La norma ISO 22301 per la certificazione della business continuity

business continuity management systemsLo standard ISO 22301 (Societal security — Business continuity management systems — Requirements) specifica i requisiti per progettare, implementare e gestire efficacemente un Sistema di gestione della continuità operativa.

Il sistema di gestione della continuità operativa (business continuity management system o BCMS) enfatizza l’importanza di:

  • comprendere le esigenze dell’organizzazione e le necessità per stabilire la politica e gli obiettivi di un sistema di gestione per la continuità del business;
  • implementare e rendere operativi controlli e misure per gestire la capacità di un’intera organizzazione nella gestione delle interruzioni dell’operatività dovute a cause accidentali;
  • monitorare e riesaminare le prestazioni e l’efficacia del sistema di gestione della continuità operativa
  • del miglioramento continuo del BCMS basato su obiettivi misurabili.

Si noti che anche la norma ISO/IEC 27031 “Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity” tratta la business continuity, ma nel contesto dell’ICT e delle tecniche di sicurezza strettamente correlata alla ISO 27001 che contiene i requisiti per la certificazione dei sistemi di gestione della sicurezza delle informazioni.

La ISO 22301 evidenzia i componenti chiave del sistema di gestione della continuità operativa, peraltro presenti anche in altri sistemi di gestione. Tra essi la politica, le persone con le loro responsabilità definite, la gestione dei processi correlati a politica, pianificazione, attuazione ed operatività del BCMS, valutazione delle prestazioni, riesame della direzione e miglioramento, nonché la documentazione in grado di fornire evidenze verificabili tramite audit sul sistema di gestione della continuità operativa.

Anche questa norma introduce il metodo del “PLAN DO CHECK ACT” già noto da altre norme dei sistemi di gestione. In particolare il modello PDCA del sistema di gestione della continuità operativa ha come input le parti interessate (clienti, proprietà/soci, dipendenti/collaboratori, fornitori, collettività) e i requisiti per la business continuity, mentre l’output del sistema è fornito alle stesse parti interessate ed è costituito dalla continuità operativa gestita.

Per questa norma il concetto di “parti interessate” o stakeholders è importante in quanto una discontinuità nell’operatività dell’organizzazione, una indisponibilità dei servizi essenziali per i clienti, un fermo delle attività produttive per un periodo più o meno lungo, possono causare danni non solo all’organizzazione stessa, ma soprattutto ai clienti che usufruiscono dei suoi prodotti/servizi e che quindi non riescono a lavorare proficuamente, ai fornitori che non possono rifornire i loro prodotti/servizi, ecc..

Scopo della norma per la gestione della business continuity è quello di specificare i requisiti atti a pianificare, stabilire, implementare, realizzare, monitorare, riesaminare, mantenere e migliorare in modo continuo un sistema di gestione documentato per proteggersi contro gli incidenti che possono accadere e fermare l’organizzazione, ma non solo. Il BCMS ha anche l’obiettivo di ridurre la probabilità che tali eventi negativi avvengono, prepararsi ad essi e rispondere in modo adeguato per ripristinare l’operatività nel più breve tempo possibile qualora l’incidente che causa lo stato di crisi si verifichi.

La norma ISO 22301 definisce alcuni termini specifici sulla materi,a tra cui il termine business continuity, business continuity management system, business impact analysis (BIA) ossia analisi di impatto sull’operatività dell’organizzazione.

Oltre ad altri termini consueti delle norme della serie ISO 9000 compare il nuovo termine informazione documentata, che ritroveremo nella nuova edizione della norma ISO 9001. Altro termine significativo mutuato dalle norme della serie ISO 27000 è quello di incidente che è definito come una situazione che potrebbe rappresentare o potrebbe portare a una distruzione, una perdita, uno stato di emergenza o una crisi. Al proposito la norma utilizza spesso il termine disruption che rappresenta un atto o un evento che interrompe la continuità (e genera discontinuità).

Sono anche fornite le classiche definizione legate alla gestione del rischio (risk assessment, risk management, rischio) tra cui il risk appetiteamount and type of risk that an organization is willing to pursue or retain») ovvero la propensione al rischio dell’organizzazione che, si vedrà in seguito, dovrà essere identificata al fine di intraprendere azioni di prevenzione idonee.

