Business continuity plan

Da Wikipedia, l'enciclopedia libera.

Il Business Continuity Plan (BCP, o Piano di Continuità Operativa - PCO) è l'insieme di procedure documentate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello pre-definito le attività a seguito di un'interruzione. Tipicamente, il Piano copre le risorse, i servizi e le attività richieste per assicurare la continuità delle funzioni organizzative critiche[1].

Il Piano inoltre rappresenta uno dei principali output del ciclo di vita della Gestione della Continuità Operativa ed è declinato per qualsiasi tipo di organizzazione (pubblica, privata o anche no-profit) e per qualsiasi livello dell'organizzazione (strategico, tattico e operativo) con l'obiettivo di aumentarne la resilienza.

I tipi di piani sono influenzati dalla natura, dalle dimensioni e dalla complessità dell'organizzazione. Per una piccola organizzazione, ad esempio, può essere pratico sviluppare un unico Piano di Continuità Operativa che tenga conto delle funzioni o dei processi principali. Per una grande multinazionale, invece, potrebbe rendersi necessaria la creazione di piani strutturati per prodotti, servizi, sedi, divisioni o dipartimenti.

Il Business Continuity Plan può comprendere a sua volta dei piani specifici che includano procedure e informazioni particolari che - per motivi di migliore utilizzabilità e/o di dimensioni - è preferibile vengano trattate separatamente. A titolo esemplificativo, si pensi al Piano di Crisi, al Piano Pandemico o al Piano di Comunicazioni nella Crisi. Tali piani specifici fanno comunque parte del Business Continuity Plan dell’organizzazione.

Finalità[modifica | modifica wikitesto]

Gli obiettivi del Business Continuity Plan sono molteplici:

  • A livello strategico, garantire la corretta gestione di eventi critici potenzialmente in grado di minacciare la sopravvivenza stessa dell'organizzazione (ad esempio: crisi di reputazione);
  • A livello tattico, coordinare le attività e gli sforzi delle diverse funzioni dell'organizzazione per garantire la continuità operativa dei processi aziendali a seguito di un'interruzione;
  • A livello operativo, definire i passaggi fondamentali che devono essere intrapresi dai team di risposta alle emergenze.

In altri termini, il Business Continuity Plan costituisce lo strumento principale attraverso cui un'organizzazione si prepara ad affrontare interruzioni future di qualsiasi genere.

L'implementazione di un Piano di Continuità Operativa consente inoltre di:

  • Preservare la crescita, il valore e la reputazione dell'organizzazione, aumentando di conseguenza la fiducia degli stakeholder;
  • Costruire nel tempo la capacità di continuare a operare in maniera coordinata anche a seguito di un incidente;
  • Dimostrare «diligenza» e sostenibilità nella gestione;
  • Migliorare la capacità competitiva;
  • Accrescere il livello di resilienza dell’organizzazione.

Infine, il Business Continuity Plan si propone di minimizzare il tempo di interruzione dei processi aziendali e di garantire l'efficacia e l'efficienza delle procedure di ripristino fino al ritorno alla normalità.

Rappresentazione grafica utilizzata dal Business Continuity Institute per identificare le sei fasi del ciclo di vita della gestione della continuità operativa.

Il Business Continuity Plan nel Ciclo di Vita della Continuità Operativa[modifica | modifica wikitesto]

L'implementazione di un Piano di Continuità Operativa è solo una delle fasi del ciclo di vita del Business Continuity Management. Per poter sviluppare piani che siano coerenti con gli obiettivi dell'organizzazione, occorre effettuare - sia prima che dopo la stesura del Piano - una serie di attività.

