ISO 22301 Business Continuity Plan BCP implementazione BCMS - Business Impact Analysis Recovery Time Objective certificazione resilienza

ISO 22301: Business Continuity Plan e BCMS

A cura di:Federica Maria Rita Livelli Ore

Questo contenuto fa parte della serie dedicata alla Business Continuity e rappresenta un approfondimento pratico sull’implementazione della ISO 22301.

L’articolo esplora come progettare Business Continuity Plan (BCP) resilienti, analizza la struttura dello standard internazionale e fornisce una panoramica completa sui vantaggi dell’implementazione di un Business Continuity Management System (BCMS). Particolare attenzione viene dedicata ai concetti chiave come Business Impact Analysis (BIA), Recovery Time Objective (RTO) e Maximum Acceptable Outage (MAO), fondamentali per garantire la continuità operativa aziendale.

Ogni organizzazione è unica e può integrare la disciplina della Business Continuity in modi diversi, tenendo conto di vari fattori come le dimensioni dell’organizzazione, i Paesi in cui opera, la cultura aziendale, il settore di attività e le risorse disponibili.

Business Continuity Plan (BCP) resilienti: come progettarli?

I gestori della Business Continuity sviluppano i Business Continuity Plan (BCP) per garantire il ripristino delle operazioni dopo incidenti o crisi, concentrandosi sul ritorno alla normalità.

Tuttavia, eventi come il Covid-19, le crisi geopolitiche e geoeconomiche o gli eventi atmosferici estremi hanno evidenziato la necessità di adattare questi piani a cambiamenti radicali nella domanda e nei modelli operativi, richiedendo modifiche strategiche e ottimizzazione dei costi. I BCP devono essere integrati con l’intera organizzazione e allineati al processo decisionale strategico per gestire nuovi paradigmi senza difficoltà.

È fondamentale sincronizzare i processi di Business Continuity con quelli di gestione del rischio strategico e operativo, coinvolgendo i Business Continuity Manager nel processo decisionale per adattare il piano alle esigenze emergenti.

Sebbene la certificazione ISO 22301 non sia obbligatoria, molte organizzazioni adottano i suoi principi per garantire la resilienza. La certificazione, valida per tre anni con verifiche annuali, è rilasciata da un Organismo di Certificazione indipendente che valuta l’implementazione del sistema di gestione.

Esaminare la ISO 22301 passo dopo passo aiuta a comprendere come applicare i suoi principi nelle organizzazioni.

Vediamo di che si tratta.

Standard ISO 22301:2019 – struttura e requisiti BCMS

La ISO 22301:2019, primo Standard realmente accettato a livello internazionale sulla Business Continuity, si articola come segue:

  1. Introduzione
  2. Ambito
  3. Riferimenti normativi
  4. Termini e definizioni
  5. Contesto dell’organizzazione
  6. Leadership
  7. Pianificazione
  8. Supporto
  9. Attività Operative
  10. Valutazione delle prestazioni

Punti da “0” a “3”

Queste sezioni forniscono un background dello standard, illustrando come dovrebbe essere compreso e applicato (ad esempio Premessa, Introduzione, Scopo e Campo di Applicazione, Riferimenti Normativi, Terminologia).

Punti da “4” a “10”

Le seguenti sezioni stabiliscono gli obiettivi della norma.

Chiarire i risultati della Business Continuity per:

  • Permettere alle organizzazioni di proteggersi e ridurre la probabilità di incidenti, crisi, o interruzioni, preparandosi a rispondere e recuperare attraverso l’implementazione e il miglioramento continuo di un Business Continuity Management System (BCMS).
  • Stabilire i tempi di ripristino e progettare i piani.
  • Mitigare il rischio associato a incidenti, crisi, o interruzioni.
  • Assicurare che i processi e le risorse siano recuperabili e ripristinabili per soddisfare le aspettative delle parti interessate riguardo alla fornitura di prodotti e servizi.

Garantire focus e allineamento strategico per:

  • Concentrarsi sui prodotti e servizi più importanti e critici per l’organizzazione.
  • Assicurare l’allineamento con gli obiettivi e obblighi organizzativi.

Coinvolgere il Top Management per:

  • Ottenerne il supporto e coinvolgimento nella definizione degli obiettivi del BCMS.
  • Garantire l’adeguata e continua allocazione delle risorse necessarie, insieme al miglioramento continuo, in risposta ai cambiamenti nell’ambito di applicazione e ai risultati della misurazione delle prestazioni.
  • Assicurare una maggiore integrazione con il Risk Management per rispondere alle esigenze e obblighi legali, normativi e contrattuali.

Analizziamo ora alcuni punti strategici della ISO 22301, fondamentali per l’avvio del BCMS.

Punto 3.0 – Termini & Definizioni

Tra i principali termini e definizioni ricordiamo:

  • Business Continuity (BC) – la capacità di un’organizzazione di continuare a fornire servizi e prodotti a un livello accettabile dopo un evento destabilizzante.
  • Business Continuity Management System (BCMS) – il sistema di gestione che stabilisce, implementa, gestisce, monitora, revisiona, mantiene e migliora la Business Continuity. Come definito dal DRI (Disaster Recovery Institute), è un processo di gestione che identifica i rischi, le minacce e le vulnerabilità che potrebbero influenzare la continuità delle attività, fornendo un metodo per costruire la resilienza organizzativa e la capacità di rispondere efficacemente agli incidenti.
  • Business Impact Analysis (BIA) – è un processo fondamentale per valutare le attività critiche di un’organizzazione e comprendere l’effetto che un’interruzione operativa potrebbe avere su di esse.
  • Crisi – si tratta di una situazione caratterizzata da un elevato livello di incertezza che compromette le attività principali e/o la credibilità di un’organizzazione. In tale contesto, è necessario intraprendere azioni urgenti per mitigare i rischi e ripristinare la normalità operativa.
  • Incidente – si tratta di una situazione che potrebbe costituire, o portare a, un’interruzione delle attività, una perdita, un’emergenza o una crisi.
  • Informazioni Documentate – il riferimento è a tutte le informazioni che un’organizzazione deve periodicamente controllare e aggiornare, specificando anche come vengono archiviate. In un contesto di revisione e/o certificazione, è fondamentale dimostrare le azioni intraprese attraverso documentazioni quali: verbali di riunioni, procedure, registri di formazione e risultati scaturiti da test ed esercitazioni di continuità.
  • Maximum Acceptable Outage (MAO) – è il tempo massimo considerato accettabile durante il quale un prodotto o servizio non viene fornito, o un’attività non viene svolta, a causa di un evento avverso.
  • Maximum Tolerable Period of Disruption (MTDP) – è il tempo massimo che può trascorrere considerando gli impatti negativi derivanti da un incidente, come la mancata fornitura di un prodotto, la mancata erogazione di un servizio o il mancato svolgimento di un’attività operativa. È importante notare che il MTDP può essere più lungo del MAO, poiché gli effetti negativi di un’interruzione possono perdurare oltre la durata dell’interruzione stessa.
  • Minimum Business Continuity Objective (MBCO) – è il livello minimo di servizi o di prodotti che un’organizzazione considera accettabile per raggiungere i propri obiettivi operativi durante un’interruzione.
  • Business Continuity Plan (BCP) – si tratta dello sviluppo di un piano attuabile per prepararsi a probabili eventi di crisi, garantire la sicurezza del personale e riprendere le operazioni aziendali dopo un incidente.
  • Recovery Point Objective (RPO) – è il punto temporale in cui le informazioni sono coerenti e possono essere ripristinate per consentire la ripresa delle attività. È spesso denominato Maximum Data Loss e solitamente coincide con l’ultimo backup dei dati.
  • Recovery Time Objective (RTO) – indica il tempo entro il quale i servizi, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo un incidente che abbia causato discontinuità.

Perché è importante implementare un BCMS?

I vantaggi dell’implementazione di un BCMS sono molteplici; di seguito, a titolo esemplificativo, se ne evidenziano i principali.

Migliore performance dei processi, grazie a:

  • mappatura accurata dei processi aziendali;
  • riconoscimento dei processi fondamentali per l’attività aziendale;
  • individuazione di strategie per il recupero dei processi;
  • abilità di rispondere prontamente grazie a procedure operative precise e specifiche;
  • definizione dei team con ruoli e responsabilità ben delineati e membri adeguatamente formati.

Migliore posizionamento competitivo, grazie a:

  • impatto positivo sui clienti, garantito da una maggiore affidabilità nella fornitura;
  • ottimizzazione dell’offerta per specifici segmenti di mercato;
  • crescente capacità di affrontare nuovi mercati con resilienza;
  • miglioramento del rating di rischio per l’accesso al credito e maggiore attrattiva per i fondi di investimento;
  • riduzione dei costi assicurativi.

Ulteriori benefici in termini di:

  • maggiore sicurezza e migliore gestione del personale in caso di interruzioni dell’operatività;
  • riduzione dei costi in caso di interruzioni dell’operatività;
  • migliore gestione della crisi vs. interlocutori interni ed esterni, attraverso pianificazione della comunicazione esterna e interna;
  • duplicazione delle risorse per prevenire perdite di dati.

Questo contenuto prosegue la serie dedicata alla Business Continuity, focalizzandosi sull’implementazione pratica del BCMS secondo la ISO 22301. L’implementazione di un Business Continuity Management System (BCMS) conforme alla ISO 22301 rappresenta un investimento strategico fondamentale per la resilienza aziendale. Dalla progettazione di Business Continuity Plan (BCP) efficaci alla comprensione dei parametri critici come Recovery Time Objective (RTO) e Business Impact Analysis (BIA), le organizzazioni possono ottenere significativi vantaggi competitivi e operativi. Nel prossimo approfondimento, analizzeremo nel dettaglio le fasi del ciclo di vita del BCMS, offrendo una guida strutturata per supportare le organizzazioni in ogni passaggio del processo di implementazione.

Per una comprensione completa di tutte le metodologie di implementazione e per approfondire gli aspetti pratici della Business Continuity, vi invitiamo a consultare il white paper completo elaborato da Federica Maria Rita Livelli e Chiara Cavicchioli dal titolo “Business Continuity: mito o realtà? La continuità nella discontinuità – Guida teorica e pratica”, che fornisce una roadmap dettagliata per l’implementazione di sistemi di gestione della continuità operativa di successo.

Profilo Autore

Consulente in Risk Management & Business Continuity, svolge un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere.

Membro de: BCI - Cyber Resilience Group, CLUSIT – Direttivo & Comitato Scientifico, ENIA - Comitato Scientifico, FERMA – Digital Committee, UNI - Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279).
Relatrice e moderatrice in diversi seminari, conferenze nazionali ed internazionali, è anche autrice di numerosi articoli su diverse riviste online italiane e straniere.

Ha partecipato, in qualità di co-autrice, a: Edizioni 2020, 2021, 2022 ,2023 e 2024 del Rapporto Clusit - Cyber Security; Libri tematici CLUSIT rif. Intelligenza Artificiale (2020) e Rischio Cyber (2021), Supply Chain Risk (2023); Libro “Lo Stato in Crisi” ed. Angeli (2022).

Altri Articoli
Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi