Sicurezza dei dispositivi mobili e BYOD
6 giugno 2018
Trade-off tra Privacy e Security
8 giugno 2018

Il Business Continuity Manager: un professionista al servizio della resilienza organizzativa

Il mondo in cui si muovono le nostre organizzazioni è sempre più complesso: interconnessioni con svariati gruppi d’interesse: enti pubblici, agenzie, altre organizzazioni; innumerevoli minacce di varia origine: eventi atmosferici, attacchi cyber, instabilità politica, interruzioni di servizi essenziali quali l’energia o le telecomunicazioni; una costante velocizzazione delle attività e dei processi interni e esterni all’organizzazione, dove un’interruzione di poche ore può risultare fatale.

Questa complessità può mettere a rischio l’operatività e la sopravvivenza stessa di qualsiasi organizzazione, a prescindere dalle dimensioni e dal settore in cui opera. Per questo – e per essere del tutto resilienti ai rischi – è fondamentale che ognuna di esse adotti la business continuity, mettendo in atto una serie di analisi e procedure per mitigare gli impatti delle minacce e continuare a operare a fronte di emergenze o eventi critici.

Lo standard internazionale ISO 22301 definisce infatti la business continuity come “la capacità di continuare a erogare prodotti o servizi in seguito a un incidente a livelli predefiniti accettabili.

Chiaramente, un aspetto così essenziale di un’organizzazione non può prescindere dalla presenza di un responsabile. E non uno qualsiasi; il business continuity manager deve essere una figura di riferimento per l’intera organizzazione.

È sua la responsabilità dell’intero sistema di gestione della continuità operativa. Per adempiere con efficacia al suo ruolo, deve fare parte dei livelli più alti dell’organizzazione.

Ci sono principalmente due vie con cui un professionista può acquisire competenza nel ruolo. Tramite l’esperienza, con anni di pratica del mestiere. E con lo studio approfondito delle best practice internazionali di continuità e resilienza organizzativa.

Entrambe le componenti sono essenziali. Coloro che si sono avvicinati allo studio delle linee guida e degli international standard dopo anni di pratica (come me) sanno di cosa sto parlando. È stato infatti necessario correggere e aggiornare molti aspetti della metodologia che avevo usato fino ad allora per adeguarli alle best practice, in un’ottica di miglioramento continuo.

Un passo importante in questa direzione è senza dubbio l’acquisizione di una certificazione riconosciuta a livello internazionale. Una certificazione in business continuity può avere diversi benefici per un professionista della materia. In primo luogo, fornisce una conoscenza completa e aggiornata dei principi fondamentali e delle best practice della disciplina. In più, garantisce l’ingresso all’interno di un network di professionisti specializzati, con tutte le possibilità di scambio di informazioni e competenze che ne conseguono. Per finire, una certificazione riconosciuta a livello internazionale garantisce al professionista una credibilità maggiore con gli interlocutori interni ed esterni all’organizzazione. I principali enti erogatori al mondo sono il Business Continuity Institute – BCI, e il Disaster Recovery Institute – DRI.

Ma la continuità operativa è una materia olistica, che di fatto comprende e coinvolge tutti gli ambiti di un’organizzazione. Per questo, a parte la formazione specialistica, il business continuity manager deve avere una conoscenza adeguata di tutto il contesto operativo e una predisposizione a interloquire agevolmente con tutti gli stakeholder dell’organizzazione.

Si tratta di un ruolo difficile e ricco di sfide. Porta però con sé anche un grande carico di entusiasmo e gratificazione professionale, una volta raggiunti gli obiettivi. Il professionista di business continuity gioca infatti un ruolo chiave nel miglioramento di tutta l’organizzazione ed è in grado di misurare e vedere coi propri occhi i risultati del proprio lavoro. Tra le caratteristiche che contraddistinguono il ruolo ci sono:

Collaborazione e coinvolgimento: il business continuity manager deve essere un professionista riconosciuto come credibile e autorevole da tutti i colleghi. Per questa ragione, è consigliabile che sia una persona con una rilevante seniority. Deve riportare direttamente al vertice dell’organizzazione, che a sua volta deve dare evidenza di allineamento con i suoi obiettivi. Tuttavia, se si decide di collocare tale figura all’interno di una funzione dell’organizzazione, è importante che venga comunque riconosciuta al manager la trasversalità dei suoi compiti e la possibilità (necessaria per svolgere il proprio lavoro) di interagire direttamente con i vertici dell’organizzazione.

Mandato chiaro e endorsement da parte del top management: per svolgere al meglio il proprio ruolo, il business continuity manager deve avere il pieno supporto da parte dei vertici dell’organizzazione, che devono essere essi stessi costantemente aggiornati sulle attività di continuità operativa. Deve anche avere la capacità di interagire con tutti i livelli dell’organizzazione, dall’esecutivo al middle management, fino ai livelli operativi. Tale continuo esercizio di relazione permetterà al business continuity manager di trasmettere i problemi operativi al top management e nel contempo interpretare le decisioni prese dall’alto verso il basso, nonché di condividere i problemi delle varie unità in maniera trasversale. In tal modo, le informazioni fluttueranno dall’alto verso il basso e viceversa, oltre che tra le varie sezioni di business e di supporto, per aumentare il coinvolgimento sulle problematiche comuni e la conoscenza delle best practice.

Divulgazione e promozione: attraverso opportune tecniche di comunicazione, il business continuity manager ha il compito di promuovere continuamente i principi di buona gestione della continuità operativa con il resto dell’organizzazione. Gli strumenti che ha a disposizione possono essere blog, newsletter, articoli di cronaca, partecipazione a convegni e conferenze sul tema, workshop e sessioni di sensibilizzazione (in aula o in modalità e-learning), esempi di crisi altrui o lezioni apprese da crisi interne. Dovrà anche assistere i vertici a promuovere regolarmente tali principi, comunicando quanto essi facciano parte degli obiettivi strategici dell’organizzazione.

Hands-off: il business continuity manager NON ha un ruolo operativo. Incontro spesso business continuity manager che fanno tutto per tutti. Mi dicono che è l’unico modo per ottenere qualche risultato nella continuità operativa. All’apparenza encomiabile, tale approccio procura invece un danno. È un errore grave cercare di fare per conto terzi qualcosa di cui non si è titolare.

Il professionista della business continuity è una figura di coordinamento delle varie fasi del sistema di gestione della continuità operativa. Avendo una buona esperienza delle tecniche di analisi di impatto e una conoscenza approfondita del contesto in cui l’organizzazione opera, il business continuity manager facilita la riflessione per identificare prodotti, servizi, processi e attività prioritarie dell’organizzazione, e stimola l’analisi di quali sarebbero gli impatti nel caso si verificassero delle interruzioni a queste priorità.

Project management: il business continuity manager deve proporre il disegno di modelli operativi per l’analisi di impatto e per il piano di continuità operativa. Grazie alla sua esperienza, può anche stimare le soglie di tollerabilità di un’interruzione (la classificazione del Massimo Periodo Tollerabile dell’Interruzione – MTPD, e degli Obiettivi di Tempo di Recupero – RTO), che saranno poi sottoposte al vaglio e all’approvazione dei vertici dell’organizzazione. Inoltre, assiste i vari titolari di prodotti, servizi, processi o attività nella programmazione dei propri compiti di continuità.

Responsabilità nella supervisione: il business continuity manager è responsabile della supervisione dell’intero sistema di gestione della continuità operativa. Non compila, non sviluppa, non completa e non analizza per conto dei titolari, ma li assiste, ove necessario, nella realizzazione di tali attività. In più, ha il compito di monitorare l’aggiornamento continuo e puntuale di tutta la documentazione relativa al sistema di gestione. A tal proposito sarà necessario prevedere che tutti i piani, i progetti, i registri di formazione, la pianificazione dei test, le analisi d’impatto e qualunque procedura relativa alla continuità operativa, siano centralizzati in un database sotto il controllo diretto del business continuity manager. In tal modo, il professionista di continuità sarà nella posizione di allertare l’organizzazione su eventuali ritardi nella revisione pianificata, dati obsoleti o scadenze non rispettate. In pratica, il business continuity manager è responsabile della qualità del sistema di gestione della continuità operativa. Dati tutti gli strumenti di cui sopra, avrà la possibilità di dimostrarne anche il miglioramento continuo.

