Business Continuity perché? È il tema sul quale si focalizza l'approfondimento odierno della Rubrica di S News, Il Dazebao della Security a cura di Cristhian Re, che propone un articolo scritto a quattro mani, grazie alla collaborazione di Federica Belleggia.
Buona lettura!
Ogni Organizzazione è un micro-cosmo che racchiude processi, attività e servizi in grado di mantenerlo in vita ma che allo stesso tempo sono strettamente connessi al contesto (leggasi anche comunità) in cui l’Organizzazione stessa è inserita. Cosa succederebbe se all’improvviso quei beni/servizi cessassero di essere erogati?
Non solo l’Azienda, ma addirittura il tessuto sociale, potrebbe subire seri danni. L’entità di tali danni è direttamente proporzionale alla tipologia e alla criticità di beni/servizi offerti: si pensi ad esempio a una società operante nel settore energetico, dalla cui attività dipenda l’erogazione di energia su vasta scala. Un improvviso black out provocherebbe l’interruzione di molti servizi essenziali che ne dipendono, come il funzionamento di ospedali, scuole, uffici, nonché gravi disagi alla popolazione.
La gestione della continuità operativa “consiste nella pianificazione, attuazione, gestione, monitoraggio e miglioramento di un sistema documentato che gestisca la protezione, la riduzione della probabilità di accadimento, la preparazione, la risposta e il ripristino di eventi destabilizzanti quando essi si manifestano” [Fonte: ISO 22301].
Il valore di un sistema di Business Continuity (BC) risiede in primo luogo nella sua capacità di aumentare la resilienza aziendale, cioè la “capacità di un’Organizzazione di adattarsi in un contesto complesso e mutevole” [Fonte: ISO 22301].
Lo scopo di un servizio di gestione della continuità operativa si realizza progettando un sistema che analizzi nel dettaglio il funzionamento dei processi aziendali, individui quelli critici a cui attribuire una priorità rispetto alla continuità dei servizi erogati e pianifichi una serie di misure tecniche e organizzative da attuare per supportare l’operatività di tali processi anche in situazioni straordinarie.
La ISO 22301 delinea gli aspetti principali che si sostanziano nella produzione di una serie di informazioni e procedure documentate che possono essere così schematizzate:
1. Contesto dell’Organizzazione: per istituire un sistema di gestione della continuità operativa è innanzitutto necessario comprendere le esigenze e le aspettative delle parti interessate e determinare il campo di applicazione su cui intervenire. Le informazioni documentate sono quindi riferibili ai requisiti di legge applicabili alla propria Organizzazione e all’ambito di applicazione del sistema di BC;
2. Leadership: è fondamentale che l’alta direzione esprima con chiarezza il proprio Commitment verso il progetto di BC e che lo trasmetta al Top Management, tale impegno viene formalizzato con la stesura della politica di BC che sia appropriata alle finalità dell’organizzazione, costituisca un quadro di riferimento per fissare gli obiettivi per la continuità operativa, comprenda un impegno a soddisfare i requisiti applicabili e sia tesa al miglioramento continuo;
3. Pianificazione: tale fase prevede l’identificazione degli obiettivi per la continuità operativa e i piani per il loro raggiungimento. Tali obiettivi dovranno essere coerenti con la politica, tenere conto di quali siano i livelli minimi della fornitura di prodotti e servizi ritenuti accettabili dall’Organizzazione, misurabili, monitorati e aggiornati;
4. Supporto: per garantire la massima efficacia del sistema di BC è necessario prevedere un adeguato numero di risorse per l’istituzione, l’attuazione il mantenimento e il miglioramento del Business Continuity Management System, la cui competenza sia documentata e definire un programma di comunicazione interno ed esterno relativo alla BC;
5. Attività Operative: la fase operativa prevede la pianificazione e il controllo operativi e la successiva attuazione delle procedure per la continuità operativa. Le informazioni che devono essere documentate riguardano la dimostrazione che i processi sono effettuati come previsto, la Business Impact Analysis (BIA), la valutazione del rischio, le procedure per la BC, per la risposta agli incidenti, per avvisi e comunicazioni relativi a un incidente e per il ripristino e il ritorno alle attività operative a seguito di un evento di indisponibilità.
L’attività core di questa fase è costituita dalla BIA, il processo di valutazione formale e documentato relativo agli impatti dell’interruzione delle attività che supportano la fornitura dei prodotti/servizi dell’Organizzazione. A seconda del livello di dettaglio e delle finalità alla base dell’analisi dei processi aziendali la BIA può essere, come riportato dalla “Good Practice Guidelines” – Edizione 2018 Business Continuity Institute:
– Iniziale;
– Prodotti e servizi;
– Processo;
– Attività.
Per ognuna delle suddette tipologie lo scopo della BIA è quello di valutare gli impatti nel tempo del mancato svolgimento dei processi in analisi, determinare in termini temporali le priorità per la ripresa delle attività ai livelli minimi concordati come accettabili dall’Organizzazione, identificare le dipendenze e le risorse a supporto di tali attività compresi i fornitori, i partner per l’outsourcing e altre parti interessate pertinenti.
Fig.1 – Esempio Business Impact Analysis
6. Valutazione delle prestazioni: successiva alla fase operativa c’è quella di monitoraggio, misurazione, analisi e valutazione delle prestazioni, che prevede di documentare le prove dei risultati di misurazione e monitoraggio, la programmazione di audit interni a intervalli pianificati e la prova della loro effettiva attuazione, il riesame, da parte della Direzione, del sistema di BC per assicurarne la continua idoneità, adeguatezza ed efficacia.
7. Miglioramento: infine, nell’ottica del miglioramento continuo dell’idoneità, l’adeguatezza e l’efficacia del BCMS, è necessario che l’Organizzazione conservi informazioni documentate quale evidenza delle non conformità e dei risultati di ogni azione correttiva.
In ragione del fatto che la BC deve essere un sistema documentato, elemento di vitale importanza è il set di piani/procedure da produrre a supporto del sistema stesso. Tale set è costituito dai seguenti documenti:
– Policy di Business Continuity Management: fornisce gli orientamenti e la direzione di un’Organizzazione in tema di continuità operativa;
– Piano di Disaster Recovery: è focalizzato sulle modalità con cui ridondare i dati contenuti nei sistemi informativi per garantire la continuità dei servizi che erogano ripartendo da dove si sono interrotti. Tale piano deve contenere un censimento delle applicazioni aziendali e le relative criticità, determinare il tempo massimo in cui l’Azienda può mantenere competitività ed evitare perdite economiche a seguito dell’interruzione del supporto informatico, individuare fonti di reperimento delle risorse informatiche alternative, definire RTO (limite temporale massimo di interruzione di un’applicazione) e RPO (massimo volume di dati che un’applicazione può perdere senza determinare il blocco completo del servizio);
– Piano di gestione delle crisi: contiene informazioni e linee guida di alto livello utili per indirizzare la risposta a un incidente grave, come i criteri con cui costituire un Team gestione crisi a livello aziendale e i compiti ad esso affidati, le strategie di contenimento a breve e a lungo termine, le modalità di comunicazione verso tutte le parti interessate, le strategie di protezione finanziaria, legale e reputazionale dell’Organizzazione;
– Piano di risposta ai media: contiene la pianificazione modalità e canali di comunicazione esterni in caso di crisi, l’identificazione degli attori interni e esterni verso cui gestire il flusso informativo, l’identificazione della/e persona/e appropriate per fornire la comunicazione, l’individuazione delle caratteristiche del portavoce ufficiale e l’assegnazione delle responsabilità del monitoraggio e modifica delle risposte delle parti interessate alle comunicazioni;
– Piano di continuità del servizio: contiene la predisposizione di strutture e soluzioni per garantire la continuità del servizio in caso di crisi, come l’identificazione del comitato di crisi, la predisposizione di strutture tecniche e procedure operative in caso di crisi, la definizione delle soluzioni di continuità, l’interrelazione del servizio con eventuali entità esterne, l’individuazione di infrastrutture di continuità e protezione fisica, l’identificazione di scenari di emergenza applicabili, la definizione della fase di gestione dell’emergenza e di ritorno alla normalità;
– Piano di emergenza: serve a pianificare la gestione delle situazioni di emergenza partendo dall’elencazione dei risultati della BIA, descrivendo le strategie di continuità individuate, gli scenari di emergenza possibili distinti in base al livello di gravità e associando specifiche attività di mitigazione a ciascuno degli scenari di emergenza previsti;
– Piano dei principali rischi: contiene la mappatura e l’analisi dei principali rischi per l’Organizzazione, che si ottiene tramite la raccolta di informazioni dai responsabili delle principali strutture aziendali, l’identificazione delle minacce specifiche che possono insistere su tali strutture, la definizione della probabilità di accadimento e dell’impatto di tali minacce, la classificazione dei rischi individuati in una heat map e l’individuazione delle priorità di intervento, la definizione delle contromisure necessarie a mitigare i rischi più gravi, l’analisi del rischio successiva all’applicazione delle contromisure individuate;
– Piano di pandemia: tale documento ha l’obbiettivo di prevedere la protezione di tutti i collaboratori da un eventuale contagio e il mantenimento dell’operatività dell’Organizzazione.
– Piano di ritiro del prodotto: stabilisce le procedure per terminare la distribuzione di un prodotto pericoloso, nonché la sua offerta;
– Continuità dei piani operativi: documento relativo alla pianificazione di creazione e sviluppo dei piani operativi per la risposta alle crisi da parte dell’Organizzazione che contiene la nomina della figura responsabile dello sviluppo di tutti i piani operativi, del rappresentante del piano operativo per ogni struttura organizzativa, la delineazione della struttura e del formato dei piani, la documentazione di collegamento con i piani di livello tattico. La stesura di tale documento prevede la circolazione della bozza del piano operativo tra le strutture di business e la raccolta dei loro feed-back, con l’eventuale modifica di tale bozza a seguito delle esigenze emerse.
Vantaggi e benefici per l’Azienda che sceglie di dotarsi di un sistema di gestione della continuità operativa sono innumerevoli e non si limitano alla prevenzione di perdite economiche. Essere in grado di rispondere efficacemente (sia in termini qualitativi sia temporali) ad un evento destabilizzante (sia esso provocato da una calamità naturale, da un attacco terroristico o cibernetico, o da un guasto operativo) diviene vero e proprio strumento di salvaguardia delle persone, di tutela e integrità degli asset aziendali e, non ultimo, dell’immagine e della reputazione del proprio brand. Non solo previene situazioni di interruzione dei servizi forniti (le cui conseguenze si potrebbero abbattere sulle comunità che da tali servizi dipendono), ma diviene altresì mezzo di diffusione della cultura (attraverso formazione ed esercitazioni) e, più in generale, dell’awareness (consapevolezza) sui processi interni, nonché di comunicazione ed interconnessione tra le strutture aziendali che presidiano questi ultimi.
di Cristhian Re e Federica Belleggia
Chi è Federica Belleggia?
Federica Belleggia, laurea con lode in Sociologia ricerca sociale e criminologica e Politiche per la sicurezza, ha lavorato presso una importante società di consulenza come esperta Privacy. Dal 2017 è ricercatrice della Direzione Group Security di A2A.
Chi è Cristhian Re?
Cristhian Re, Laurea in Scienze Politiche e Lettere Moderne, MA in Intelligence and Security, Ufficiale in congedo dei Carabinieri, Senior Security Manager, CBCI, PFSO, Lead Auditor ISO 9001, 27001, 22301, RSPP.