bcms

Le fasi del Business Continuity Management System (BCMS)

A cura di:Federica Maria Rita Livelli Ore

Questo contenuto prosegue la serie dedicata alla Business Continuity focalizzandosi sulla implementazione pratica del BCMS secondo la ISO 22301. L’articolo fornisce una guida dettagliata sui punti cruciali 4-8 dello standard, dall’approccio PDCA (Plan-Do-Check-Act) alla definizione del contesto organizzativo, dal ruolo della Leadership e del Business Continuity Steering Committee fino alle attività operative. Particolare attenzione viene dedicata alla Business Impact Analysis (BIA), al Risk Assessment e alle Standard Operating Procedures (SOP), elementi fondamentali per una corretta implementazione del sistema di gestione della continuità operativa.

Implementazione BCMS: approccio PDCA e metodologia strutturale

Da dove iniziare?

Chi ben comincia è già a metà dell’opera: per avviare efficacemente la pianificazione della Business Continuity è importante seguire un percorso strutturato e sequenziale, come indicato dalla ISO 22301 e dalle linee guida internazionali come le BCI (Business Continuity Institute) Good Practices Guideline (GPG) e le DRI (Disaster Recovery Institute) Guidelines.

Lo standard ISO 22301 afferma l’importanza non solo di avere un piano, ma anche di implementare un BCMS.

Grazie all’approccio PDCA (Plan-Do-Check-Act) è possibile creare una cultura organizzativa che guidi il miglioramento continuo attraverso misurazioni e feedback ripetitivi delle prestazioni, come evidenziato graficamente dalla figura che segue.

(Immagine creata da Federica Maria Rita Livelli)

Grazie all’approccio basato su sistemi di gestione, è possibile esercitare un lavoro di applicazione e coordinamento attraverso un approccio multidisciplinare. I sistemi di gestione forniscono processi fondamentali per raggiungere un obiettivo comune di Business Continuity, che è mitigare il rischio associato alla Business Continuity stessa. Ciò include la protezione delle attività e delle risorse critiche che forniscono i prodotti e i servizi essenziali dell’organizzazione.

I sistemi di gestione aggiungono valore perché, grazie alla loro progettazione, permettono a un’organizzazione di soddisfare simultaneamente diversi standard, requisiti normativi e altri obblighi mediante un unico sistema di gestione. Questo rende il Business Continuity Management simile a un ombrello, che copre e integra vari aspetti della gestione aziendale per garantire la Business Continuity e la resilienza organizzativa.

bcms
(Immagine creata da Federica Maria Rita Livelli)

Non dimentichiamo che le organizzazioni hanno spesso più fonti di requisiti che influenzano l’esecuzione delle attività di pianificazione.

In questo modo gli standard di gestione – come l’ISO 22301 – possono aiutare a implementare un sistema di gestione che funge da “ombrello”, ovvero un sistema che è in grado di soddisfare in modo flessibile le esigenze di Business Continuity di ogni organizzazione; mentre gli altri sistemi seguendo un approccio armonizzato (i.e. Harmonized Structure – HS), tipico di tutti i sistemi di gestione, sono in grado di aggiungere attività di pianificazione e soluzioni di supporto al sistema di gestione della Business Continuity.

Il primo passo da compiere, secondo l’ISO 22301, è descritto nel Punto 4.

Punto 4 – conoscere il contesto

Le organizzazioni, per implementare efficacemente un Business Continuity Management System (BCMS), devono seguire un percorso che ricorda la massima dell’Oracolo di Delfi, “Conosci te stesso”.

Ciò implica:

  • Conoscere il contesto – si tratta acquisire una profonda conoscenza e consapevolezza di sé, sia come entità che come insieme di persone, nonché del contesto interno ed esterno in cui si opera.
  • Identificare i bisogni dell’organizzazione e delle sue parti interessate – è fondamentale raccogliere documentazione utile per identificare le priorità e i requisiti organizzativi e definire l’ambito del BCMS. Ciò include documenti interni sulla mission e la strategia, report annuali, descrizioni di prodotti e di servizi e rapporti commerciali con terze parti, quali fornitori e clienti.
  • Confrontarsi con la Leadershiptale passaggio serve a verificare la validità della documentazione e apportare modifiche necessarie riguardo alla missione, strategia, previsioni e obiettivi di crescita. Inoltre, aiuta a comprendere le priorità dell’organizzazione e il suo grado di tolleranza al rischio, oltre a definire i prodotti ed i servizi da includere nel BCMS.
  • Definire l’approccio al rischio da parte dell’organizzazione l’organizzazione deve comprendere il proprio grado di esposizione al rischio in relazione alla Business Continuity, riferendosi alla ISO 31000 (“Risk management – Principles and guidelines”).