Il Business Continuity Institute, che è uno dei principali enti di riferimento a livello internazionale per lo sviluppo di metodologie e competenze in materia di continuità operativa, riassume queste attività in 6 diverse fasi iterative:

  1. Policy e Gestione del Programma, che prevede la definizione di una politica aziendale in materia di Business Continuity e di un Programma di Business Continuity Management;
  2. Incorporazione della Business Continuity, che mira a integrare la continuità operativa con le attività di business quotidiane e la cultura organizzativa;
  3. Analisi, che comprende la Business Impact Analysis e l'Analisi delle Minacce;
  4. Progettazione, che ha l'obiettivo di identificare e selezionare le appropriate strategie e tattiche per determinare il modo in cui saranno raggiunti gli obiettivi di continuità operativa e il recupero dell'operatività a seguito di interruzioni;
  5. Implementazione, che è la fase in cui vengono messe in atto le strategie e le tattiche e viene attivato il processo di sviluppo del Business Continuity Plan;
  6. Convalida, che attraverso attività di test, esercitazioni, valutazioni di performance e revisioni di audit conferma che il Programma di Business Continuity Management soddisfi gli obiettivi stabiliti nella Policy e che il Piano dell’organizzazione sia adatto allo scopo.

Caratteristiche del Business Continuity Plan[modifica | modifica wikitesto]

Dal momento che il Business Continuity Plan è un documento che si presuppone di dover utilizzare in situazioni di forte stress (a seguito di un incidente o di un evento critico), è necessario che abbia determinate caratteristiche che ne supportino la consultazione e l'utilizzo.

I piani che compongono il BCP devono quindi essere:

  • Diretti, ovvero in grado di fornire direzioni chiare, orientate all'azione e basate sul tempo, consentendo un rapido accesso alle informazioni di supporto pertinenti;
  • Adattabili, ovvero tali da consentire all'organizzazione di rispondere a una vasta gamma di incidenti gravi, compresi quelli che l'organizzazione potrebbe non aver previsto;
  • Concisi, ovvero che contengano esclusivamente una guida delle azioni da intraprendere e informazioni / strumenti che serviranno al team in un grave incidente (tutto il resto è superfluo e non va incluso);
  • Rilevanti, ovvero che contengano informazioni attuali e applicabili al team che le dovrà utilizzare.

Il Piano di Continuità Operativa dovrà coprire inoltre tutte le fasi della risposta a un incidente, dalla risposta iniziale fino alla ripresa delle normali attività.

Non esiste un'unica soluzione su come strutturare i piani. Pertanto è necessaria una combinazione di una generale esperienza dell'operatività, la conoscenza dell'organizzazione e l'esperienza di business continuity per trovare le caratteristiche che più si adattano all'organizzazione per cui il Piano viene implementato.

Un programma di mantenimento del Business Continuity Plan deve essere messo in atto per garantire che sia tenuto costantemente aggiornato, anche attraverso specifiche attività di test ed esercitazioni.

Contenuti e Struttura del Business Continuity Plan[modifica | modifica wikitesto]

Sebbene non vi sia un'unica struttura possibile per lo sviluppo dei piani, che possono variare sensibilmente a seconda del livello (strategico, tattico o operativo) per cui si definisce una risposta a un evento critico, è possibile identificare una serie di elementi comuni:

  • Informazioni sul documento, come ad esempio il nome del dipartimento per cui il Piano è stato implementato e dettagli in merito al processo di controllo ed esercitazione del Piano stesso;
  • Obiettivi, ovvero cosa ci si propone di ottenere attraverso lo sviluppo del Piano;
  • Campo di applicazione, ovvero le dimensioni massime degli incidenti coperti dal BCP;
  • Limiti, quindi una breve lista di condizioni alle quali il Piano non si applica;
  • Ruoli e responsabilità relative alla gestione degli incidenti;
  • Criteri decisionali, per stabilire la gravità di un incidente o di una crisi e i relativi livelli dell'organizzazione che necessitano di essere coinvolti;
  • Procedure di invocazione che stabiliscano chi è responsabile per l'attivazione del Piano e la mobilitazione dei team di risposta agli incidenti;
  • Procedure di escalation, ovvero il processo da seguire per attivare i più alti livelli di management (qualora la tipologia di incidente lo richieda);
  • Priorità di intervento in base ai Recovery Time Objective, ai Recovery Point Objective e alle criticità definiti ed emersi nella fase di Progettazione, a valle dell'Analisi;
  • Checklist delle attività che devono essere intraprese;
  • Processi di comunicazione, sia interni (tra i vari team coinvolti e verso il personale) che soprattutto verso l'esterno;
  • Liste di contatto degli stakeholder principali;
  • Procedura di disattivazione del Piano, per consentire un ritorno organizzato e ordinato all'utilizzo delle procedure ordinarie;
  • Riferimenti a qualsiasi altro Piano o Policy dell'organizzazione.

