info@dimitto.com   +39 800 629661

Dimitto Certification Services

Organismo di Certificazione ISO e Marcature CE

ISO 22301 e Continuità operativa

Ecco come lo standard internazionale aiuta le aziende ad operare sotto avverse condizioni o dopo il verificarsi di eventi dannosi.

Disastri, catastrofi naturali, emergenze ed epidemie quanto costano alla comunità? L’Italia si piazza nella top ten delle nazioni che tra il 1999 e il 2019 hanno subito perdite a causa di un sistema che non fa assolutamente prevenzione.

L’atteggiamento dei mass media e della opinione pubblica verso i disastri naturali, da un lato, e i disastri tecnologici o ambientali, dall’altro lato, è fortemente focalizzato. Mentre per le catastrofi naturali prevale ancora oggi un senso di impotenza e fatalità, per i disastri tecnologici o ambientali domina invece un senso di rabbia e ribellione: la loro prevedibilità̀ solleva una richiesta di giustizia che induce alla ricerca dei colpevoli e delle relative responsabilità̀ giuridiche, politiche e istituzionali.

Questi argomenti sembrano senza senso. Il più delle volte nell’affrontarli o proporli si è definiti come degli iettatori.

La qualità della vita a cui siamo abituati è consuetudine che sia considerata “scontata”. Le nostre abitudini giornaliere di vita lavorativa o di vita sociale/societaria sono considerate così automatiche tanto che in caso di necessità, di calamità o di incidente, arrivino e siano disponibili i soccorsi o gli interventi necessari per la continuità. 

Pensiamo e siamo convinti che la nostra “routine” sia garantita e che l’impegno possa interamente focalizzarsi sul come goderne al meglio. Cosa succederebbe se beni acquisiti come consuetudine in quest’ultimo secolo, tipo la corrente elettrica o l’acqua, non ci fossero più̀? Cosa succederebbe se non ci fosse più carburante per le nostre autovetture nei distributori della località in cui viviamo od operiamo? O se avessimo un infortunio e nessuno venisse a soccorrerci? È «improbabile»? … o cosa sta succedendo con l’emergenza di questi giorni relativamente alla pandemia Covid-19?… forse pensate che tutto ciò sia la trama di un libro di fantascienza o di un film?

Il mondo industrializzato ha realizzato nel corso degli anni un modello caratterizzato da un’elevata qualità della vita, intendendo con questa affermazione la possibilità di accedere ad un insieme di servizi e di opportunità̀ di base che vengono messe a disposizione ad ogni singolo cittadino affinché egli possa esprimere al meglio le proprie attitudini e soddisfare i propri bisogni. 

In quest’ottica fanno parte della qualità della vita i servizi di fornitura dell’energia, la tutela della salute, il sistema dei trasporti e il sistema bancario. La fruibilità di questi servizi di base è ormai data per scontata, tanto è vero che, nel caso non fossero più̀ disponibili, non sapremmo più come comportarci. Per meglio comprendere quest’ultima affermazione, vale per tutti il già citato esempio dell’erogazione dell’energia che, se venisse a mancare, metterebbe in seria difficoltà ognuno di noi in quanto non sapremmo più come riscaldare le nostre case, come alimentare le nostre autovetture, come far funzionare le nostre fabbriche… o più banalmente come far funzionare i nostri gadget informatici (personal, pad, smart phone eccetera). 

L’International Organization for Standardization (ISO), sensibile a queste problematiche, visti anche tutti gli eventi catastrofici e terroristici succedutisi dall’inizio del millennio, ha costituito un gruppo di lavoro con lo scopo di proporre e pubblicare norme tecniche internazionali che dovrebbero costituire un utile strumento in grado di assistere le organizzazioni nell’affrontare eventi che minano la sicurezza sociale e conseguentemente la continuità operativa prima, durante e dopo il loro accadimento. La salvaguardia della società e la tutela dei beni critici (infrastrutture) è divenuta una delle priorità per qualsiasi nazione contemporanea, anche se l’imprevedibile evoluzione del nuovo millennio rende sempre più ardua l’identificazione delle effettive minacce, così come la comprensione dei meccanismi alla base del loro concretarsi in eventi destabilizzanti. 