NOTA: Se un’organizzazione si avvicina per la prima volta alla Business Continuity, è consigliabile iniziare concentrandosi sui processi, prodotti e servizi di massima criticità. Con l’evoluzione e la maturità del BCMS, è possibile aggiungere ulteriori processi, prodotti e servizi.

Indipendentemente dal numero di processi, prodotti e servizi critici identificati, è cruciale individuare le funzioni e i responsabili più appropriati per le attività di valutazione e di sviluppo della strategia.

Tale approccio garantisce una gestione efficace dell’implementazione del BCMS, consentendo il miglioramento continuo e/o l’ampliamento del sistema nel tempo.

Punto 5.0 – leadership

Il punto 5.0 definisce chiaramente il ruolo della Leadership all’interno del BCMS.

Il Top Management deve adoperarsi per assicurare che le attività di Business Continuity siano in linea con le strategie dell’organizzazione. Ciò include non solo l’allineamento strategico, ma anche il supporto attivo e continuo necessario per garantire il successo del BCMS.

La Leadership deve quindi impegnarsi a fornire le risorse, la guida e l’attenzione necessarie per implementare efficacemente il BCMS e promuovere una cultura di resilienza all’interno dell’organizzazione.

La ISO 22301 stabilisce che la Leadership o il Top Management sono responsabili di diversi aspetti cruciali per il BCMS, tra cui:

  • definizione della politica e degli obiettivi di Business Continuity;
  • assegnazione di ruoli e responsabilità;
  • fornitura delle risorse necessarie per l’implementazione del BCMS;
  • comunicazione dell’importanza del BCMS;
  • garanzia dei risultati previsti dal BCMS;
  • promozione del miglioramento continuo.

È essenziale definire chiaramente la policy di Business Continuity, promuoverla all’interno dell’organizzazione e stabilire aspettative e ruoli chiari per coloro che partecipano al processo di pianificazione.

Per gestire efficacemente il BCMS, è importante costituire un Business Continuity Steering Committee (BCSC) o un team similare, composto da rappresentanti della Leadership.

La selezione di leader senior adeguati a questo comitato è strategica per ottenere il consenso e il coinvolgimento dell’intera organizzazione. Di fatto, un comitato ben composto permette di definire criteri, ruoli e prestazioni della pianificazione della Business Continuity in linea con le esigenze dell’organizzazione.

Lo Steering Committee ha il compito di raccogliere informazioni dalle varie funzioni aziendali per implementare i principi di Business Continuity. Inoltre è responsabile della supervisione del BCMS, contribuendo a:

  • fornire supporto necessario alla continuità operativa;
  • assegnare le risorse necessarie per raggiungere gli obiettivi di Business Continuity;
  • definire l’ambito del BCMS, identificando le unità aziendali o divisioni da rappresentare;
  • assicurare che gli interessi dell’organizzazione siano considerati adeguatamente;
  • ottenere feedback dall’organizzazione;
  • comunicare internamente l’importanza della partecipazione al BCMS.

Il BCSC una volta costituito – provvederà a:

