Business continuity management

Da Wikipedia, l'enciclopedia libera.

Per Business Continuity Management (BCM, o Gestione della Continuità Operativa) si intende un processo gestionale olistico che identifica potenziali minacce a un'organizzazione e gli impatti sulle attività che quelle minacce, se realizzate, potrebbero causare, e che fornisce un framework per costruire resilienza organizzativa con la capacità di un'efficace risposta a un evento critico che salvaguardi gli interessi degli stakeholder chiave, della reputazione, del brand e delle attività che creano valore. E in particolare il Business Continuity Management System (BCMS, o Sistema di Gestione della Continuità Operativa) è una parte del complessivo sistema di management che stabilisce, implementa, monitora, rivede, mantiene e migliora la business continuity. Il Sistema di Gestione include la struttura organizzativa, le politiche, la pianificazione delle attività, le responsabilità, le procedure, i processi e le risorse[1].

Le organizzazioni - pubbliche o private che siano - di qualsiasi settore o dimensione che intendo preoccuparsi della propria continuità operativa devono stabilire, implementare, mantenere e migliorare continuamente il proprio sistema di gestione, considerando i processi necessari e le diverse interazioni tra gli stessi, in accordo con quanto previsto dalla Norma ISO 22301:2012.

La sfera di interesse della gestione della continuità operativa, diversamente da quanto spesso asserito, va ben oltre l'ambito esclusivamente informatico, includendo nel suo perimetro l'intera organizzazione e la sua capacità di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente.

L'obiettivo principale del business continuity management è quello di contribuire alla definizione di una struttura in grado di aumentare la resilienza organizzativa e la capacità di risposta a un evento critico, indipendentemente dalla causa che l'ha generato.

Standard e Norme di Riferimento[modifica | modifica wikitesto]

Nel mese di maggio del 2012 è stata pubblicata dall'International Organization for Standardization la Norma ISO 22301:2012 Societal security -- Business continuity management systems -- Requirements, alla quale nel mese di dicembre ha fatto seguito la Norma ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance. Nel mese di dicembre del 2015, invece, sono state emanate le seguenti Technical Specification correlate: ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA) e ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity.

In materia di Crisis Management, invece, nel mese di maggio del 2014 è stato pubblicato dal British Standards Institution la Norma BS 11200:2014 Crisis management -- Guidance and good practice.

Tutti questi Standard forniscono un metodo formalizzato per garantire che il Programma di business continuity e crisis management dell’organizzazione sia efficace e allineato alla cultura e ai requisiti dell'organizzazione. L’approccio dei Sistemi di Gestione è utilizzato anche per altre discipline - come l'Information Security (Norma ISO/IEC 27001:2013) e la Qualità (Norma ISO 9001:2015) e quindi un Business Continuity Management System può essere facilmente aggiunto poiché vi è una convergenza di tali Sistemi intorno a un testo standard comune.

Il Sistema di Gestione della Continuità Operativa[modifica | modifica wikitesto]

Contesto Organizzativo[modifica | modifica wikitesto]

Il punto di partenza per la corretta gestione della continuità operativa è la comprensione dell'organizzazione e del contesto in cui essa opera. Questo passaggio impone delle considerazioni preliminari sulla natura dell'organizzazione, sui suoi obiettivi, sulle opportunità e i vincoli derivanti dal contesto esterno e dalla cultura organizzativa in essere, ma anche su necessità e aspettative delle parti interessate (compresi i Regulator).

Sulla base di queste considerazioni è poi opportuno determinare il campo di applicazione del sistema di gestione della continuità operativa, motivando eventuali esclusioni dal perimetro.

Leadership[modifica | modifica wikitesto]

Altro aspetto di fondamentale importanza è dettato dalla leadership e dall'impegno verso il Programma di business continuity managament che deve essere dimostrato dall'organizzazione e in particolare dal suo Management, anche attraverso l'attribuzione di un budget che sia coerente con gli scopi prefissati. Questo impegno deve essere chiaramente espresso e comunicato all'interno della Policy, che deve anche definire i ruoli, le responsabilità e i poteri decisionali a tutti i livelli dell'organizzazione in materia di gestione della continuità operativa.

Pianificazione[modifica | modifica wikitesto]

Una volta definito pienamente il contesto e assicurata la leadership sul sistema di gestione, nella fase di pianificazione occorre darsi dei precisi obiettivi da raggiungere tramite l'implementazione del programma di business continuity, In questo processo è opportuno tener conto dei rischi e delle opportunità derivanti dal contesto, anche con l'obiettivo di definire un piano di azioni che supporti l'organizzazione nel conseguimento degli obiettivi di continuità operativa.