ISO 22301 e business continuity

Il primo documento di riferimento pubblicato dal sopracitato gruppo ISO per fornire un contributo metodologico alla gestione delle emergenze, che nello specifico affronta la tematica della preparazione agli incidenti e della gestione della continuità operativa è la ISO/PAS 22399:2007 Societal security – Guideline for incident preparedness and operational continuity management

Ecco che la business continuity da elemento di gestione di prevenzione dei disastri dell’organizzazione, viene elevata a rango di salvaguardia della sicurezza o meglio di tutte le risorse che costituiscono quella che abbiamo individuato come qualità della vita.

È nel corso del 2012 che sono state pubblicate le prime norme che formano l’ossatura della nuova famiglia ISO 22300 che prendono in considerazione l’argomento fondamentale la business continuity o meglio continuità operativa. Con la fine dell’anno 2019 è stata pubblicata la nuova versione della ISO 22301 con i requisiti per un Sistema di Gestione della Continuità Operativa. Mentre è proprio di questi giorni la pubblicazione della versione italiana della norma che prende il nome di UNI EN ISO 22301:2019 e dal titolo: Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti.

La ISO 22301 è stato il primo standard realmente accettato a livello internazionale sulla continuità operativa aziendale ed è stata inoltre la prima norma, prima ancora della ISO/IEC 27001, a utilizzare il layout HLS ora implementato in tutti i principali schemi di gestione.

La Norma ISO 22301 o anche UNI EN ISO 22301 stabilisce i requisiti per un efficiente Sistema di Gestione per la Continuità Operativa. Si tratta di un framework certificabile costituito da un insieme di prassi volte al mantenimento della continuità operativa sotto avverse condizioni, minimizzando l’impatto di potenziali incidenti su clienti, parti interessate (stakeholder) e sull’intero sistema aziendale e anche oltre.

Gli incidenti che possono accadere sia nel settore manifatturiero che terziario dei servizi e possono rallentare, se non addirittura bloccare le attività, con un diretto impatto su clienti e risultati. Pensiamo poi cosa sta accedendo in questi giorni con il COVID-19.

Queste situazioni possono verificarsi negli ambiti delle utilities, dei servizi IT, della sanità, della Pubblica Amministrazione e della finanza, ma anche nelle attività manifatturiere e, in generale, in tutti i settori manifatturieri.
Prevenire le interruzioni e avere in atto un buon piano d’emergenza risulta quindi essenziale per mantenere la continuità operativa del business sotto le condizioni più avverse.

La ISO 22301 sancisce l’importanza dei piani di business continuity (continuità opertiva) rispetto al disaster recovery: il disaster recovery (ripristino dell’emergenza) interviene a seguito dell’evento e della sua stabilizzazione (es. restore con back up specialmente negli ambienti ICT), mentre la business continuity agisce anche sugli aspetti preventivi e di risposta tempestiva ad un evento dirompente quale esso sia (es. tramite BIA Business Impact Analysis, BCP – Business Continuity Plan  specifici).

Ricordiamo inoltre che, anche se la continuità operativa non viene citata direttamente nel Regolamento UE 2016/679,  l’articolo 32 del GDPR è abbastanza esplicito: il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ed avere implementato una vera strategia di continuità operativa, che sia periodicamente testata in modo da poterne dimostrare l’efficacia.

Nel panorama economico odierno c’è una crescente necessità di affrontare la complessa gamma di minacce che possono danneggiare le operazioni aziendali. Pertanto, la capacità di un’organizzazione di continuare a operare durante un’interruzione non è mai stata così importante, e non sorprende che l’aggiornamento della ISO 22301 come lo standard internazionale leader per la continuità aziendale sia molto importante per professionisti e aziende in tutto il mondo.

Le indicazioni per il SGCO

La norma ISO 22301 è strutturata macroscopicamente in due blocchi:

  • dal capitolo 1 al capitolo 3: requisiti, spiegazione della norma e termini/definizioni
  • dal capitolo 4 al 10 i consigli per un SGCO:
    • Comprensione dell’organizzazione e del suo contesto
    • Leadership (commitment, ruoli e responsabilità)
    • Pianificazione
    • Supporto (risorse, competenze, awareness ….)
    • Funzionamento/Operatività
    • Valutazione delle prestazioni
    • Miglioramento continuo

che costituiscono gli elementi del programma di continuità operativa.

La norma ISO 22301 fornisce pertanto le indicazioni ed i requisiti per la messa in esercizio di un Sistema di gestione della Continuità Operativa (SGCO) certificabile.

Come tutte le norme certificabili (vedi ISO 9001, ISO 27001, ISO 20000 …ISO 14001) il ciclo PDCA è il motore dello standard. L’infrastruttura del SGCO (Sistema di Gestione della Continuità Operativa) si basa quindi sul ciclo continuo di miglioramento applicato in modo ininterrotto sull’organizzazione per verificare l’efficacia e l’efficienza nel conseguire i propri obiettivi.

Va evidenziato che il SGCO può differire da una organizzazione ad un’altra in funzione della dimensione dell’organizzazione e del tipo di attività, della complessità dei processi, della loro iterazione e della competenza del personale.

Infine le caratteristiche peculiari della norma sono:

  • porre l’accento sulla definizione degli obiettivi, sul monitoraggio delle prestazioni e dei parametri, portando la continuità operativa più vicino possibile al modo di pensare di chi governa l’azienda;
  • la dirigenza aziendale  ha responsabilità sulla leadership del BCMS, specificando le linee guida secondo le quali il manager deve dimostrare il suo coinvolgimento rispetto al sistema di gestione;
  • l’effettuazione una attenta pianificazione delle risorse e della loro preparazione (competenza e consapevolezza);
  • l’SGCO va impostato seguendo gli obiettivi e la propensione al rischio dell’azienda (Business Impact Analysis e Risk Assessment);
  • va posta una particolare attenzione ai requisiti relativi ai fornitori come strumento per accreditare la supply chain ed i clienti, adempiendo ai requisiti contrattuali.
  • è necessario prendere in considerazione le parti interessate determinando un maggiore allineamento con gli obiettivi organizzativi per la responsabilità sociale delle imprese.

Essendo uno standard ISO, oltretutto il primo che ha adottato il modello HLS, ha tutte le caratteristiche per l’integrazione con gli altri standard presenti nell’organizzazione. In coerenza con le altre norme certificabili è possibile avvalersi delle informazioni documentate già esistenti nell’organizzazione per gli altri sistemi di gestione:

  • controllo dei documenti e delle registrazioni
  • verifiche ispettive interne
  • non conformità
  • azioni correttive e preventive.

Conclusioni

La continuità operativa come processo non è nuova, i primi approcci risalgono agli anni 1970-80 quasi esclusivamente nell’ambito dei sistemi informatici, ed ha avuto un innalzamento di livello di attenzione con l’attentato terroristico alle Torri Gemelle di New York del 21 settembre 2011, con gli eventi naturali (inondazioni, uragani, tsunami… ) ed epidemici (aviaria… ) succedutisi da inizio secolo. E cosa succederà dopo l’epidemia mondiale del COVID-19, come verrà considerata questa pratica di prevedere e prevenire scenari disastrosi con epidemie ed essere pronti all’evenienza?

Anche se l’attenzione è di tutte le organizzazioni anche Italiane dopo l’avverarsi di eventi naturali (si pensi ai terremoti o alle inondazioni) è ancora una pratica poco recepita dal management in quanto considerata, al pari della sicurezza delle informazioni e/o la salvaguardia dei dati personali, una perdita di tempo e un gettare i soldi dalla finestra. 

Ma l’esperienza insegna: quante aziende hanno avuto problemi nel ripristinare il business dopo il terremoto dell’Aquila e/o quello dell’Emilia? … o dopo gli eventi naturali di innondazione o di fenomeni atmosferici?

Il processo di continuità operativa, non dimentichiamolo, è anche uno dei processi proposti in framework internazionali per la Gestione del Servizio (ITIL) o per la Governance aziendale (COBIT) ma soprattutto va preso in considerazione per essere adeguati a leggi e norme di settore (compliance).

Una maggior competenza e consapevolezza, come queste norme consigliano, si spera portino a considerare più positivamente la Gestione di un Sistema di Continuità Operativa delle Organizzazioni ed Enti, in particolare per quelli che si impegneranno a dimostrarlo ai propri stakeholders anche tramite la certificazione.

Share on LinkedIn Share on WhatsApp Share on Telegram

Ti consiglio la lettura di questi articoli

Gdpr-sicurezza dati-io 27991
La Sicurezza delle Informazioni nelle PMI
Attilio Rampano

Attilio Rampazzo

Information Systems Consultant, Trainer & Auditor

Il pensamento del giovedì

Ogni Giovedì mattina un gruppo di imprenditori illuminati riceve una mail. Puoi riceverla anche tu, gratis. Applicare i consigli che contiene richiede coraggio, il tuo.