La continuità operativa è la capacità di fornire prodotti e servizi ad un livello accettabile prestabilito a seguito di un incidente che causa l’interruzione dell’operatività.
In conformità con questa definizione, il sistema di gestione della continuità operativa (Business Continuity Management System, BCMS) è la descrizione della metodologia organizzativa da attuare in modo olistico (globale, in continua espansione e in perenne aggiornamento) finalizzata a identificare le potenziali minacce per l’organizzazione e fornire delle linee guida per assicurare una risposta efficace, in modo da minimizzare eventuali interruzioni dell’operatività, salvaguardando gli interessi degli azionisti, la reputazione, il brand e rendere l’azienda resiliente contro gli eventi di contingenza.
Indice degli argomenti
Principi della continuità operativa
Ecco, quindi, quelli che sono i principi su cui si basa la continuità operativa:
- principio di responsabilità: ognuno è responsabile della gestione dei rischi che possono avere effetto sulla continuità dei processi operativi chiave dell’azienda. Tutti in azienda devono collaborare nel definire, implementare e mantenere un BCMS che possa essere utilizzato per ridurre al minimo i rischi e l’impatto sul servizio per i clienti;
- leadership e commitment: nell’esercizio dei suoi ruoli e responsabilità, il management deve garantire e incoraggiare, attraverso la loro condotta e azioni, che il BCMS sia adeguatamente implementato e realizzato nei suoi componenti, confermando che le politiche e gli obiettivi stabiliti per gestire la continuità aziendale siano allineati agli obiettivi di business e alla strategia aziendale;
- principio di resilienza: nell’ambito di un’adeguata cultura del rischio, uno dei principi essenziali di ogni azienda (intesa come tutte le sue unità operative, l’organizzazione e i dipendenti) deve essere la capacità di evitare o mitigare i rischi che vanno oltre la predeterminata propensione al rischio. Tutti devono inoltre essere in grado di adattarsi ad ambienti mutevoli e complessi, in modo da poter gestire eventuali scenari imprevisti che dovessero influire negativamente sui servizi forniti ai clienti;
- risorse adeguate: L’azienda deve disporre di risorse sufficienti per realizzare adeguatamente e gestire il proprio BCMS, prestando particolare attenzione alle risorse umane assegnate (in termini di competenze ed esperienza). Deve essere dotata di sistemi per gestire i dati e quanto attuato in ambito BCMS;
- risk challenging e monitoraggio: la valutazione del rischio dovrebbe essere lungimirante, con l’obiettivo di stimare lo sviluppo dei rischi in diversi scenari e orizzonti temporali. Di conseguenza, il BCMS deve includere meccanismi per garantire la verifica e il miglioramento continuo del sistema, in modo che possano essere individuati nuovi rischi o scenari di emergenza che potrebbero influenzare la normale esecuzione dei processi chiave dell’azienda. L’analisi d’impatto sui sottoprocessi, la Strategia aziendale, il Piano di Continuità Operativa e il Piano di Disaster Recovery devono essere regolarmente testati e riesaminati per garantire che siano validi nel tempo e che siano sufficienti per gestire nuovi rischi o cambiamenti significativi nell’organizzazione, nei processi aziendali o nei requisiti normativi.
Obiettivi del sistema di gestione della continuità operativa
Il sistema di gestione della continuità operativa deve permettere di perseguire i seguenti obiettivi:
- garantire la sicurezza del personale in caso di contingenza;
- assicurare le funzioni essenziali e garantire il servizio ai clienti;
- mantenere gli obblighi dell’azienda nei confronti dei propri dipendenti, clienti, azionisti e parti terze;
- ridurre al minimo le potenziali perdite finanziarie e l’impatto sulle attività aziendali;
- ridurre gli effetti sull’operatività, fornendo linee guida per recuperare e ripristinare le operazioni aziendali a seguito di uno scenario contingente;
- proteggere il brand e preservare l’immagine aziendale, la credibilità e la fiducia dei clienti;
- rispettare gli obblighi e i requisiti regolamentari.