Vengono poi definiti degli indicatori specifici per questa tematica come:

  • Maximum Acceptable Outage (MAO) ovvero il tempo massimo ritenuto accettabile che può trascorrere – a fronte di un evento avverso – durante il quale non viene fornito un prodotto/servizio o bon viene svolta un’attività.
  • Maximum Tolerable Period of Disruption (MTPD) ovvero il tempo massimo tollerabile che può trascorrere a fronte degli impatti negativi conseguenti ad un incidente come risultato della mancata fornitura di un prodotto, erogazione di un servizio o svolgimento di un’attività operativa. SI noti che rispetto al MAO precedente il MTPD è un periodo potenzialmente superiore in quanto si può presumere che gli impatti negativi di una interruzione di un servizio possano durare più a lungo dell’interruzione stessa.
  • Minimum Business Continuity Objective (MBCO) che rappresenta il livello di servizio minimo accettabile dall’organizzazione per raggiungere i propri obiettivi di business durante una l’interruzione della continuità dovuta all’incidente (periodo di crisi)
  • Recovery Point Objective (RPO) ovvero il punto (l’istante nel tempo) al quale le informazioni sono coerenti e possono essere ripristinate per consentire la ripresa delle attività (denominato anche Maximum Data Loss).
  • Recovery Time Objective (RTO): periodo di tempo entro il quale i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo l’incidente che ha generato la discontinuità.

Il capitolo 4 della norma denominato “Contesto dell’organizzazione” – che ritroveremo nella nuova ISO 9001 del 2015 – contiene gli elementi per comprendere il contesto dell’organizzazione (punto 4.1 della norma). La norma stabilisce che nell’ambito del Sistema di gestione per la continuità operativa debbono essere identificati i bisogni dell’organizzazione e delle sue parti interessate, che dovranno essere tenuti in debito conto nella progettazione del sistema di gestione dell’organizzazione, la quale dovrà anche identificare e documentare le attività svolte dall’organizzazione stessa, le sue funzioni, i servizi, i prodotti e tutto ciò che è necessario per identificare i potenziali impatti legati a incidenti distruttivi che possono generare discontinuità operativa.

Inoltre dovranno essere documentati i collegamenti tra la politica per la continuità operativa e gli obiettivi dell’organizzazione e la sua politica, inclusa una strategia generale di gestione dei rischi e l’approccio dell’organizzazione ai rischi correlati alla business continuity, ovvero la propria propensione al rischio.

Al punto 4.2 sono descritti gli aspetti riguardanti la comprensione delle esigenze delle parti interessate, ovvero i requisiti legali e regolamentari cui l’organizzazione è soggetta. Ciò aiuterà nella definizione dello scopo e campo di applicazione del sistema di gestione di continuità operativa (4.3). A tale riguardo la norma stabilisce le modalità attraverso le quali l’organizzazione deve stabilire quali processi prodotti e servizi sono compresi nel sistema di gestione e quali parti dell’organizzazione agiscono all’interno di esso, dettagliando eventuali esclusioni che, comunque, non possono influenzare negativamente i risultati del sistema di gestione.

Al punto 4.4 la norma stabilisce che l’organizzazione deve implementare, mantenere attivo e migliorare continuamente un sistema di gestione della continuità operativa, inclusi i processi necessari e le relative interazioni fra essi, in accordo con i requisiti di questo standard internazionale (ISO 22301).

Il capitolo 5 della norma è denominato “Leadership”. In esso la norma stabilisce che l’alta direzione (ovvero il top management) deve possedere leadership e dimostrare un impegno preciso rispetto al sistema di gestione per la continuità operativa. L’impegno del management viene poi esplicitato attraverso una serie di responsabilità della direzione relative al sistema di gestione quali, ad esempio, assicurare che politiche ed obiettivi siano stabiliti, che le risorse necessarie siano messe a disposizione e che vi sia un’adeguata comunicazione all’interno dell’organizzazione relativamente ai requisiti del sistema di gestione della continuità operativa.

