Norma ISO 22301

Business Continuity e Disaster Recovery

Poche considerazioni sull’esigenza di Sicurezza Informatica e Continuità Operativa per garantire servizi e processi in caso di incidenti o semplici malfunzionamenti dei sistemi (è di qualche mese fa una brutta esperienza  livello mondiale per il semplice aggiornamento di un software vitale.)

Certificazione ISO 22301 Foundation

Storia della Business Continuity 

L’esigenza della continuità operativa nacque negli anni 70 negli USA a seguito della diffusione dell’ IT nelle aziende. Si iniziava a comprendere che in caso di malfunzionamento dei Sistemi IT non era facile tornare indietro ai processi manuali.

Anche a causa delle proteste minacciose di alcune popolazioni, si iniziò a pensare al bisogno della continuità operativa attraverso ingenti investimenti nel Disaster Recovery, (il timore di molte aziende e organismi governativi).

Si doveva prevenire l’interruzione di servizi vitali, sebbene avessero una bassa probabilità di accadimento.

Nei primi anni 80 si fecero i primi studi di “Business Impact Analysis“, soprattutto in ambito informatico. Tale filosofia, in breve tempo fu estesa anche ad altri settori aziendali, coinvolgendo la maggior parte dei processi.

Intanto sorgevano i primi standard di Sicurezza Informatica, riassunti nella Norma ISO/IEC 27001:2013 che suggerisce la  continuità operativa, ancora in termini di disponibilità dei dati.

Affiorava l’idea della necessità di fornire più protezione e resilienza a tutte le attività di un’organizzazione, oltre a quelle del settore IT.

Successivamente, anche a seguito dei fatti dell’11 Settembre 2001, si è cercato di definire lo standard della Continuità Operativa, arrivando alla formulazione della Norma ISO 22301:2012, rivista e migliorata nel 2019 e tradotta in italiano da UNI nel 2020.

Quindi, la versione corrente della Norma è:

“ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements”  in lingua Inglese.

La norma specifica i requisiti necessari affinché un sistema di gestione aiuti a proteggere e ridurre la probabilità di incidenti e assicurare alle attività la ripresa in seguito a interruzioni. In pratica, suggerisce una disciplina che consenta di essere resilienti agli incidenti che potrebbero causare interruzioni o blocco totale dei sistemi che supportano i processi aziendali.

Pertanto l’adozione della Norma sulla Continuità Operativa, mettendo ordine in azienda, può contribuire in modo significativo al miglioramento della prestazione dell’intera organizzazione.

La continuità operativa fornisce un quadro di riferimento della creazione del valore e del suo mantenimento, stabilendo dipendenze e vulnerabilità relative alla distribuzione del valore creato.

In ogni caso, la “Business Continuity” non va confusa con il “Disaster Recovery” che riguarda esclusivamente la riattivazione dei sistemi informatici, dopo un qualsivoglia “incidente”.

La “Business Continuity” abbraccia un campo molto più vasto con effetti su persone, sedi, risorse, fornitori e servizi pubblici in generale; si parla di emergenze, crisi, catastrofi, ben oltre un servizio di Disaster Recovery che ne fa parte.

La continuità operativa si appoggia principalmente su una buona gestione del rischio con la quale condivide molte caratteristiche. 

  • Business Continuity è la strategia più ampia che ha l’obiettivo di assicurare la “sopravvivenza” di tutte le funzioni essenziali dell’organizzazione.
  • Disaster Recovery è la strategia che ha come obiettivo la salvaguardia di funzioni specifiche dell’organizzazione ed è parte di un Piano di Business Continuity.

La gestione del rischio ha una portata maggiore  della Continuità Operativa, in quanto nelle grandi organizzazioni  la Continuità Operativa deve adeguarsi al quadro complessivo dei rischi aziendali. La Continuità Operativa si concentra sulle vulnerabilità organizzative e sul loro impatto (Business Impact Analysis).

La gestione del rischio cerca di identificare minacce e opportunità fuori del controllo dell’organizzazione, mentre la gestione della Continuità Operativa definisce come ridurre l’impatto a livello operativo, qualora si dovessero verificare un evento negativo. Quindi, la Continuità  Operativa combatte l’interruzione delle attività operative, mentre la gestione del rischio si preoccupa di  quantificare  l’impatto finanziario di un eventuale incidente, stabilendo dei piani di “Recovery” e delle riserve di contingenza per farvi fronte in caso di accadimento.

L’implementazione  di Continuità Operativa e Gestione del Rischio costituisce l’opportunità di rafforzare la resilienza di un’azienda, se ben coordinata.

In pratica, la gestione della Continuità Operativa prevede la gestione delle crisi. Le crisi possono implicare anche ulteriori aspetti se applicate a incidenti dovuti a eventi non operativi come la gestione dei media e la comunicazione con gli stakeholder esterni.

Cosa è la Business Continuity?

La Gestione  della Continuità Operativa  è un processo gestionale la cui funzione è identificare le possibili minacce per un’organizzazione, valutare quali potrebbero essere le conseguenze e individuare le contromisure più adeguate per annullare o ridurre al minimo le conseguenze negative. L’obiettivo della Business Continuity  è assicurare che, in caso di problemi, la capacità produttiva dell’azienda non ne risenta e i dati vengano protetti.

Oramai, molti documenti aziendali dipendono dalle tecnologie, pertanto se si ferma un sistema si rischia la paralisi se non è stata prevista un’alternativa.

Business Continuity Plan

Occorre munirsi di un buon Piano di Continuità Operativa:  fasi:

  • Individuare gli asset vitali per garantire la continuità di un servizio o processo.
  • Ipotizzare i possibili problemi che si possono verificare, interrompendo o riducendo il servizio.
  • Identificare le possibili soluzioni dei problemi che possono verificarsi.

Un volta concepito il Piano di Business Continuity bisogna anche provarlo in modo controllato, per accertarsi che la soluzione identificata sia effettivamente in grado di risolvere il problema ipotizzato.

Formulare e testare un piano di continuità operativa non è semplice; occorrono conoscenze, competenze ed esperienza, oltre a conoscere bene i propri sistemi informatici dai quali dipendono  la maggior parte dei processi aziendali.

Formazione

Alla base  di una iniziativa di Business Continuity c’è un minimo di formazione necessaria fin dai primi passi. E poiché, a livello mondiale, ci si lascia ispirare dalla Norma ISO 22301:2019 è bene conoscerne i contenuti e l’applicabilità al proprio contesto aziendale.

La Norma ISO 22301:2019 copre i seguenti argomenti:

  • Contesto dell’organizzazione,
  • Leadership,
  • Pianificazione,
  • Supporto,
  • Operazioni,
  • Valutazione della prestazione e
  • Miglioramento.

Questi temi costituiscono il contenuto del primo corso relativo alla Norma ISO 22301 di CertiProf:  Certificazione ISO/IEC 22301 Foundation (I22301F). A questo corso base, seguono atri due corsi per Auditor e Lead Auditor sulla Norma ISO 22301.

In questo periodo di grandi incertezze e continui pericoli di vario genere, cresce l’interesse per la Sicurezza Informatica  (vedi Certificazione ISO 27001 Foundation (I27001F®) e relative certificazioni successive).

PMTSI, in qualità di ATP (Authorized Training Partner) di CertiProf è a disposizione per fornire tutta la formazione delle persone a singoli professionisti e gruppi aziendali.

PMTSI  è  un

CertiProf-Partner

Certificazione ISO/IEC 22301 Foundation (I22301F)

  Modulo di Iscrizione

Modulo di Comunicazione

Portale delle Certificazioni dei Professionisti