Supporto[modifica | modifica wikitesto]

A questo punto occorre dotare il programma di business continuity management di risorse adeguati agli scopi definiti. L'organizzazione deve fornire al team di business continuity management tutte le risorse necessarie a stabilire, implementare, mantenere e migliorare costantemente nel tempo il sistema di gestione della continuità operativa.

In primis, occorre garantire la competenza dello staff coinvolto nella gestione della continuità operativa e la sensibilizzazione di tutte le risorse umane sulla rilevanza di questa disciplina. L'incorporazione della business continuity nella cultura aziendale è un aspetto di fondamentale importanza per il successo del programma. Questo si può ottenere mediante l'organizzazione di campagne di formazione e di awareness da ripetere periodicamente nel tempo per garantire sempre l'aggiornamento del personale coinvolto a tutti i livelli.

Inoltre, l'organizzazione deve anche predefinire quali saranno le necessità a livello di comunicazione che saranno rilevanti per il corretto funzionamento del sistema di gestione della continuità operativa. Occorrerà dunque stabilire, implementare e mantenere procedure specifiche per:

  • gestire le comunicazioni interne tra le parti interessate e lo staff;
  • gestire le comunicazioni esterne con clienti, partner, comunità locale e altri stakeholder (inclusi i media);
  • ricevere, documentare e rispondere alle comunicazioni dalle parti interessate, anche in caso di evento critico.

L'organizzazione dovrà infine definire un set documentale ordinato che consenta la creazione, l'aggiornamento e il controllo costante nel tempo delle suddette informazioni documentate. Questo aspetto è particolarmente rilevante e costituisce uno dei principali fattori critici di successo per la business continuity. Specialmente in organizzazioni di grandi dimensioni, infatti, il turnover del personale è inevitabile e deve essere pianificato come parte del programma di continuità operativa. La soluzione ai problemi associati al turnover del personale si ottiene con l'utilizzo di una documentazione completa, aggiornata e ordinata. Questo assicura che il personale abbia sempre le informazioni necessarie per diventare rapidamente competente e produttivo. Al giorno d'oggi, diverse organizzazioni utilizzano dei software di document management, alcuni dei quali costruiti appositamente per la gestione della business continuity.

Operation[modifica | modifica wikitesto]

L'organizzazione deve quindi pianificare, implementare e controllare i processi necessari per raggiungere gli obiettivi definiti e rispettare i requisiti identificati. Anche questo passaggio è cruciale per una corretta gestione della continuità operativa e prevede tra le altre cose la nomina formale di un Business Continuity Manager dell'organizzazione che abbia un mandato chiaro da parte del top management per coordinare le attività relative al sistema di gestione.

Business Impact Analysis & Analisi delle Minacce[modifica | modifica wikitesto]

Queste analisi sono finalizzate a comprendere le priorità e i requisiti di business continuity. La Business Impact Analysis (BIA), nello specifico, è il processo di analisi delle attività e degli effetti che un'interruzione potrebbe avere su di esse[2] e consente di stabilire le priorità per il recupero dei processi critici mediante la definizione del Maximum Tolerable Period of Disruption (MTPD). L'Analisi delle Minacce, invece, promuove la comprensione dei rischi relativi ai processi critici, delle loro dipendenze e delle potenzial conseguenze in caso di interruzione. Queste attività costituiscono la base su cui vengono definiti - in fase di progettazione - i Recovery Time Objective (RTO) e i Recovery Point Objective (RPO), e su cui vengono selezionate le strategie e le tattiche di continuità operativa e le misure di mitigazione delle minacce.

Le Analisi in oggetto devono essere effettutate annualmente o comunque ogni volta che si dovesse verificare uno dei seguenti casi:

  • cambiamenti significativi nei processi organizzativi;
  • cambiamenti significativi del contesto esterno.

La ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)[3] è lo standard internazionale di riferimento per lo sviluppo di questa particolare tipologia di analisi.

Strategie di Business Continuity[modifica | modifica wikitesto]

L'identificazione e la valutazione di un range di strategie di business continuity consentono all'organizzazione di scegliere le opzioni più appropriate per prevenire un'interruzione dei processi critici e per fronteggiarla in caso di incidente. Le strategie selezionate forniranno le linee guida per la ripresa delle attività a un livello predefinito accettabile, entro i limiti temporali concordati.

Piani e Procedure di Business Continuity[modifica | modifica wikitesto]

L'implementazione di un Business Continuity Plan comporta la creazione di una struttura di risposta agli incidenti che monitori e coordini la fase di reazione a un evento critico, fino al ritorno alla normalità. È l'insieme di procedure documentate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello pre-definito le attività a seguito di un'interruzione e copre le risorse, i servizi e le attività richieste per assicurare la continuità delle funzioni organizzative critiche[4].