Sono poi stabiliti requisiti relativi alla definizione della politica per la continuità operativa e la definizione della struttura organizzativa dell’organizzazione, quindi la definizione di ruoli responsabilità ed autorità. Questi ultimi due paragrafi risultano perfettamente simili a quelli delle altre norme sui sistemi di gestione, in particolare la nuova ISO 9001:2015.

Il capitolo 6 denominato ”Pianificazione” i stabilisce che:

  • L’organizzazione deve porre in essere azioni rivolte ai rischi ed alle opportunità, in particolare assicurando che il sistema riesca a perseguire gli obiettivi ed i risultati stabiliti, prevenire o ridurre gli effetti indesiderati e mirare al miglioramento continuo.
  • Vengano definiti obiettivi per la business continuity e piani per raggiungerli; tale aspetto, con le dovute modifiche, è del tutto analogo ad altri sistemi di gestione: gli obiettivi devono essere misurabili, devono essere monitorati, occorre stabilire chi è responsabile, che cosa deve fare, quali risorse sono richieste, quando dovranno essere completate le azioni finalizzate al perseguimento degli obiettivi e come dovranno essere valutati i risultati. Unica differenza rispetto ad altri sistemi di gestione è che nella definizione degli obiettivi bisognerà tenere conto di un livello minimo di servizio o di prodotto fornito ritenuto accettabile dall’organizzazione nel raggiungimento dei suoi obiettivi.

Il capitolo 7 della norma denominato “Supporto” stabilisce i requisiti per alcune attività e processi di supporto, quali – in generale – la gestione delle risorse, le competenze del personale, la consapevolezza dello stesso personale relativamente al sistema di gestione della continuità operativa e la comunicazione, sia essa interna che esterna. In particolare, per questo tipo di sistema di gestione, le modalità ed i mezzi di comunicazione sono molto importanti per garantire la continuità del servizio anche durante i periodi di indisponibilità delle risorse critiche.

Infine l’ultimo paragrafo di questo capitolo è dedicato alle informazioni documentate, in completa analogia con il nuovo schema delle norme relative ai sistemi di gestione. I requisiti relativi alle informazioni documentate riguardano le modalità di gestione di documenti, dei dati e delle registrazioni richieste dalla norma.

A questo riguardo è opportuno precisare che, nell’ambito della business continuity, i documenti – in particolare le procedure e le istruzioni operative – necessarie per ripristinare nel più breve tempo possibile i servizi richiesti durante i periodi di crisi, dovrebbero essere accessibili dai responsabili nominati, dunque occorre prevedere supporti alternativi per i documenti che potrebbero non essere disponibili nel formato originario, su supporto elettronico o cartaceo. Pertanto tali documenti dovrebbero essere resi disponibili su supporti realmente utilizzabili in funzione del tipo di crisi (scenario) previsto in fase di pianificazione.

Il capitolo 8 della norma denominato “Operation”, la cui traduzione in lingua italiana è piuttosto incerta, rappresenta il cuore di questa normativa ISO 22301 in quanto tratta gli aspetti di pianificazione e controllo dei processi operativi, la valutazione dei rischi e l’analisi di impatto, ovvero la business impact analysis (BIA), ed infine la strategia di business continuity ovvero tutto ciò che l’organizzazione intende fare per garantire la continuità operativa, compresa la definizione dei business continuity plan o piani di continuità operativa, la loro applicazione e test.

Nei suddetti paragrafi sella sezione 8 vengono specificate, tra l’altro, le modalità di effettuazione e documentazione della business impact analysis (analisi gestionale attraverso la quale un’organizzazione valuta quantitativamente e qualitativamente gli impatti e le perdite che possono risultare se l’organizzazione stessa subisce un grave incidente, nonché il livello minimo di risorse necessarie per il ripristino dell’operatività) e della valutazione del dei rischi, per la quale può essere preso come riferimento quanto indicato nella ISO 31000  (ora anche UNI ISO 31000 – Gestione del rischio – Principi e linee guida). Occorre precisare che sia l’analiso di impatto sia la valutazione dei rischi dovranno prendere in considerazione i rischi che possono impattare la continuità operativa, quindi i rischi che si verifichino incidenti distruttivi che portino a situazioni di crisi o comunque di interruzione dell’operatività e, conseguentemente, a situazioni insostenibili per la propensione al rischio definita per l’organizzazione. A fronte di tali situazioni, in base ai risultati della valutazione dei rischi, dovranno essere determinate e poste in essere le azioni conseguenti per mantenere la continuità operativa.