Componenti del sistema di gestione della continuità operativa
Il sistema di gestione della continuità operativa prevede la realizzazione e la relativa rappresentazione di una serie di attività sequenziali riassumibili nei punti che seguono:
- analisi di impatto (Business Impact Analysis), con relativa valutazione del rischio (scenari di emergenza);
- strategia di continuità operativa (Business Continuity Strategy);
- piano di continuità operativa (Business Continuity Plan);
- piano di Disaster Recovery (Disaster Recovery Plan).
Deve essere garantita la tracciabilità delle attività svolte per la realizzazione di quanto previsto dal sistema di gestione della continuità operativa, attraverso la stesura di specifici documenti rappresentativi di quanto eseguito e dei risultati raggiunti.
L’insieme delle attività che si rendono necessarie al fine di realizzare e mantenere aggiornato il sistema di gestione della continuità operativa costituisce il cosiddetto “processo di gestione della continuità operativa”.
Esso deve essere rappresentato in specifico documento di mappatura in modo tale da individuare quali potrebbero essere i possibili fatti o atti al verificarsi dei quali si manifestano esigenze di aggiornamento e cambiamento, nonché le modalità secondo cui procedere e le responsabilità attribuite alle diverse strutture aziendali coinvolte.
Sistema di gestione della continuità operativa: l’analisi d’impatto
L’Analisi di Impatto si basa su una raccolta di informazioni a valere sui processi dell’Azienda, all’esecuzione effettiva dei quali intervengono le varie unità organizzative attraverso l’attuazione delle attività di loro competenza.
Ciascun Process Owner è responsabile dell’esecuzione dell’analisi dell’impatto aziendale e avrà la responsabilità di garantire che l’analisi segua la metodologia definita e che i risultati siano presentati in modo uniforme.
L’analisi di impatto si sviluppa attraverso l’esecuzione di due livelli di approfondimento e raccolta di informazioni:
- l’analisi di impatto di primo livello ha l’obiettivo di stabilire quali siano i processi critici dell’azienda. I processi critici sono quei processi che, se interrotti in modo imprevisto, avrebbero un grave impatto sulle operazioni aziendali (analizzati in diversi periodi di tempo). In questa fase vengono determinati anche i requisiti per il ripristino di questi processi nei periodi stabiliti e per un livello accettabile di servizio. Qui deve essere anche definita la priorità dei processi da recuperare in una situazione di emergenza; e conseguentemente deve essere perimetrato, dichiarandolo, l’insieme dei livelli di criticità che l’azienda ritiene di non inserire fra quelli da recuperare in una situazione di emergenza (assunzione del rischio);
- l’analisi di impatto di secondo livello viene effettuata sui processi risultati critici con il primo livello di analisi, e dunque da recuperare in una situazione di emergenza. Devono essere raccolte informazioni operative a valere sui processi dell’azienda (requisiti di recupero) correlate agli scenari di crisi previsti dall’organizzazione, utili sia per la determinazione di interventi migliorativi da rappresentare nella Strategia di Continuità Operativa e sia per il fondamentale disegno e relativa magnitudo delle soluzioni da rappresentare nel Piano di Continuità Operativa.
Per l’esecuzione dell’analisi di impatto vengono utilizzati due strumenti:
- matrice per la raccolta dei dati dell’analisi della criticità;
- questionario per la raccolta dei requisiti di recupero.
Sistema di gestione della continuità operativa: la continuity strategy
La strategia di continuità operativa (Business Continuity Strategy) determina le strategie che consentono il recupero dei processi aziendali critici, riducendo al minimo gli impatti negativi, attraverso la raccolta dei dati effettuata nell’Analisi d’Impatto e dagli scenari di contingenza identificati nella fase precedente.
Le unità organizzative dell’azienda, specificatamente identificate anche in funzione dei risultati dell’Analisi d’Impatto, sono responsabili della definizione delle strategie di continuità, con l’assistenza delle funzioni di supporto applicabili.
Devono assicurare che le soluzioni proposte siano complete, analizzando le possibili sinergie che potrebbero derivare dalle strategie definite da ciascuna funzione. Inoltre, gli scenari e le strategie cyber e tecnologici saranno supervisionati dalla funzione IT.
L’attività consiste nello svolgere quanto segue:
- identificazione delle possibilità di continuità strategica: vengono stabilite strategie di continuità per almeno i seguenti tipi di scenari:
- scenari con un impatto sulle infrastrutture in cui vengono eseguite le operazioni critiche dell’azienda;
- scenari con un impatto su applicazioni, infrastrutture o apparecchiature o linee di comunicazione necessari per eseguire le operazioni critiche dell’azienda;
- scenari informatici che possono arrestare operazioni critiche influenzando uno o più tipi di risorse, come server (HW), applicazioni (SW), computer degli utenti finali, database ecc. (ad esempio, collisioni prolungate del sistema o impatto sull’integrità/disponibilità dei dati a causa di attacchi di tipo cyber come: DDoS, infezioni da malware, ransomware ecc.);
- scenari con un impatto sulle persone, che comportano l’indisponibilità temporanea o la perdita di personale chiave che supporta le operazioni critiche dell’azienda;
- scenari con un impatto su servizi / fornitori chiave; come specificato negli accordi societari con terze parti, nel controllo del modello del fornitore e nella politica di certificazione, devono essere predisposti i controlli appropriati per garantire che tutti i fornitori che supportano processi critici abbiano un piano di continuità operativa per il servizio da loro fornito, che deve essere regolarmente mantenuto e testato.
- scelta di strategie di continuità: le alternative strategiche identificate nel punto precedente devono essere valutate e selezionate in base a:
- efficienza: caratteristiche tecnologiche (completezza e qualità della soluzione) e caratteristiche operative (impatto sui processi esistenti e velocità dell’opzione nel processo di recupero);
- rischio residuo: livello di rischio (per il processo di recupero) derivante dall’applicazione di ciascuna opzione individuata;
- investimento: impatto economico dell’attuazione dell’opzione;
- sinergie: livello di compatibilità con diverse soluzioni valutate per diversi elementi di recupero; si tratta di un passo fondamentale nella creazione di una soluzione globale per l’intero scenario di emergenza.
Il piano di continuità operativa
Il piano di continuità operativa (Business Continuity Plan) è un documento o una serie di documenti contenenti protocolli e informazioni che descrivono i meccanismi che l’azienda attua per continuare a garantire l’operatività in caso di emergenza e per essere in grado di recuperare processi critici che sono stati interrotti e stabilire un servizio minimo predefinito.
Ogni unità organizzativa direttamente interessata dalle criticità emerse in sede di analisi d’impatto, deve collaborare proattivamente affinché il piano di continuità operativa sia sviluppato, implementato, mantenuto e testato (almeno una volta l’anno), tenendo conto degli aspetti descritti nelle sezioni precedenti.
Il responsabile del piano di continuità operativa è responsabile della supervisione del piano di continuità operativa definito, deve garantire che sia completo e coerente, eseguendo una prova adeguata a verificare che i rischi identificati siano mitigati.
L’obiettivo del piano di continuità operativa è la definizione e formalizzazione dei protocolli di azione per garantire le operazioni necessarie per gestire il rapido recupero dell’attività critica dopo un evento contingente, in modo da:
- ridurre i tempi di reazione, risposta e recupero;
- minimizzare i costi del recupero;
- prevenire confusione e ridurre il margine di errore nel processo di recupero;
- assicurarsi che le attività non siano duplicate e stabilire chiaramente le responsabilità e i ruoli coinvolti in ogni attività di recupero.
Piano di Disaster Recovery
Del complessivo piano di continuità operativa dell’azienda fa parte anche il piano di Disaster Recovery predisposto per fronteggiare eventi che comportino l’indisponibilità del sistema informativo “locale”, ancorché formalizzato mediante uno specifico documento.
Il piano di Disaster Recovery deve essere, dunque, un documento o una serie di documenti definiti per garantire che le applicazioni e le infrastrutture tecnologiche possano essere recuperate nel caso di loro indisponibilità.
Il piano di Disaster Recovery dovrà essere costantemente aggiornato, testato e considerato parte integrante del piano di continuità operativa.
Non saranno oggetto del piano di Disaster Recovery dell’azienda le attività necessarie per la ripartenza dei sistemi informativi dislocati presso gli outsourcer informatici e gli altri fornitori esterni.
Le circostanze che potranno richiedere l’attivazione delle soluzioni descritte nel piano di Disaster Recovery sono le stesse prese in considerazione per la stesura del piano di continuità operativa.