Business Continuity ISO 22301: implementazione pratica
Questo articolo fa parte di una serie di approfondimenti dedicati alla Business Continuity e all’implementazione pratica della norma ISO 22301. Attraverso un caso studio applicabile a ogni tipo di organizzazione, esploriamo le modalità concrete per sviluppare un programma di continuità operativa efficace, con particolare focus su istituti finanziari e assicurativi. L’analisi si concentra sui primi step fondamentali: contesto organizzativo e leadership aziendale.
Business Continuity ISO 22301: implementazione pratica e case study
Il seguente documento mira a fornire un esempio pratico di implementazione della norma ISO 22301 tramite le linee guida esaminate nella Parte I del White Paper.
L’adozione di un programma di Business Continuity efficace può apportare svariati benefici, non solo in caso di incidenti dagli impatti e magnitudo considerevoli ma anche da un punto di vista strategico ed organizzativo, in quanto consente di avere un quadro ben definito di tutto ciò che compone e supporta l’organizzazione.
In questa seconda parte ci addentreremo dunque nelle modalità pratiche di implementazione di un programma di Business Continuity, tramite lo studio di un case history adattabile ad ogni tipo di organizzazione.
Per una maggiore comprensione del testo e della struttura della norma dal punto di vista pratico, i titoli scelti avranno come riferimento quelli della ISO 22301.
Analisi del contesto organizzativo per la Business Continuity
Ipotizzando di voler implementare un programma di Business Continuity in un istituto finanziario e/o assicurativo, dovremo iniziare con un’accurata analisi del contesto organizzativo interno ed esterno.
Nell’analisi del contesto interno è indispensabile identificare il core business dell’entità (che potrebbe essere, tra le tante, l’erogazione di finanziamenti o l’emissione di polizze vita caso morte), cioè quel servizio / processo i cui profitti hanno un rilievo determinante nel bilancio annuale.
Tale identificazione non viene effettuata dalle singole risorse impegnate nell’implementare un programma di Business Continuity, bensì dal Top Management, supportato da altre funzioni, tra cui anche quella della BC.
Oltre all’analisi del contesto interno, è indispensabile analizzare il contesto esterno al fine di comprendere la posizione dell’istituto stesso nel mercato e la posizione di eventuali competitor, nonché le principali ed emergenti tendenze del mercato.
Ad esempio, se emerge che la domanda dei clienti si sposta sempre più verso l’acquisto di fondi/titoli di investimento, rispetto ad altri servizi, l’istituto dovrà considerare la possibilità di adattare il proprio business sulla base di questo trend in crescita.
Identificare i nuovi trend consente di prepararsi con anticipo e in maniera strutturata, garantendo inoltre l’opportunità di identificare e gestire tempestivamente i principali rischi che possono derivarne.
In ottica di contesto dell’organizzazione, è indispensabile tenere conto anche del contesto geopolitico.
Gli Stati e le città in cui opera l’istituto possono essere fonti di rischi e criticità differenti. Si pensi alle prescrizioni del GDPR, a cui devono adempiere le entità operanti nel territorio europeo; o ai rischi geografici legati a un istituto finanziario operante a Venezia (per esempio) rispetto a realtà che si trovano in zone più esposte ad attacchi terroristici, come Roma.
Tutta questa serie di informazioni ci permette di avere un primo quadro generale dei rischi a cui un’entità è esposta. Tali rischi –- a differenza di quelli interni all’organizzazione – non possono essere controllati: è soltanto possibile limitare i relativi impatti e, ove fattibile, prevenirli.
Leadership
Come già riportato nel presente white paper (al punto 5.0 della Parte I), il Top Management di un’organizzazione riveste un ruolo cruciale nella realizzazione e nell’implementazione di un programma di Business Continuity, in quanto è la funzione che approva il programma di BC e la sua revisione annuale, accertandosi che sia in linea con la strategia aziendale.
Si pensi ad esempio ad un fornitore a supporto di un processo critico che non fornisce garanzie di continuità operativa, non riesce a rispettare gli RTO e RPO dell’entità stessa o non ha predisposto sufficienti soluzioni di Business Continuity da attivare al fine di ripartire a seguito di potenziali interruzioni.
Sarà il Top Management a decidere se accollarsi il rischio e mantenere il fornitore o se sostituirlo con uno differente, in grado di fornire maggiori garanzie in termini di continuità operativa e/o Disaster Recovery (l’attuale normativa europea, in particolare il Regolamento DORA e la Direttiva NIS2, si focalizza proprio su tali aspetti).
Prima dell’avvio e della messa a terra del programma di Business Continuity, le funzioni incaricate della gestione del programma stesso, con il supporto del Top Management, definiscono la policy di Business Continuity.
La policy è un documento in cui sono contenute le informazioni circa l’obiettivo del programma di continuità operativa, la normativa di riferimento, le funzioni incaricate della gestione del documento, la documentazione di riferimento, lo scopo del programma, lo scopo e le modalità delle verifiche e le modalità di escalation degli incidenti ad alto livello.
Un esempio di indice di policy di Business Continuity può essere:
- data di redazione e approvazione del documento;
- introduzione e obiettivi del documento;
- perimetro di applicazione del documento (se capogruppo e legal entities o solo parte di questi);
- definizioni e normativa di riferimento;
- documentazione interna di riferimento;
- destinatari del documento:
- ruoli e responsabilità della realizzazione, gestione, divulgazione e approvazione del documento;
- scenari compresi e coperti dalla policy e programma di continuità operativa:
- scenari emergenziali;
- scenari di crisi;
- scenari non coperti dal piano;
- perimetro dei processi oggetto di analisi:
- modalità di conduzione delle Business Impact Analysis;
- metriche per la conduzione delle Business Impact Analysis;
- ruoli e responsabilità per la gestione delle emergenze;
- ruoli e responsabilità per la gestione delle crisi;
- ricorso a soggetti esterni per la prestazione dei servizi ICT, fornitori, esternalizzazioni FEI e non, i.e.:
- modello di gestione del programma di Business Continuity per il rischio specifico e i modelli di controllo adottati.
Questa guida ha illustrato i primi step fondamentali per l’implementazione della norma ISO 22301, dall’analisi del contesto organizzativo alla definizione delle policy aziendali. Per approfondire ulteriormente questi concetti e scoprire metodologie avanzate, ti invitiamo a consultare il white paper completo elaborato da Chiara Cavicchioli e Federica Maria Rita Livelli dal titolo “Business Continuity: mito o realtà? La continuità nella discontinuità”.
Nel prossimo approfondimento della serie scopriremo come una volta identificato il contesto organizzativo e ottenuto il supporto del Top Management, è possibile avviare il processo di realizzazione e implementazione pratica di un programma di Business Continuity.
Digital and Operational Resilience and Crisis Management Specialist. Certificata FERMA Rimap & AMBCI.
Ha maturato esperienza nell'ambito della Continuità Operativa, Crisis Management e Resilienza Digitale in ambito finanziario, anche grazie alle esperienze lavorative svolte presso primari istituti bancari.
Autrice di alcuni articoli pubblicati dal Business Continuity Institute (BCI).