Il capitolo 9 della norma tratta la “Valutazione delle prestazioni”. Vengono qui illustrati i requisiti relativi al monitoraggio, alla misurazioni, all’analisi ed alla valutazione dei processi che hanno un impatto sulla continuità operativa; in particolare vengono esplicitati i requisiti relativi ad indicatori e metriche finalizzate al monitoraggio della business continuity, sempre basandosi sui risultati della valutazione dei rischi.

Nel capitolo 9 vengono anche trattati i requisiti standard per i sistemi di gestione riguardanti gli audit interni ed il riesame del sistema da parte della direzione. Anche qui, rispetto alle altre normative sui sistemi di gestione, il focus è sui rischi risultanti dal risk assessment.

Nel capitolo 10, denominato “Miglioramento”, sono trattati le non conformità, le azioni correttive ed il miglioramento continuo. Mentre relativamente a non conformità ed azioni correttive la gestione è analoga ai sistemi gestionali descritti nelle normative del passato (ISO 9001 in primis), occorre notare che è scomparso il termine azione preventiva, sostituita da tutte quelle azioni che vengono messe in atto al fine di perseguire il miglioramento continuo del sistema e delle sue prestazioni. Premesso ciò, le non conformità relative al sistema di gestione della continuità operative – normalmente incidenti ed altre situazioni nelle quali si verifica il non soddisfacimento dei requisiti procedurali – dovranno essere identificate e dovranno essere attuate prontamente correzioni per eliminare, quando possibile, gli effetti della non conformità stessa e le relative conseguenze. Inoltre si deve valutare la necessità di intraprendere azioni correttive finalizzate ad eliminare le cause della non conformità.

In conclusione si tratta di una norma che presenta per la prima volta, insieme alla nuova ISO 27001:2013 appena pubblicata, la nuova struttura delle normative sui sistemi di gestione che ritroveremo nella ISO 9001 del 2015. Evidentemente le organizzazioni che vorranno adeguarsi a tale normativa e certificarsi secondo le proprie esigenze di business, quasi certamente avranno già messo in atto e certificato un sistema di gestione per la qualità ISO 9001, ma probabilmente alcune di queste organizzazioni avranno anche già implementato il sistema di gestione della sicurezza delle informazioni ISO 27001, pertanto lo sforzo per conformarsi a questa norma sulla business continuity non sarà eccessivo. Infatti molti requisiti sono comuni fra la norma ISO 22301 e la norma ISO 27001 nella quale esiste già un obiettivo di controllo riguardante la continuità operativa che impone di predisporre uno o più business continuity plan per garantire la continuità nell’erogazione del servizio o nella produzione.

Al proposito occorre notare che la norma tratta la gestione di tutti i tipi di discontinuità o interruzioni di servizio, non necessariamente solo quelli legati all’indisponibilità dei sistemi informatici, anche se quasi tutte le organizzazioni vedono come principale pericolo per la propria continuità operativa il blocco dei sistemi informatici che ormai governano quasi tutte le attività aziendali.

Quali saranno, infine, le organizzazioni interessate a certificarsi secondo la ISO 22301? Probabilmente tutte le organizzazioni che operano nel settore dei servizi, anche pubblici, e che devono garantire ai propri clienti una certa continuità del servizio, ovvero banche, assicurazioni, fornitori di servizi in outsourcing, fornitori di servizi sul cloud ((si veda il parere della Commisione Europea al riguardo) o comunque servizi Web, fornitori di servizi di assistenza tecnica in settori particolarmente critici.

Le principali normative sull’argomento richiamate esplicitamente o implicitamente da questa norma sono le seguenti:

  • ISO 22300, Societal security — Terminology
  • ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
  • BS 25999-1, Business continuity management — Code of practice
  • BS 25999-2, Business continuity management — Specification
  • UNI ISO 31000 – Gestione del rischio – Principi e linee guida

 

La continuità operativa per la Pubblica Amministrazione nel Codice per l’Amministrazione Digitale: vai al sito DIGITPA