Facilitazione: uno dei compiti fondamentali del business continuity manager è anche quello di indicare la via per il miglioramento continuo del sistema di gestione della continuità operativa. Il professionista deve semplificare le procedure e renderle accessibili a tutti i manager. Deve inoltre assistere i vari titolari dei processi a espletare i propri compiti relativi alla continuità dell’organizzazione. A titolo di esempio, dovrà verificare che la funzione di HR progetti un programma di formazione e sensibilizzazione annuale, indicando le figure di riferimento che devono partecipare. Così come dovrà supervisionare che ICT, logistica e tutti i titolari di piani di continuità operativa si siano dotati di una puntuale programmazione dei test. Stimolerà infine la riflessione in tutti i soggetti competenti per trovare le soluzioni più idonee e aggiornate per mitigare l’impatto di eventuali interruzioni.

Consulenza nella gestione della crisi: il ruolo del business continuity manager sarà prezioso in caso di evento critico. Di conseguenza, sarà opportuno includerlo sempre nel team di gestione della crisi. In queste occasioni agirà da consulente al business incoraggiando i vertici organizzativi a prendere decisioni rapide sull’invocazione del disaster recovery plan e della business continuity. Ricorderà a tutti le soluzioni progettate e documentate nei piani e potrà coordinare la registrazione delle decisioni fatte e delle azioni intraprese durante l’evento.

Conoscenza di Linee Guida, Norme e Standard internazionali: per finire, il business continuity manager deve conoscere gli standard internazionali in materia di continuità operativa. Gli standard e le linee guida molto spesso contengono tutti gli elementi.  Di seguito una lista (non esaustiva) delle principali norme, standard e best practice internazionali in materia:

  • ISO 22301:2012
    Societal security — Business continuity management systems – Requirements
  • ISO 22313:2012
    Societal security — Business continuity management systems – Guidance
  • ISO/TS 22316:2017
    Security and resilience – Organizational resilience – Principles and attributes
  • ISO/TS 22317:2015
    Societal security — Business continuity management systems — Guidelines for business impact analysis
  • ISO/TS 22318:2015
    Societal security — Business continuity management systems — Guidelines for supply chain continuity
  • ISO 22398:2013
    Security and resilience — Guidelines for exercises
  • ISO/IEC 27031:2011
    Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
  • ISO 31000:2009
    Risk management – Principles and guidelines
  • ISO/IEC 31010:2009
    Risk management — Risk assessment techniques
  • Good Practice Guidelines (GPG) 2018
    Linee Guida di Buona Pratica del Business Continuity Institute
  • DRI Professional Practices
    Le Pratiche Professionali del Disaster Recovery Institute
  • BS 11200:2014
    Crisis management. Guidance and good practice

 

A cura di: Gianna Detoni

Gianna Detoni, Presidente PANTA RAY e BCI Global Industry Personality 2017

Con un passato nella gestione della Risk Resilience in JPMorgan Chase, Gianna Detoni è Presidente e Fondatrice di PANTA RAY, società leader nella consulenza e formazione in ambito continuità e resilienza.

È considerata uno dei massimi esperti internazionali in queste materie. Per questa ragione il Business Continuity Institute (BCI) l’ha eletta ‘Global Continuity & Resilience Industry Personality of the Year 2017’.

Nel ruolo di BCI Approved Instructor, ha dato un importante contributo alla realizzazione dell’attuale edizione delle Good Practice Guidelines del BCI, il testo di riferimento per i professionisti di continuità e resilienza.

Inoltre, Gianna è spesso ospite di importanti conferenze e tavole rotonde internazionali come esperta nelle tematiche di sua competenza.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy