I sistemi di gestione per la continuità operativa: lo standard ISO 22301.

Assicurare la continuità operativa delle attività di business a fronte di incidenti costituisce un requisito sempre più importante per ogni Organizzazione di ogni settore. L’interruzione della continuità operativa implica sempre più, oltre ai danni economici e competitivi facilmente immaginabili, anche danni di immagine (“reputation”) che possono compromettere la fiducia di attori chiave (mercati finanziari, aziende di credito, autorità di vigilanza e di accreditamento, azionisti, etc.) nella capacità dell’Organizzazione di assicurare adeguati livelli di servizio (“SLA”).

La continuità operativa (“business continuity”) è inoltre sempre più richiamata anche da requisiti legali e regolamentari. Basta citare a mero titolo di esempio il settore finance per le aziende soggette a vigilanza da parte di Banca di Italia (circolari 263 e 285), il settore public utility (vedi anche la Prassi di Riferimento UNI /PdR 6:2014 “Infrastrutture Critiche – Sistema di gestione della resilienza – Requisiti» con riferimento alla Direttiva 2008/114/CE del Consiglio Europeo), etc.  Il nuovo regolamento europeo per la protezione dei dati personali (GDPR) richiama espressamente requisiti di resilienza nel trattamento dei dati personali.

A livello internazionale il Business Continuity Institute (BCI) costituisce un punto di riferimento per la “community” di Professionisti e Imprese in materia di continuità operativa ed emana delle linee guida di buona prassi.

Anche se la continuità operativa si applica in modo particolare ai servizi IT ed alla relativa infrastruttura che li supporta, il campo di applicazione è più amplio e abbraccia di fatto tutte le attività aventi rilevanza per l’Organizzazione, inclusa la continuità della “supply chain” (vedi anche standard ISO 28000 per la sicurezza della supply chain):

Lo standard UNI EN ISO 22301:2014 “sicurezza della società – sistemi di Gestione della continuità operativa- requisiti” specifica i requisiti per un sistema di gestione finalizzato a prevenire o ridurre  la  possibilità di accadimento di incidenti atti a interrompere la continuità operativa ed in caso di incidente a  reagire a e recuperare le  interruzioni.

Lo standard ISO 22301 è strutturato sulla base dei requisiti dello standard ISO Annex SL e quindi è integrabile con altri sistemi di gestione ISO (tra cui i Sistemi di Gestione per la Qualità ISO 9001 e per la Sicurezza delle Informazioni ISO 27001, due standard molto correlati alla tematica della continuità operativa).

In estrema sintesi lo standard ISO 22301 evidenzia come, a fronte di una valutazione dei rischi e di una analisi dell’impatto degli incidenti sul business (BIA – Business Impact Analysis) l’Organizzazione debba definire le proprie strategie di continuità operativa e a fronte di tali strategie i relativi Piani di Continuità Operativa (“Business Continuity Plan”) e piani di recupero con le connesse procedure. Particolare rilevanza assumo i processi di comunicazione e di allarme nonché le unità di crisi che sono chiamate a gestire l’incidente.  Un aspetto spesso trascurato ma fondamentale è infine costituito dai test e dalle esercitazioni atte a verificare l’efficacia dei piani di continuità operativa posti in essere.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *