Un approccio olistico alla Cybersecurity nazionale
8 Ottobre 2019
Il prossimo 16 Ottobre appuntamento alla 20a edizione del Forum ICT Security
8 Ottobre 2019

Come cambia lo standard internazionale di business continuity (ISO 22301)

Si è creata una grande aspettativa intorno all’emissione dello standard internazionale ISO 22301, dedicato proprio al sistema di gestione della business continuity, o continuità operativa.

Fino a pochi giorni fa, l’ultima edizione della ISO 22301 era datata 2012. Da allora, il mondo in cui si muovono le organizzazioni è cambiato rapidamente. Era perciò tempo che anche lo standard internazionale di continuità operativa cambiasse a sua volta, assimilando tutte le nuove pratiche di maggior successo e introducendo importanti migliorie, frutto del lavoro di decine di grandi esperti internazionali.

PANTA RAY, grazie alla sua lunga esperienza nel settore della continuità e resilienza in Italia e all’estero, ha il privilegio di rappresentare UNI nella commissione ISO/TC 292/WG 2 “Continuity and organizational resilience”, ovvero il gruppo di lavoro che si è occupato di raccogliere i commenti, selezionare le modifiche e infine redigere la nuova ISO 22301:2019.

Negli ultimi due anni, la commissione si è riunita varie volte: a Londra nel novembre 2017, a Sydney in marzo 2018, a Stavanger (Norvegia) in ottobre 2018 e abbiamo celebrato ufficialmente il lancio del nuovo standard a Bangkok, la scorsa settimana (settembre 2019). Standard che sarà a breve disponibile nella sua forma completa tra le pubblicazioni dell’International Organization for Standardization (ISO).

Figura 1 Bangkok, settembre 2019. La Commissione ISO TC292 / WG 2 al completo, guidata da Saul Midler, festeggia la fine dei lavori sulla nuova ISO 22301:2019

È stato un viaggio straordinario per chi, come noi in PANTA RAY, è appassionato alla materia. Ci fa quindi piacere comunicare quanto sia stato fatto in questi anni.

Il focus di questo articolo è solo sulla ISO 22301, benché nel gruppo di lavoro abbiamo contribuito alla revisione e allo sviluppo di altre ISO della famiglia 223.

Non ci sono particolari stravolgimenti nella nuova versione e questa dovrebbe essere una buona notizia per le organizzazioni che si sono già certificate e che non avranno grosse difficoltà a implementare i relativi cambiamenti. Tuttavia, è migliorata molto e di seguito provo a indicare le differenze, a mio parere, più significative:

  • Nel capitolo 0 – Introduction è stato introdotto un punto per sottolineare tutti i benefici finanziari, commerciali, interni ed esterni nell’implementazione di questo sistema di gestione (0.2 Benefits of a Business Continuity Management System). Il grafico relativo al ciclo di Deming (plan, do, check, act) è stato eliminato, anche se il concetto rimane ampiamente descritto nei suoi componenti principali.
  • Nel glossario dei termini sono state eliminate definizioni comuni ad altri standard che si trovano nell’ISO 22300. I termini di riferimento comuni e allineati agli altri standard si trovano solo nella ISO 22300, così da rendere lo standard più snello. Inoltre, è stata allineata alla High Level Structure (HLS) per evitare contraddizioni o ripetizioni con gli altri sistemi di gestione. È stato eliminato il termine Business Continuity Management. Ogni capitolo della ISO fa riferimento invece al Business Continuity Management System.
  • Nel capitolo 4 – Context of the organizationè scomparso il termine ‘risk appetite’. In effetti, non abbiamo mai apprezzato la necessità di comprendere la propensione al rischio dell’organizzazione in merito al Sistema di gestione della continuità operativa.
  • Nel capitolo 6 – Planning è stato aggiunto un punto 6.3 Planning changes to the business continuity management system, che descrive la necessità di programmare i cambiamenti al sistema di gestione della continuità operativa, inclusi quelli previsti nel capitolo 10 – Improvement.
  • Il capitolo 8 – Operations – ha avuto le maggiori revisioni. Ecco i punti più rilevanti:
    • il punto 8.2.2 – Business Impact Analysis è stato ampliato con indicazioni più chiare. Si indica la necessità di partire dalle categorie di impatto (nella vecchia versione si partiva dall’identificazione delle priorità). Si fa un elenco dei requisiti più chiaro. Si menzionano sia RTO che MTPD.
    • il punto 8.3 – nella versione del 2012 si intitolava Business Continuity Strategy. Ora è Business Continuity Strategies and Solutions, implicando giustamente che non ci sarà un’unica strategia, ma si progetteranno molteplici strategie messe in atto attraverso diverse soluzioni. Questo cambiamento ha allineato il linguaggio di questo nuovo standard alle Good Practice Guidelines (edizione 2018) del Business Continuity Institute. Le GPG, nella quarta pratica professionale design-progettazione usa il termine “soluzioni”.
    • È stato aggiunto il punto 8.6 – Evaluation of business continuity documentation and capabilities. Nella precedente versione tale valutazione era inserita nel capitolo 9 – Performance evaluation, ma si è ritenuto che la revisione della documentazione e delle capacità appartenesse più ragionevolmente al capitolo 8 –
  • Infine, nel capitolo 10 – Improvement, al punto 10.2 – Continual improvement si è aggiunta la necessità di dare evidenza al miglioramento continuo attraverso “misure qualitative e quantitative”.

L’impressione generale è che la lettura della nuova ISO 22301:2019 sia più fluida e facilitata da dettagli posti in elenchi piuttosto che in frasi verbose. È più breve e pratica, è meno perentoria su alcuni requisiti e offre migliori indicazioni confermando la sua vocazione a “linea guida non prescrittiva”.

Molta attenzione è stata posta nell’evitare ripetizioni (che esistevano nella precedente versione). Altrettanta cura è stata posta nel rimandare alla ISO 22313 (la guida per l’implementazione della ISO 22301) tutte le indicazioni di dettaglio per l’esecuzione di queste linee guida.

L’augurio è quindi che le organizzazioni e i singoli professionisti che si occupano di continuità operativa trovino nella nuova ISO 22301 uno strumento ancor più utile ed efficace nel gestire la business continuity della propria organizzazione.

Gianna Detoni, Presidente PANTA RAY e BCI Global Industry Personality 2017

Con un passato nella gestione della Risk Resilience in JPMorgan Chase, Gianna Detoni è Presidente e Fondatrice di PANTA RAY, società leader nella consulenza e formazione in ambito continuità e resilienza.

È considerata uno dei massimi esperti internazionali in queste materie. Per questa ragione il Business Continuity Institute (BCI) l’ha eletta ‘Global Continuity & Resilience Industry Personality of the Year 2017’.

Nel ruolo di BCI Approved Instructor, ha dato un importante contributo alla realizzazione dell’attuale edizione delle Good Practice Guidelines del BCI, il testo di riferimento per i professionisti di continuità e resilienza.

Inoltre, Gianna è spesso ospite di importanti conferenze e tavole rotonde internazionali come esperta nelle tematiche di sua competenza.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy