione e innovazione che implica organizzazioni particolarmente resilienti, agili e flessibili.
Il White Paper consta di due parti e, precisamente:
- Parte I – Focus sulla ISO 22301 e sulle varie fasi di implementazione;
- Parte II – Guida teorica e pratica di un Sistema di Gestione di Business Continuity in ambito finanziario.
Business Continuity – le origini
Si iniziò a parlare di Business Continuity negli USA, a partire dalla seconda metà degli anni ’70 del secolo scorso, a fronte del diffondersi dell’Information Technology nelle varie organizzazioni, quando apparve evidente come, dinnanzi al malfunzionamento di un sistema IT, fosse impossibile tornare a processi manuali. Si cominciò, quindi, a riflettere su come fosse necessario garantire la continuità dei processi IT: furono allora concepite le prime soluzioni di Disaster Recovery, per preparare le organizzazioni a reagire prontamente agli eventi distruttivi.
In particolare, la metodologia dell’Analisi d’Impatto Operativo (Business Impact Analysis) si sviluppò nei primi anni ’80 per il settore IT. La disciplina della Business Continuity si è poi evoluta nei Paesi anglosassoni – come UK e Australia – e dagli anni ’90 è stata applicata anche ad altri ambiti, come risorse umane, asset strategici e processi aziendali.
In questo periodo il British Standards Institution (BSI) pubblicò il primo standard per la Sicurezza Informatica, che si è evoluto nell’attuale norma ISO/IEC 27001, sottolineando la necessità di garantire la continuità in termini di disponibilità dei dati. Diverse associazioni professionali emersero, promuovendo un approccio olistico, cioè la protezione di tutte le attività di un’organizzazione, non solo quelle IT.
Dopo gli eventi dell’11 settembre 2001, l’attenzione si è estesa anche alla Gestione della Crisi (Crisis Management), portando la Business Continuity a diventare parte della famiglia degli standard dei sistemi di gestione, culminando nella norma ISO 22301 nel 2012.
La ISO 22301, pubblicata in Italia nel dicembre 2019 come UNI EN ISO 22301, è considerata il primo standard internazionale per la Business Continuity.
Definizione della Business Continuity
La Business Continuity è una disciplina fondata sul buon senso, risultante da un’attenta integrazione di sviluppi razionali, e si riferisce alla norma ISO 22301 – “Societal Security – Business Continuity Management Systems – Requirements” – che stabilisce i requisiti per un efficiente Business Continuity Management System (BCMS), applicabile a qualsiasi tipologia di organizzazione, a qualsiasi latitudine e di qualsiasi dimensione.
La Business Continuity è la capacità di un’azienda di mantenere l’erogazione di prodotti e servizi a un livello accettabile nonostante eventi avversi che potrebbero causare interruzioni, anche brevi, con conseguenti costi diretti e indiretti significativi, quali perdite di fatturato, quote di mercato, sanzioni e danni reputazionali.
La norma ISO 22301 si focalizza sullo sviluppo e il miglioramento continuo della resilienza aziendale, tenendo conto che le interruzioni possono essere causate da eventi catastrofici naturali, pandemie, sabotaggi, attacchi terroristici, turbolenze di mercato, crisi economiche e geopolitiche, guasti tecnici, attacchi informatici, interruzioni di corrente, incendi e problemi nella supply chain.
Tali eventi possono provocare fermi operativi o addirittura portare alla chiusura definitiva di un’organizzazione. Di conseguenza, le aziende devono proteggersi contro tali minacce in un contesto sempre più incerto, complesso, globalizzato e digitalizzato.
Attraverso l’implementazione dei principi di Business Continuity, un’organizzazione diventa consapevole delle potenziali situazioni avverse e si prepara a gestirle, assicurando la continuità dei processi e delle attività essenziali per fornire prodotti e servizi critici, nonché ripristinandoli dopo eventuali interruzioni.
La norma ISO 22316 – “Security and Resilience” – definisce la Resilienza Organizzativa come la capacità di un’organizzazione di assorbire gli shock e adattarsi a un contesto in continuo cambiamento.
Questo contenuto inaugura la serie dedicata alla Business Continuity, una disciplina sempre più cruciale per assicurare la resilienza e la continuità operativa delle organizzazioni in un contesto globale incerto e complesso. Nel prossimo articolo, approfondiremo l’implementazione concreta della norma ISO 22301, punto di riferimento internazionale per lo sviluppo di un Business Continuity Management System (BCMS).
Per approfondire ulteriormente questi temi e scoprire le metodologie pratiche di implementazione, vi invitiamo a consultare il white paper completo elaborato da Federica Maria Rita Livelli e Chiara Cavicchioli dal titolo “Business Continuity: mito o realtà? La continuità nella discontinuità – Guida teorica e pratica”, che offre una panoramica dettagliata su tutte le fasi di sviluppo di un sistema di gestione della continuità operativa conforme agli standard internazionali.
Consulente in Risk Management & Business Continuity, svolge un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere.
Membro de: BCI - Cyber Resilience Group, CLUSIT – Direttivo & Comitato Scientifico, ENIA - Comitato Scientifico, FERMA – Digital Committee, UNI - Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279).
Relatrice e moderatrice in diversi seminari, conferenze nazionali ed internazionali, è anche autrice di numerosi articoli su diverse riviste online italiane e straniere.
Ha partecipato, in qualità di co-autrice, a: Edizioni 2020, 2021, 2022 ,2023 e 2024 del Rapporto Clusit - Cyber Security; Libri tematici CLUSIT rif. Intelligenza Artificiale (2020) e Rischio Cyber (2021), Supply Chain Risk (2023); Libro “Lo Stato in Crisi” ed. Angeli (2022).