  • creare una policy di Business Continuity che delinei le aspettative del top management riguardo alla Business Continuity, includendo i seguenti aspetti.
  • L’ambito, ovvero l’identificazione di prodotti e servizi critici e delle aree organizzative coinvolte.
  • Gli obiettivi di prestazione legati alla Business Continuity.
  • Le metriche e i parametri per valutare e riferire le prestazioni alla Leadership.
  • Il miglioramento continuo del BCMS.
  • La definizione di ruoli e responsabilità, che coinvolgono la Leadership e i vari attori dell’organizzazione.
  • Stabilire ruoli e responsabilità necessari per implementare BCMS in base alla struttura dell’organizzazione e in modo da conseguire gli obiettivi prefissati. I ruoli più comuni sono quello dello sponsor e del coordinatore, che dovranno riflettere precise caratteristiche.
    • Lo Sponsor di Business Continuity: funzione generalmente svolta da un dirigente senior o un membro della proprietà aziendale, che detiene la responsabilità globale delle prestazioni di Business Continuity ed è in grado di prendere decisioni per implementare e migliorare il BCMS, facilitando l’integrazione della Business Continuity nella cultura aziendale.
    • Il Coordinatore/Manager di Business Continuity: figura responsabile per la supervisione della pianificazione della Business Continuity, assicurando che venga rispettata. Inoltre, è incaricata di eseguire il BCMS secondo le direttive del BCSC.

Punto 6.0 – pianificazione

Si tratta di pianificare l’implementazione del BCMS in base ai requisiti dell’organizzazione e all’ambito definito nel Punto 4.0 (i.e. Contesto), predisponendone la struttura in linea con la strategia e la cultura dell’organizzazione, in modo da definire anche gli obiettivi in grado di soddisfare le aspettative e consentire la misurazione delle prestazioni.

Innanzitutto, si deve:

  • Definire gli obiettivi del BCMS, attività essenziale che comporta considerare l’ambito delineato, la policy di Business Continuity e le aspettative e i requisiti di tutte le parti coinvolte. Il coordinamento con il BCMS è cruciale per condividere questi obiettivi con chi è responsabile dell’esecuzione del ciclo di vita della Business Continuity. È altresì importante che gli obiettivi siano adeguati, monitorabili, comunicati efficacemente e aggiornati quando necessario.

Esempi di obiettivi di un’organizzazione includono: proteggere la sicurezza di dipendenti e visitatori nelle sedi aziendali; gestire le minacce e gli impatti delle interruzioni nei processi critici, come interruzioni strutturali o perdite di risorse (personale, tecnologie, partner commerciali).

  • Allinearsi e integrarsi con le modalità di risk management, in modo da garantire la predisposizione di un BCMS più efficace ed efficiente, utilizzando le valutazioni dei rischi già disponibili per scegliere le migliori soluzioni. Un approccio sinergico con la funzione di risk management è essenziale, creando un sistema di gestione unificato in cui il rischio è attribuito a ciascun responsabile (i.e. risk owner).
  • Allinearsi e integrarsi alla cultura organizzativa, tenendo conto delle risorse disponibili, sia centralizzate sia periferiche. È essenziale, inoltre, identificare il modo migliore per incorporare la Business Continuity nelle operazioni quotidiane, nella gestione dei progetti e nelle eventuali modifiche organizzative, normative e di contesto.

Ricordiamo che, per il successo del BCMS, è strategico definire chiaramente gli obiettivi e comunicare efficacemente i risultati a tutti i soggetti coinvolti nel processo.

Punto 7.0 – supporto

Il Punto 7.0 si concentra sull’assegnazione delle risorse necessarie per implementare, mantenere e migliorare il BCMS.

Pertanto, per raggiungere questi obiettivi, è fondamentale:

  • Definire le competenze del personale addetto alla Business Continuity, ovvero identificare le conoscenze ed esperienze necessarie per pianificare, rispondere e garantire il recupero da incidenti o crisi. È essenziale prevedere una formazione ad hoc per colmare eventuali lacune.
  • Garantire la diffusione e la consapevolezza della politica di Business Continuity all’interno dell’organizzazione, ovvero assicurarsi che tutto il personale comprenda il proprio ruolo e contribuisca al successo del BCMS, soddisfacendo le aspettative dell’organizzazione.
  • Garantire la comunicazione efficace, predisponendo un piano di comunicazione per il BCMS rivolto a stakeholder interni ed esterni, che includa messaggi efficaci pre, durante e post incidente/crisi/interruzione.
  • Garantire un elenco completo della documentazione di BCMS che includa attività, documentazione approvata, comunicazioni e risultati raccolti.
  • Definire la gestione della documentazione del BCMS, specificando le modalità di raccolta, gestione, accesso, conservazione e protezione della documentazione.

Un corretto approccio prevede l’implementazione di un’ulteriore serie di attività, quali:

  • Predisposizione di Procedure Operative Standard (Standard Operating Procedures – SOP) che definiscono le azioni da intraprendere per mitigare l’impatto di eventi sull’operatività aziendale.
  • Predisposizione di un programma di valutazione e di sviluppo delle competenze, coinvolgendo tutto il personale del BCMS, incluso chi partecipa alla pianificazione della risposta e del recupero. Il programma deve periodicamente identificare le competenze necessarie e fornire opportunità di sviluppo per colmare eventuali lacune; ciò include l’analisi del profilo delle risorse coinvolte nel BCMS per garantire che comprendano il loro ruolo, oltre a verificare che siano idonee, disposte e capaci di svolgerlo. È fondamentale valutare le competenze, come titoli di studio, conoscenze, esperienze, abilità e formazione, nonché assicurare chiarezza sulle responsabilità.
  • Predisposizione di un piano di comunicazione relativo al BCMS implementato, atto ad informare le parti interessate e contenente:
  • Messaggi chiave rivolti a tutte le parti interessate, ovvero stakeholder interni (personale, CdA, Team di risposta/recupero) ed esterni (clienti, fornitori, partner; istituzioni, organizzazioni locali e governative, forze dell’ordine e di soccorso).
  • Modalità di trasmissione, specificando come, quando e da chi i messaggi saranno trasmessi.

Si ricorda che tali comunicazioni dovranno essere calibrate a seconda della tipologia di destinatari.

Inoltre, è necessario predisporre le procedure di gestione della documentazione di BCMS, per controllare le varie versioni dei documenti e conservare quelli strategici per garantire la disponibilità dell’ultima versione approvata relativa alla pianificazione e alle modalità di risposta e ripristino in caso di incidenti o crisi.

Punto 8.0 – attività operative (Operation)

Il Punto 8.0 è cruciale poiché riguarda l’implementazione e il mantenimento delle attività necessarie per soddisfare le aspettative della leadership, ovvero la Business Impact Analysis (BIA) e il Risk Assessment (RA); le strategie e le soluzioni di Business Continuity; i piani e le procedure; la programmazione delle esercitazioni e dei test; la valutazione della documentazione e dell’efficacia del BCMS.

In questa fase si identificano le attività necessarie per proteggere l’organizzazione e le parti interessate, minimizzando la probabilità e l’impatto di un incidente o crisi e riducendo i tempi di inattività.

Di seguito si esaminano in dettaglio queste attività e i vari step per la loro implementazione.

Per approfondire tutti gli aspetti metodologici e operativi dell’implementazione BCMS e accedere a strumenti pratici di valutazione, vi invitiamo a consultare il white paper completo elaborato da Federica Maria Rita Livelli e Chiara Cavicchioli dal titolo “Business Continuity: mito o realtà? La continuità nella discontinuità – Guida teorica e pratica”, che fornisce una roadmap dettagliata per l’implementazione professionale di sistemi di gestione della continuità operativa conformi alla ISO 22301.

Nel prossimo articolo della serie, l’attenzione sarà rivolta alla Business Impact Analysis (BIA), elemento chiave per identificare i processi critici e definire parametri fondamentali come Recovery Time Objective (RTO) e Recovery Point Objective (RPO), indispensabili per una pianificazione efficace della continuità operativa.

Profilo Autore

Consulente in Risk Management & Business Continuity, svolge un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere.

Membro de: BCI - Cyber Resilience Group, CLUSIT – Direttivo & Comitato Scientifico, ENIA - Comitato Scientifico, FERMA – Digital Committee, UNI - Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279).
Relatrice e moderatrice in diversi seminari, conferenze nazionali ed internazionali, è anche autrice di numerosi articoli su diverse riviste online italiane e straniere.

Ha partecipato, in qualità di co-autrice, a: Edizioni 2020, 2021, 2022 ,2023 e 2024 del Rapporto Clusit - Cyber Security; Libri tematici CLUSIT rif. Intelligenza Artificiale (2020) e Rischio Cyber (2021), Supply Chain Risk (2023); Libro “Lo Stato in Crisi” ed. Angeli (2022).

Altri Articoli
Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi