domenica, 18 Maggio 2025
type here...
In Primo PianoNormativeReport

Iso 22301 – Come implementare la business continuity nell’organizzazione

By Federica Maria Rita Livelli

La business continuity è una disciplina basata sul buon senso, che si occupa di garantire la capacità di un’organizzazione di continuare a fornire prodotti e servizi a livelli accettabili anche in situazioni avverse. Le organizzazioni, in un contesto attuale segnato da policrisi, perma-crisi e frequenti attacchi informatici, devono necessariamente adottare un approccio articolato e sistematico che includa: prevenzione, protezione, preparazione, mitigazione, risposta, business continuity e ripresa.

Oggigiorno, non è più sufficiente avere solo un piano di risposta; è necessario implementare un processo continuo e gestito per assicurare la sopravvivenza e la sostenibilità delle attività chiave prima, durante e dopo eventi dirompenti. Di fatto si tratta di prendere coscienza che il problema non è se un evento avverso (i.e. una crisi, una pandemia, un attacco cyber, ecc) interromperà la nostra operatività, ma quando ciò accadrà. Pertanto, è fondamentale, anzi, indispensabile, allenarsi costantemente per le emergenze, affinché al loro verificarsi si disponga delle risorse comportamentali e operative necessarie per gestirle efficacemente.

I principi di business continuity supportano questo approccio, concentrandosi sulla costruzione e il miglioramento continuo della resilienza aziendale, in accordo con la norma ISO 22301.

Iso 22301:2019 – “Societal security — Business continuity management systems — Requirements” -: che cos’è e perché è importante

La norma ISO 22301 – “Societal Security — Business Continuity Management Systems Requirements”, aggiornata nel 2019, definisce i requisiti per un Business Continuity Management System operativa (BCMS) efficace, applicabile a organizzazioni di qualsiasi tipo, settore e dimensione.

Anche la ISO 22301 adotta la Harmonized Structure (HS), tipica di tutti gli standard che definiscono un management system. È doveroso evidenziare che un management system apporta valore in quanto, grazie alla sua progettazione, permette a un’organizzazione di adempiere a diversi standard, a requisiti normativi e ad altri obblighi attraverso un solo sistema di gestione. Inoltre, è importante ricordare che le organizzazioni, spesso, devono far fronte a molteplici fonti di requisiti che influenzano la pianificazione delle attività. Pertanto, uno standard di gestione come l’ISO 22301 funge da “ombrello”, capace di rispondere in modo flessibile alle esigenze di business continuity di ogni organizzazione.

La struttura della ISO 22301 e la sua implementazione – Lo standard ISO 22301 è così strutturato

  1. Introduzione

1. Ambito
2. Riferimenti normativi
3. Termini e definizioni
4. Contesto dell’organizzazione
5. Leadership
6. Pianificazione
7. Supporto
8. Attività Operative
9. Valutazione delle prestazioni
10. Miglioramento

Business continuity: quali vantaggi per l’impresa – Attraverso la implementazione della ISO 22301, un’organizzazione ottiene diversi benefici, tra i quali:

  • Migliore conoscenza dei processi – La corretta mappatura dei processi aziendali contribuisce a identificare i processi critici per il business e le soluzioni per il ripristino dei processi; una migliore capacità di reazione, mediante procedure operative chiare e mirate; la definizione dei team con ruoli e responsabilità definiti e adeguato addestramento.
  • Miglioramento della Resilienza – Una migliore capacità di gestire e di superare eventi critici, assicurando la continuità dei servizi e dei prodotti.
  • Conformità Normativa -Un maggiore adempimento dei requisiti normativi e contrattuali.
  • Miglioramento della Reputazione – Rafforzamento della fiducia dei dipendenti e degli stakeholder, dimostrando la capacità di gestire le crisi e garantire la continuità dei servizi.
  • Riduzione dei Costi – Un sistema di gestione della continuità operativa ben strutturato può diminuire i costi legati a interruzioni dei servizi e incidenti.
  • Migliore posizionamento competitivo – Maggiore affidabilità della fornitura con impatto positivo sui clienti; maggiore resilienza ad affrontare nuovi mercati; miglior rating di rischio per l’accesso al credito e maggior appetibilità per i fondi di investimento, oltre a riduzione degli oneri assicurativi.
  • Maggiore sicurezza e migliore gestione del personale in caso di interruzioni dell’operatività.
  • Riduzione dei costi in caso di interruzioni dell’operatività.
  • Migliore gestione della crisi nei confronti degli interlocutori interni ed esterni, attraverso pianificazione della comunicazione esterna e interna.
  • Duplicazione delle risorse a difesa della perdita di dati, infrastrutture ecc.

Ma analizziamo ora i vari punti.

Punti da 0 a 2 – Forniscono un background dello standard e di come dovrebbe essere interpretato e utilizzato (i.e. Introduzione, Ambito e Riferimenti Normativi).

Punto 3 – Termini e definizioni – In questa sezione lo standard elenca i termini e le definizioni pertinenti, tra cui:

Business Continuity – Capacità di una organizzazione di continuare a fornire servizi e/o prodotti ad un livello accettabile a seguito di un evento destabilizzante”

Business Continuity Management System (BCMS) o Sistema di gestione della continuità operativa- Il sistema di gestione che stabilisce, implementa, gestisce, monitora, revisiona, mantiene e migliora la continuità aziendale.

Business Continuity Plan (BCP) o Piano di continuità operativa – Il piano attuabile per prepararsi a probabili eventi di crisi, a garantire la sicurezza totale del personale e a riprendere le operazioni aziendali dopo il verificarsi di un incidente/evento destabilizzante.

Business Impact Analysis (BIA) o Analisi di Impatto Operativo – Si tratta del processo di analisi delle attività considerate critiche e dell’effetto che una interruzione operativa potrebbe avere su di loro.

Crisi – Situazione caratterizzata da un elevato livello di incertezza che compromette le attività principali e/o la credibilità di un’organizzazione e che richiede un’azione urgente.

Incidente – Situazione che potrebbe costituire, o potrebbe portare a una interruzione dell’attività, perdita, emergenza o crisi.

Informazioni documentate – Si tratta delleinformazioni necessarie, periodicamente controllate e aggiornate da parte di un’organizzazione, di cui è necessario anche indicare la modalità di archiviazione. In un’ottica di revisione e/o certificazione, è necessario dimostrate cosa è stato fatto, documentando con verbali riunioni, procedure, registri di formazione, esiti di test ed esercizi di continuità, ecc…

Maximum Tolerable Period of Disruption (MTDP) – Il tempo massimo che può trascorrere a fronte degli impatti negativi conseguenti ad un incidente, come risultato della mancata fornitura di un prodotto, mancata erogazione di un servizio o mancato svolgimento di un’attività operativa.

Recovery Point Objective (RPO) o Obiettivo di Punto di Recupero – Il punto (l’istante nel tempo) al quale le informazioni sono coerenti e possono essere ripristinate per consentire la ripresa delle attività, denominato anche Maximum Data Loss (solitamente coincide con l’ultimo back-up dei dati).

Recovery Time Objective (RTO) o Obiettivo di Tempo di Recupero – Il tempo entro il quale i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo l’incidente che ha generato la discontinuità.

Punto 4 – Contesto dell’organizzazione – Il processo di implementazione di un BCMS, inizia con una profonda comprensione del contesto in cui l’organizzazione opera, sia come entità sia come insieme di persone, includendo sia il contesto interno sia quello esterno.

È essenziale identificare i bisogni dell’organizzazione e delle sue parti interessate, raccogliendo documentazione utile per stabilire priorità e requisiti organizzativi e definire l’ambito del BCMS.

Successivamente, è importante confrontarsi con la leadership per verificare la validità della documentazione e apportare eventuali modifiche necessarie alla missione, alla strategia, alle previsioni e agli obiettivi di crescita. Tale passaggio aiuta anche a comprendere le priorità dell’organizzazione e il suo grado di tolleranza al rischio, oltre a definire i prodotti e i servizi da includere nel BCMS.

Punto 5 – Leadership – La leadership deve garantire che le attività di business continuity siano in linea con le strategie aziendali, assicurando non solo un allineamento strategico, ma anche un supporto attivo e costante per il successo del BCMS. Essa ha la responsabilità di aspetti fondamentali per il BCMS, quali:

  • la definizione delle policy e degli obiettivi di business continuity;
  • l’assegnazione di ruoli e delle responsabilità;
  • la fornitura delle risorse necessarie;
  • la comunicazione dell’importanza del BCMS;
  • la garanzia dei risultati attesi;
  • la promozione del miglioramento continuo.

Punto 6 – Pianificazione -Un BCMS efficace si basa una pianificazione strutturata che tiene in considerazione i requisiti dell’organizzazione e l’ambito stabilito. Inoltre, la struttura del BCMS deve essere allineata con la strategia e la cultura aziendale, definendo obiettivi che soddisfino le aspettative delle parti coinvolte e che consentano la misurazione delle prestazioni.

Inoltre, gli obiettivi devono essere monitorati nel tempo, comunicati efficacemente e aggiornati quando necessario. Ancora, è necessario – per garantire un BCMS efficace ed efficiente – utilizzare le valutazioni dei rischi disponibili per scegliere le migliori soluzioni. Un approccio sinergico con la funzione di risk management è fondamentale, creando un sistema di gestione unificato in cui il rischio è attribuito a ciascun responsabile.

È doveroso evidenziare che BCMS deve essere integrato nella cultura organizzativa, incorporando la business continuity nelle operazioni quotidiane e nella gestione dei progetti.

Punto 7 – Supporto – È quanto mai importante assegnare risorse adeguate a mantenere e per migliorare il BCMS. Pertanto, è cruciale definire le competenze necessarie per il personale addetto alla business continuity, identificando le conoscenze e le esperienze necessarie per: pianificare, rispondere e garantire il recupero da incidenti o crisi. Ne consegue che è essenziale offrire formazione specifica per colmare eventuali lacune, oltre a diffondere e a far comprendere la policy di business continuity all’interno dell’organizzazione, assicurandosi che tutto il personale conosca il proprio ruolo e contribuisca al successo del BCMS.

Un altro aspetto essenziale del BCMS è garantire una comunicazione efficace attraverso un Piano di Comunicazione, che coinvolga stakeholder interni ed esterni con messaggi chiave prima, durante e dopo un incidente o crisi.

Inoltre, è fondamentale avere un elenco completo della documentazione del BCMS, che includa attività, documenti approvati, comunicazioni e risultati, e definire chiaramente le modalità di gestione, accesso, conservazione e protezione di tale documentazione.

Punto 8.0 – Operazioni – Si tratta di implementarele attività fondamentali per allinearsi alle aspettative della leadership aziendale. Ciò include:

  • Business Impact Analysis (BIA) e Risk Assessment (RA) – Identificare e analizzare i rischi e gli impatti potenziali sulle operazioni aziendali.
  • Strategie e soluzioni di Business Continuity – Sviluppare strategie per garantire la continuità operativa in caso di crisi.
  • Piani e procedure – Creare e documentare i piani e le procedure in modo dettagliato per rispondere efficacemente agli incidenti o crisi.
  • Programmazione delle esercitazioni e dei test – Eseguire regolari esercitazioni e test per valutare sia l’efficacia dei piani e delle procedure del BCMS sia la prontezza dell’organizzazione a gestire le emergenze.
  • Valutazione della documentazione e dell’efficacia del BCMS – Monitorare e rivedere costantemente la documentazione e il BCMS.

La BIA come fulcro del BCMS – La Business Impact Analysis (BIA) rappresenta il nucleo centrale della fase di analisi di un BCMS. Il suo obiettivo principale è determinare le esigenze di business continuity, fornendo dati essenziali per identificare le soluzioni più appropriate.

La BIA si propone di mappare e dare priorità ai prodotti e servizi critici, considerati strategici per la business continuity, che devono essere protetti e ripristinati rapidamente per garantire la continuità della fornitura. Inoltre, fornisce un inventario delle attività e risorse aziendali, facilitando l’identificazione di ciò che deve essere protetto o ripristinato in caso di interruzione o crisi.

La BIA stabilisce anche gli obiettivi di Return Time Objective (RTO), che aiutano l’organizzazione a determinare il tempo entro cui è necessario recuperare risorse e riattivare attività, processi, servizi e prodotti, oltre a definire le priorità per il trattamento dei rischi e selezionare le strategie di risposta e recupero.

Inoltre, la BIA stabilisce gli obiettivi di Return Point Objective (RPO), definendo il punto in cui i dati devono essere recuperati per consentire la ripresa delle attività, identificato anche come la massima perdita di dati, coincidente con l’ultimo backup.

Fonte immagine – Creazione di FMRLivelli

L’organizzazione, grazie alla BIA, può raggiungere i suoi obiettivi strategici in diversi modi. Innanzitutto, la BIA consente di confermare la validità dell’ambito del programma business continuity, identificando le attività e le risorse necessarie per mantenere la fornitura dei prodotti e servizi critici. Tale processo permette di riesaminare l’ambito per includere eventuali prodotti e servizi inizialmente non considerati ma strategici in caso di interruzione.

Inoltre, la BIA aiuta a identificare e comprendere gli obblighi legali, regolamentari e contrattuali, garantendo una pianificazione adeguata della business continuity in termini di conformità. Ancora, fornisce una chiara visione dei costi di implementazione della strategia di BC, giustificando la selezione e il mantenimento delle strategie di recupero attraverso la stima degli impatti finanziari, reputazionali, contrattuali, legali e operativi legati ai tempi di interruzione.

Infine, la BIA raccoglie dati fondamentali per la redazione dei Business Continuity Plan (BCP), tra cui: controlli esistenti, strategie di ripristino, requisiti di team e personale, oltre a informazioni sui contatti interni ed esterni e sulle risorse necessarie.

Strategie di ripristino – Sulla base delle BIA e del confronto con la funzione di risk management, si definiscono le strategie di business continuity. Esistono diverse strategie di continuità per garantire la business continuity e, precisamente:

  • Diversificazione – Ciò implica la distribuzione di attività e risorse su più sedi per mantenere l’operatività in caso di interruzione in una di esse, ed è adatta per RTO di pochi minuti o ore, anche se costosa.
  • Replica – Si tratta di una variante della diversificazione che prevede una sede duplicata pronta all’uso (hot site), ideale per RTO di alcune ore o giorni, ma comporta la sfida di trasferire il personale in tempo.
  • Stand-by – Ciò prevede una sede pronta a diventare operativa entro l’RTO (warm site), con sfide in termini di trasferimento del personale.
  • Acquisizione post-incidente – Questa soluzione è adatta per RTO di giorni o settimane, dove le risorse sono acquisite dopo l’interruzione, basandosi su fornitori per consegne tempestive.
  • Fare nulla – Si tratta di un’opzione considerata quando l’RTO è di settimane o mesi, o quando alternative sono impraticabili o troppo costose, e richiede una documentazione accurata delle ragioni di questa scelta.

È importante ricordare che l’implementazione di alcune soluzioni può richiedere competenze tecniche da esperti di altre aree, come ICT e gestione delle scorte.

Come garantire un Piano di BC (BCP) efficace ed efficiente – I gestori della business continuity progettano i BCP per garantire la ripresa delle attività aziendali dopo incidenti o crisi, concentrandosi sul ritorno alla normalità.

I BCP devono integrarsi efficacemente nell’organizzazione e nel processo decisionale strategico, permettendo una gestione fluida delle azioni di continuità. Un BCP ben redatto descrive lo scopo e l’ambito del piano, gli obiettivi di ripristino, i ruoli e le responsabilità del personale, le dipendenze interne ed esterne, i criteri di attivazione del piano e le modalità di risposta agli incidenti per raggiungere gli obiettivi di tempo di recupero (RTO).

È essenziale anche redigere procedure di BC che supportino il BCP, fornendo misure flessibili e adattabili per affrontare interruzioni significative. Tali procedure devono identificare chi è responsabile della loro creazione e aggiornamento, descrivere una struttura di risposta coordinata ed efficace, e fornire criteri chiari per la gestione delle crisi. Pertanto, è importante che le procedure siano redatte in modo efficace, sintetico e chiaro, eventualmente utilizzando diagrammi di flusso, per garantire che l’organizzazione possa rispondere prontamente alle interruzioni e ripristinare l’operatività entro i tempi di recupero (RTO) stabiliti dalla leadership.

Inoltre, le procedure devono includere l’attivazione dell'”Albero delle Chiamate”, il monitoraggio degli incidenti, le attività di ripristino, e le modalità di comunicazione per facilitare il contatto con i soccorritori e le autorità competenti.

È importante ricordare che molte interruzioni richiedono l’attivazione di diversi piani di risposta per gestire efficacemente lo stesso incidente. Pertanto, il Business Continuity Manager deve collaborare con altri esperti – quali il Risk Manager, IT Manager, Security Manager, Facility Manager, HR Manager, Marketing Manager e Communication Manager – adottando un approccio olistico alla gestione della business continuity.

È importante evidenziare che un BCP efficiente deve:

  • Rispondere alle domande chiave: chi, cosa, dove, come e quando.
  • Essere utile in ogni sua parte
  • Indicare chiaramente le azioni che dovranno intraprendere le persone coinvolte, sia per i titolari dei processi critici sia per altri per cui non è stata studiata una strategia specifica.
  • Essere sviluppato con il coinvolgimento di tutta l’organizzazione
  • Essere “scenario independent”, ovvero capace di affrontare qualsiasi tipo di interruzione indipendentemente dalla causa.
  • Essere regolarmente esercitato per assicurare la sua efficacia.

Test & esercitazioni – allenare il muscolo della resilienza – Il miglioramento continuo di un BCP e l’efficacia di un BCMS si ottengono attraverso un programma di esercitazioni e di test che permettono di convalidare o di adeguare le capacità di risposta a incidenti entro gli RTO stabiliti, oltre a mantenere e a migliorare la preparazione dell’organizzazione a gestire eventi dirompenti.

Esistono diverse modalità di esercitazioni e test, quali:

  • Esercitazioni basate sulla discussione – Sono semplici ed economiche, coinvolgono i partecipanti nell’esplorazione di questioni rilevanti e nell’analisi dei piani attraverso discussioni o walk-through.
  • Esercitazioni di scenari – Si basano sulla discussione di scenari definiti, esercitando diverse fasi in modalità table-top. Sono realistiche ed economiche, richiedendo familiarità con i piani.
  • Esercitazioni con simulazione – Esse consistono in simulazioni realistiche di incidenti, con ruoli assegnati e interazioni simulate, utili per verificare procedure come la notifica di incidenti e il coordinamento dei team.
  • Esercitazioni dal vivo – Tale tipologia di esercitazioni sono particolarmente utili in contesti con vincoli normativi. SI tratta di esercitazioni o costose e complesse che possono comportare rischi fisici e reputazionali poiché si svolgono dal vivo.
  • Test – Sono focalizzati su attrezzature, procedure di recupero, tecnologie e team per garantire l’efficacia operativa.

Punto 9 – Valutazione delle Prestazioni – In questa fase, il professionista di business continuity verifica che il BCMS sia allineato ai requisiti di gestione e alla norma ISO 22301, oltre a valutare le prestazioni sia del BCMS sia delle soluzioni di business continuity per fornire feedback e individuare eventuali azioni correttive necessarie.

Tale processo implica la creazione, il monitoraggio, l’analisi, la valutazione e l’aggiornamento delle metriche per valutare le prestazioni del BCMS a intervalli regolari. Si evidenzia che è quanto mai fondamentale relazionare la Leadership sulle prestazioni del BCMS.

Punto 10. Miglioramento – I professionisti della business continuity facilitano l’identificazione delle opportunità di miglioramento del BCMS attraverso un processo di gestione delle azioni correttive. Tale processo utilizza un registro, file o database per tracciare lo stato di avanzamento e il completamento delle azioni correttive, includendo dettagli come tipologia, descrizione, data di creazione, priorità, stato di avanzamento, date di inizio e conclusione, persona responsabile e note.

Inoltre, è fondamentale:

  • analizzare le cause principali delle non conformità;
  • comprendere e risolvere i problemi di prestazioni, prevenendo la loro ripetizione;
  • redigere report periodici per aggiornare sullo stato delle azioni correttive in corso e su eventuali deviazioni rispetto alla pianificazione.

DI fatto, el contesto attuale, le organizzazioni sono spinte a prepararsi tempestivamente per affrontare sfide sempre più complesse. Si tratta di sviluppare il muscolo della resilienza, preparandosi in “tempo di pace” per essere pronti ad agire in “tempo di guerra”. Ciò richiede un vero e proprio cambiamento culturale e l’adozione dei principi dell’ISO 22301 in modo da anticipare, prevenire e superare eventi avversi, sia nel presente sia nel futuro, senza interrompere o compromettere la business continuity.

Il filosofo greco Eraclito affermava: “Chi non s’aspetta l’inaspettato, non scoprirà mai la verità”. Tuttavia, oggi è fondamentale “anticipare l’inaspettato” attraverso una profonda comprensione dei contesti interni ed esterni, per acquisire consapevolezza dei rischi e delle vulnerabilità, e avviare un percorso continuo verso la resilienza.

Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.

Previous article
Iso 31000 – Risk management per affrontare scenari caratterizzati da policrisi e permacrisi
Next article
HWG Sababa si espande con Akito

Latest article

© 2023 Mediapoint & Exhibitions s.r.l. - P.IVA 01253850992 – registrazione tribunale di Genova n.36/2011 – Direttore responsabile Fabio Potestà

Privacy Policy Cookie Policy

Popular Category

Editor Picks