Soprattutto in questo periodo è estremamente attuale essere in grado di pianificare la continuità operativa delle imprese, almeno per quanto possibile.

Anche le aziende più preparate a gestire la business continuity, forse, non hanno previsto una pandemia come quella del Covid-19, o forse si erano prefigurati scenari diversi, nei quali le persone non sono in grado di andare al lavoro a causa di epidemie di influenza o altre cause. In questa fase che stiamo attraversando l’assenza di personale non è dovuta – nella maggior parte dei casi – allo stato di malattia delle persone, ma alla necessità di “isolamento sociale” delle risorse umane di un’intera azienda. Per certi aspetti, dunque, il panorama è meno catastrofico, in quanto le persone sono quasi tutte operative ed in grado di lavorare, ma non possono accedere ai locali aziendali per un periodo di tempo che potrebbe essere considerevole.

Come potrebbe (o poteva) l’azienda lungimirante e preparata, affrontare situazioni di emergenza come questa che stiamo attraversando? O meglio, come potrà pensare di affrontarle in futuro se si verificheranno?

Ci viene in soccorso lo standard UNI EN ISO 22301 (Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti titolo originale “Security and resilience – Business continuity management systems – Requirements”), recentemente revisionato (edizione 2019) e tradotto in italiano dall’UNI e pubblicati a febbraio 2020.

Come già visto in un precedente articolo sulla vecchia versione della norma (pubblicata dall’ISO nel 2012) , lo standard specifica i requisiti per progettare, implementare e gestire efficacemente un Sistema di gestione della continuità operativa.

Le modifiche alla norma non hanno aggiunto nuovi requisiti, ma solamente chiarito quelli già presenti, allineato la norma alle altre norme sui sistemi di gestione e riorganizzato il capitolo 8, vero cuore dello standard.

Il sistema di gestione della continuità operativa (business continuity management system o BCMS) enfatizza l’importanza di:

• comprendere le esigenze dell’organizzazione e le necessità per stabilire la politica e gli obiettivi per la continuità operativa;
• gestire e mantenere processi, capacità e strutture di risposta per garantire che l’organizzazione sopravviva a interruzioni;

• implementare e rendere operativi controlli e misure per gestire la capacità di un’intera organizzazione nella gestione delle interruzioni (discontinuità) dell’operatività dovute a cause accidentali;
• monitorare e riesaminare le prestazioni e l’efficacia del sistema di gestione della continuità operativa;
• migliorare in modo continuo il BCMS basato su metriche qualitative e quantitative (obiettivi misurabili).

Si ricorda che anche la norma ISO/IEC 27031 “Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity” tratta la business continuity, ma nel contesto dell’ICT e delle tecniche di sicurezza strettamente correlata alla ISO 27001 che contiene i requisiti per la certificazione dei sistemi di gestione della sicurezza delle informazioni.

La ISO 22301 evidenzia i componenti chiave del sistema di gestione della continuità operativa, peraltro presenti anche in altri sistemi di gestione. Tra essi la politica, le persone con le loro responsabilità definite, la gestione dei processi correlati a politica, pianificazione, attuazione e funzionamento del BCMS, valutazione delle prestazioni, riesame di direzione e miglioramento, nonché le informazioni documentate in grado di fornire evidenze verificabili anche tramite audit sul sistema di gestione della continuità operativa.

Il vantaggio di disporre di un BCMS correttamente funzionante è quello di far sì che l’organizzazione sia preparata – attraverso processi, procedure, responsabilità, risorse, controlli, competenze, ecc. – a mantenere l’operatività a seguito di un’interruzione, ovvero di un evento destabilizzante (in inglese viene utilizzato il termine “disruption”) che mina i processi operativi critici.

Anche questa norma recepisce il metodo del “PLAN DO CHECK ACT” già noto da altre norme dei sistemi di gestione.

Per questa norma il concetto di “parti interessate” o stakeholders è molto importante in quanto una discontinuità (interruzione) nell’operatività dell’organizzazione, una indisponibilità dei servizi essenziali per i clienti, un fermo delle attività produttive per un periodo più o meno lungo, possono causare danni, sia dal punto di vista commerciale, sia da quello finanziario, ma anche da quello delle altre parti interessate, quali personale interno, individui della collettività che subiscono danni anche fisici, fornitori, ecc..

Scopo della norma per la gestione della business continuity è quello di specificare i requisiti atti proteggere l’organizzazione da interruzioni quando accadono, ma non solo. Il BCMS ha anche l’obiettivo di ridurre la probabilità che tali eventi negativi avvengano, prepararsi ad essi e rispondere in modo adeguato a ripristinare l’operatività nel più breve tempo possibile qualora si verifichi un evento che provoca l’interruzione dell’operatività. Naturalmente non si può pensare che un’azienda metta in atto azioni volte a prevenire calamità naturali o pandemie, ma – facendo un esempio estremamente attuale – una volta che sia stata conclamata un’epidemia su larga scala, potrebbe porre in essere misure volte a prevenire il contagio fra i dipendenti e, quindi, volte ad evitare che si verifichi un’interruzione totale dell’operatività aziendale causata da un contagio interno molto diffuso. Questo, naturalmente, al di là delle decisioni e delle disposizioni governative che hanno limitato l’operatività di molte attività, ma non di tutte. Addirittura alcune aziende dovevano porsi l’interrogativo se chiudere anticipatamente in base alla probabilità di contagio nella propria zona fra personale dipendente.

La norma ISO 22301 definisce alcuni termini specifici sulla materia tra cui il termine di continuità operativa (business continuity), piano di continuità operativa (business continuity plan), analisi di impatto operativo (business impact analysis o BIA).

Oltre ad altri termini consueti delle norme della serie ISO 9000, altro termine significativo mutuato dalle norme della serie ISO 27000 è quello di incidente che è definito come “evento che può o potrebbe condurre ad un’interruzione, a una perdita, a un’emergenza o a una crisi” Al proposito la norma utilizza spesso il termine interruzione che rappresenta “un incidente che causa una deviazione negativa, non pianificata dell’erogazione prevista dei prodotti e servizi secondo gli obiettivi di un’organizzazione”; modificando significativamente la definizione della precedente versione della norma, forse più concreta e facilmente comprensibile ai più.

Verranno successivamente introdotti dalla norma degli indicatori specifici per questa tematica come:

• Maximum Tolerable Period of Disruption (MTPD) ovvero il tempo massimo accetabile che può trascorrere a fronte degli impatti negativi conseguenti ad una interruzione come risultato della mancata fornitura di un prodotto, erogazione di un servizio o svolgimento di un’attività operativa.
• Recovery Time Objective (RTO): periodo di tempo entro il quale – dopo l’interruzione – i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati ad un livello minimo accettabile.

Il capitolo 4 della norma denominato “Contesto dell’organizzazione” contiene gli elementi per comprendere il contesto dell’organizzazione, tra cui i fattori interni ed esterni che influenzano la sua capacità di conseguire i risultati del BCMS. La norma stabilisce che nell’ambito del Sistema di gestione per la continuità operativa debbano essere identificati i requisiti dell’organizzazione e delle sue parti interessate, che dovranno essere tenuti in debito conto nella progettazione del sistema di gestione dell’organizzazione

Tra i requisiti da prendere in considerazione viene dedicato un punto specifico ai requisiti legali e regolamentari, ovvero quei requisiti cogenti che determineranno gli obiettivi di minima del BCMS e dei piani di continuità operativa. Ciò aiuterà nella definizione dello scopo e campo di applicazione del sistema di gestione di continuità operativa. A tale riguardo la norma stabilisce le modalità attraverso le quali l’organizzazione deve stabilire i confini del BCMS e quali processi, prodotti e servizi sono compresi nel sistema di gestione e quali parti dell’organizzazione agiscono all’interno di esso, dettagliando eventuali esclusioni che, comunque, non possono influenzare negativamente i risultati del sistema di gestione ed i livelli di operatività stabiliti nell’analisi di impatto.

Al punto 4.4 la norma stabilisce che l’organizzazione deve implementare, mantenere attivo e migliorare continuamente un sistema di gestione della continuità operativa, inclusi i processi necessari e le relative interazioni fra essi, in accordo con i requisiti di questo standard internazionale (ISO 22301).

Il capitolo 5 della norma è denominato “Leadership”. In esso la norma stabilisce che l’alta direzione (ovvero il top management) deve possedere leadership e dimostrare un impegno preciso rispetto al sistema di gestione per la continuità operativa. L’impegno del management viene poi esplicitato attraverso una serie di responsabilità della direzione relative al sistema di gestione quali, ad esempio, assicurare che politiche ed obiettivi siano stabiliti, che le risorse necessarie siano messe a disposizione e che vi sia un’adeguata comunicazione all’interno dell’organizzazione relativamente ai requisiti del sistema di gestione della continuità operativa.

Sono poi stabiliti requisiti relativi alla definizione della politica per la continuità operativa e la definizione della struttura organizzativa dell’organizzazione, quindi la definizione di ruoli responsabilità ed autorità.

Il capitolo 6, denominato “Pianificazione” stabilisce che:

• L’organizzazione deve attuare azioni rivolte ad affrontare i rischi ed alle opportunità, in particolare assicurando che il sistema riesca a perseguire gli obiettivi ed i risultati stabiliti, prevenire o ridurre gli effetti indesiderati sul BCMS e mirare al miglioramento continuo.
• Vengano definiti obiettivi per la business continuity e soluzioni/piani per raggiungerli; tale aspetto, con le dovute modifiche, è del tutto analogo ad altri sistemi di gestione: gli obiettivi devono essere misurabili, devono essere monitorati, occorre stabilire chi è responsabile, che cosa deve fare, quali risorse sono richieste, quando dovranno essere completate le azioni finalizzate al perseguimento degli obiettivi e come dovranno essere valutati i risultati. Unica differenza rispetto ad altri sistemi di gestione è che nella definizione degli obiettivi bisognerà tenere conto di un livello minimo di servizio o di prodotto fornito ritenuto accettabile dall’organizzazione nel raggiungimento dei suoi obiettivi.

Viene anche chiarito, in una nota, che i rischi di questa sezione sono quelli che influenzano l’intero BCMS, non i rischi che minacciano la continuità operativa, trattati al successivo punto 8.2.

Il capitolo 7 della norma denominato “Supporto” stabilisce i requisiti per alcune attività e processi di supporto, quali – in generale – la gestione delle risorse, le competenze del personale, la consapevolezza dello stesso personale relativamente al sistema di gestione della continuità operativa e la comunicazione, sia essa interna che esterna. In particolare, per questo tipo di sistema di gestione, le modalità ed i mezzi di comunicazione sono molto importanti per garantire la continuità del servizio anche durante i periodi di indisponibilità delle risorse critiche.

Infine, l’ultima parte di questo capitolo è dedicato alle informazioni documentate, i cui requisiti relativi riguardano le modalità di gestione di documenti, dei dati e delle registrazioni richieste dalla norma.

A questo riguardo è opportuno precisare che, nell’ambito della business continuity, i documenti – in particolare i piani, le procedure e le istruzioni operative – necessarie per ripristinare nel più breve tempo possibile i servizi richiesti durante i periodi di crisi successivi ad un’interruzione, dovrebbero essere accessibili dai responsabili nominati, dunque occorre prevedere supporti alternativi per i documenti che potrebbero non essere disponibili nel formato originario, su supporto elettronico o cartaceo. Pertanto, tali documenti dovrebbero essere resi disponibili su supporti ed ubicazioni realmente utilizzabili in funzione del tipo di crisi (scenario) previsto in fase di pianificazione.

Il capitolo 8 della norma, denominato “Attività operative”, è quello che è stato maggiormente modificato rispetto alla versione precedente della norma e rappresenta il cuore della ISO 22301 in quanto tratta gli aspetti di pianificazione e controlli operativi, l’analisi di impatto e la valutazione dei rischi e, infine, la strategia di business continuity e le relative soluzioni adottate, ovvero tutto ciò che l’organizzazione intende fare per garantire la continuità operativa, compresa la definizione dei business continuity plan o piani di continuità operativa, la loro applicazione e test/esercizio.

Nei suddetti paragrafi sella sezione 8 vengono specificate, tra l’altro, le modalità di effettuazione e documentazione della analisi di impatto operativo e della valutazione del dei rischi, per la quale può essere preso come riferimento quanto indicato nella ISO 31000 (UNI ISO 31000 – Gestione del rischio – Principi e linee guida). Occorre precisare che sia l’analisi di impatto sia la valutazione dei rischi dovranno prendere in considerazione i rischi che possono impattare la continuità operativa, quindi i rischi che si verifichino incidenti distruttivi che portino a situazioni di crisi o di interruzione dell’operatività e, conseguentemente, a situazioni insostenibili per i requisiti stabiliti di continuità operativa e per la propensione al rischio dell’organizzazione. A fronte di tali situazioni, in base ai risultati della valutazione dei rischi, dovranno essere determinate e poste in essere le azioni conseguenti per mantenere la continuità operativa.

Le soluzioni per garantire la continuità operativa devono essere finalizzate a:

• rispettare i requisiti di continuità e di recupero delle attività prioritarie entro le tempistiche prestabilite e capacità concordate;
• proteggere le attività prioritarie dell’organizzazione;
• ridurre le probabilità di un’interruzione;
• accorciare la durata di un’interruzione entro limiti tollerabili;
• limitare l’impatto di un’interruzione sui prodotti e servizi dell’organizzazione;
• provvedere alla disponibilità di risorse adeguate a poter affrontare le situazioni di crisi.

Le soluzioni identificate devono essere scelte in base ai requisiti da soddisfare, i rischi ritenuti accettabili, i costi ed i benefici. Per attuarle dovranno essere stabiliti i requisiti e le necessità di risorse umane, tecnologiche, infrastrutturali, ecc.

Il punto 8.4 della norma fornisce indicazioni su come progettare i piani di continuità operativa e le procedure da mettere in atto per garantire la continuità operativa dell’organizzazione a fronte di un’interruzione.

Il capitolo 9 della norma tratta la “Valutazione delle prestazioni”. Vengono qui illustrati i requisiti relativi al monitoraggio, alle misurazioni, all’analisi ed alla valutazione dei processi che hanno un impatto sulla continuità operativa; in particolare vengono esplicitati i requisiti relativi ad indicatori e metriche finalizzate al monitoraggio dell’efficacia del BCMS.

Nel capitolo 9 vengono anche trattati i requisiti standard per i sistemi di gestione riguardanti gli audit interni ed il riesame di direzione. Anche qui, rispetto alle altre normative sui sistemi di gestione, il focus è sui rischi risultanti dall’analisi di impatto e sul risk assessment.

Nel capitolo 10, denominato “Miglioramento”, sono trattati le non conformità, le azioni correttive ed il miglioramento continuo. Relativamente a non conformità ed azioni correttive la gestione è analoga ai sistemi gestionali descritti nelle altre normative sui sistemi di gestione (ISO 9001 in primis). Sono inoltre introdotte le azioni che vengono messe in atto al fine di perseguire il miglioramento continuo del sistema e delle sue prestazioni.

Premesso ciò, le non conformità relative al sistema di gestione della continuità operative – normalmente incidenti ed altri eventi che hanno generato interruzioni oltre ad altre situazioni nelle quali si verifica il non soddisfacimento dei requisiti procedurali – dovranno essere identificate e dovranno essere attuate prontamente correzioni per eliminare, quando possibile, gli effetti della non conformità stessa e le relative conseguenze. Inoltre, si deve valutare la necessità di intraprendere azioni correttive finalizzate ad eliminare le cause della non conformità.

In conclusione, le organizzazioni che vorranno adeguarsi a tale normativa e certificarsi secondo le proprie esigenze di business, quasi certamente avranno già messo in atto e certificato un sistema di gestione per la qualità ISO 9001, ma probabilmente alcune di queste organizzazioni avranno anche già implementato il sistema di gestione della sicurezza delle informazioni ISO 27001, pertanto lo sforzo per conformarsi a questa norma sulla business continuity non sarà eccessivo. Infatti, molti requisiti sono comuni fra la norma ISO 22301 e la norma ISO 27001 nella quale esiste già un obiettivo di controllo riguardante la continuità operativa che impone di predisporre uno o più business continuity plan per garantire la continuità nell’erogazione del servizio o nella produzione, ma a fronte di interruzioni dovute a indisponibilità di informazioni.

Al proposito occorre notare che la norma tratta la gestione di tutti i tipi di discontinuità o interruzioni di servizio, non necessariamente solo quelli legati all’indisponibilità dei sistemi informatici, anche se quasi tutte le organizzazioni vedono come principale pericolo per la propria continuità operativa il blocco dei sistemi informatici che ormai governano quasi tutte le attività aziendali.

Gli esempi di situazioni nelle quali la continuità operativa non è minacciata da interruzioni e disastri legati ai sistemi informatici sono sotto i nostri occhi in questo periodo.