Il Piano inoltre rappresenta uno dei principali output del ciclo di vita della gestione della continuità operativa ed è declinato per qualsiasi tipo di organizzazione (pubblica, privata o anche no-profit) e per qualsiasi livello dell'organizzazione (strategico, tattico e operativo) con l'obiettivo di aumentarne la resilienza.

Il Business Continuity Plan può comprendere a sua volta dei piani specifici che includano procedure e informazioni particolari che - per motivi di migliore utilizzabilità e/o di dimensioni - è preferibile vengano trattate separatamente. A titolo esemplificativo, si pensi al Piano di Crisi, al Piano Pandemico o al Piano di Comunicazioni nella Crisi. Tali piani specifici fanno comunque parte del Business Continuity Plan dell’organizzazione.

Esercitazioni e Test[modifica | modifica wikitesto]

Nulla di quanto fatto finora è valido se non si prevede un'opportuna fase di esercitazione e test, che fornisce all'organizzazione l'opportunità di:

  • promuovere la sensibilizzazione del personale e lo sviluppo delle competenze;
  • assicurare che il sistema di gestione e le procedure di business continuity siano completi, aggiornati e appropriati;
  • identificare le opportunità per il miglioramento del programma.

Le esercitazioni e i test di continuità operativa devono essere effettuati a tutti i livelli. A livello strategico sarà opportuno prevedere delle Simulazioni di Scenari di Crisi, coinvolgendo il top management e - più in generale - il Crisis Management Team. A livello tattico verranno fatti dei functional test sui principali processi dell'organizzazione. A livello operativo verranno invece testati i piani di emergenza.

Valutazione delle Performance[modifica | modifica wikitesto]

Le esercitazione e i test, ma più in generale anche tutta la fase di monitoraggio, misurazione, analisi e valutazione del sitema di gestione della continuità operativa devono tenere conto di specifiche metriche di performance e di efficacia delle misure a protezione delle attività prioritizzate. Inoltre devono essere finalizzati a garantire la compliance rispetto ai requisiti predefiniti e la coerenza del set di informazioni documentate rispetto agli obiettivi di business continuity definiti nella policy.

A livello metodologico, invece, è importante anche che siano previste a intervalli regolari (almeno ogni due anni) degli internal audit approfonditi per verificare la conformità del sistema di gestione con le norme e gli standard di riferimento.

Tutte queste attività daranno un'idea al top management dei punti di forza e delle aree di miglioramento del programma di business continuity, per continuare a garantire che la gestione della continuità operativa sia adatta agli scopi dell'organizzazione, adeguata ed efficace nel definire procedure e costruire una capacità di risposta agli eventi critici.

Miglioramento Continuo[modifica | modifica wikitesto]

Le non conformità daranno quindi luogo ad azioni correttivi, nella logica del miglioramento continuo su cui la materia si fonda (Ciclo di Deming, Plan-Do-Check-Act).

Supply Chain Continuity Management (SCCM)[modifica | modifica wikitesto]

Il campo di applicazione del sistema di gestione della continuità operativa deve tenere conto anche delle interdipendenze con la catena di fornitura, che stanno diventando sempre più complesse, estese (spesso anche a livello internazionale) e mutevoli nel tempo, esponendo le organizzazioni a ulteriori rischi in caso di eventi critici o interruzioni. Per cui è particolarmente importante prevedere dei meccanismi di Supply Chain Continuity Management. Abitualmente, la relazione tra cliente e fornitore è vincolata a degli accordi contrattuali quali i Service Level Agreement (SLA) per le esternalizzazioni o gli Operational Level Agreement (OLA) per i servizi interni.

La ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity[5] è lo standard internazionale di riferimento per lo sviluppo di una capacità specifica di garantire la continuità operativa a fronte di interruzioni nella supply chain.

Note[modifica | modifica wikitesto]

  1. ^ (EN) ISO 22300:2012 - Societal security -- Terminology, su ISO. URL consultato il 28 gennaio 2017.
  2. ^ (EN) ISO 22300:2012 - Societal security -- Terminology, su ISO. URL consultato il 28 gennaio 2017.
  3. ^ (EN) ISO/TS 22317:2015 - Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA), su ISO. URL consultato il 29 gennaio 2017.
  4. ^ (EN) ISO 22300:2012 - Societal security -- Terminology, su ISO. URL consultato il 28 gennaio 2017.
  5. ^ (EN) ISO/TS 22318:2015 - Societal security -- Business continuity management systems -- Guidelines for supply chain continuity, su ISO. URL consultato il 29 gennaio 2017.

Voci correlate[modifica | modifica wikitesto]