I contenuti del Piano di Continuità Operativa devono essere esposti in maniera sintetica, per essere effettivamente fruibili in caso di necessità.

Standard e Norme di Riferimento[modifica | modifica wikitesto]

Nel mese di maggio del 2012 è stata pubblicata dall'International Organization for Standardization la Norma ISO 22301:2012 Societal security -- Business continuity management systems -- Requirements[2], alla quale nel mese di dicembre ha fatto seguito la Norma ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance[3]. Nel mese di dicembre del 2015, invece, sono state emanate le seguenti Technical Specification correlate: ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)[4] e ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity[5].

In materia di Crisis Management, invece, nel mese di maggio del 2014 è stato pubblicato dal British Standards Institution la Norma BS 11200:2014 Crisis management -- Guidance and good practice[6].

Tutti questi Standard forniscono un metodo formalizzato per garantire che il Programma di business continuity e crisis management dell’organizzazione sia efficace e allineato alla cultura e ai requisiti dell'organizzazione. L’approccio dei Sistemi di Gestione è utilizzato anche per altre discipline - come l'Information Security (Norma ISO/IEC 27001:2013[7]) e la Qualità (Norma ISO 9001:2015[8]) e quindi un Business Continuity Management System può essere facilmente aggiunto poiché vi è una convergenza di tali Sistemi intorno a un testo standard comune.

Infine, il Business Continuity Institute:

  • nel 2013 ha rilasciato le BCI Good Practice Guidelines - basate sulla Norma ISO 22301:2012 - che ad oggi rappresentano il principale punto di riferimento a livello internazionale dei professionisti di business continuity per la gestione di un Programma di continuità operativa in azienda;
  • nel 2016 ha pubblicato il BCM Legislations, Regulations & Standards Report che riassume tutti i riferimenti normativi in materia per ciascun singolo Paese.

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ (EN) ISO 22300:2012 - Societal security -- Terminology, su ISO. URL consultato il 22 gennaio 2017.
  2. ^ (EN) ISO 22301:2012 - Societal security -- Business continuity management systems --- Requirements, su ISO. URL consultato il 21 gennaio 2017.
  3. ^ (EN) ISO 22313:2012 - Societal security -- Business continuity management systems -- Guidance, su ISO. URL consultato il 21 gennaio 2017.
  4. ^ (EN) ISO/TS 22317:2015 - Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA), su ISO. URL consultato il 21 gennaio 2017.
  5. ^ (EN) ISO/TS 22318:2015 - Societal security -- Business continuity management systems -- Guidelines for supply chain continuity, su ISO. URL consultato il 21 gennaio 2017.
  6. ^ BS 11200:2014 Crisis management. Guidance and good practice, su shop.bsigroup.com. URL consultato il 21 gennaio 2017.
  7. ^ (EN) ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems -- Requirements, su ISO. URL consultato il 22 gennaio 2017.
  8. ^ (EN) ISO 9001:2015 - Quality management systems -- Requirements, su ISO. URL consultato il 22 gennaio 2017.
Economia Portale Economia: accedi alle voci di Wikipedia che trattano di economia