“Strategia di continuità operativa, mediante il Business Continuity Plan: un “manuale” dove individuare minacce e soluzioni, necessario per la gestione degli eventi e in linea con il risk assessment, così come richiesto dalla UNI EN ISO 9001:2015”.
Obiettivo principale del business continuity management è quello di contribuire alla definizione di una struttura in grado di aumentare la resilienza organizzativa e la capacità di risposta a un evento critico, indipendentemente dalla causa che l’ha generato.
A seguito dell’adozione della UNI EN ISO 9001:2015 e relativa analisi del contesto, risulterà necessario definire il piano di business continuity nei processi di seguito descritti.
Contesto Organizzativo
In questa fase emergono le considerazioni preliminari sulla natura dell’organizzazione, sui suoi obiettivi, sulle opportunità e i vincoli derivanti dal contesto esterno e dalla cultura organizzativa in essere, ma anche su necessità e aspettative delle parti interessate (compresi i Regulator).
Leadership
Viene definito l’impegno dalla leadership verso il Programma di business continuity management che deve essere dimostrato dall’organizzazione e in particolare dal suo Management.
Questo impegno deve essere chiaramente espresso e comunicato all’interno della Policy, che deve anche definire i ruoli, le responsabilità e i poteri decisionali a tutti i livelli dell’organizzazione in materia di gestione della continuità operativa.
Pianificazione
A seguito della definizione e analisi del contesto, nella fase di pianificazione sarà prevista l’implementazione del programma di business continuity considerando l’esito dell’analisi del rischio e relativo piano di azioni e controllo che supporti l’organizzazione nel conseguimento degli obiettivi di continuità operativa.
Risorse
L’incorporazione della business continuity nel contesto della cultura aziendale attraverso la definizione delle necessità a livello di comunicazione che saranno rilevanti per il corretto funzionamento del sistema di gestione della continuità operativa.
Occorrerà dunque stabilire, implementare e mantenere informazioni documentate relative a:
- Gestione delle comunicazioni interne e con le parti interessate;
- Gestione delle comunicazioni esterne con clienti, partner e latri parte interessate;
- Modalità di gestione delle comunicazioni dalle parti interessate, in caso di evento critico.
- cambiamenti significativi nei processi organizzativi;
- cambiamenti significativi del contesto esterno.
- promuovere la sensibilizzazione del personale e lo sviluppo delle competenze;
- assicurare che il sistema di gestione e le procedure di business continuity siano completi, aggiornati e appropriati;
- identificare le opportunità per il miglioramento del programma.
L’attività proposta da IDRA prevede:
Business Impact Analysis & Analisi delle Minacce
Analisi condotta mediante interviste e recependo l’esito dell’analisi del rischio condotto secondo la UNI N ISO 9001:2015, finalizzata a comprendere le priorità e i requisiti di business continuity. La Business Impact Analysis (BIA), nello specifico, è il processo di analisi delle attività e degli effetti che un’interruzione potrebbe avere su di esse e consente di stabilire le priorità per il recupero dei processi critici mediante la definizione del Maximum Tolerable Period of Disruption (MTPD). L’Analisi delle Minacce, invece, promuove la comprensione dei rischi relativi ai processi critici, delle loro dipendenze e delle potenziali conseguenze in caso di interruzione. Queste attività costituiscono la base su cui vengono definiti – in fase di progettazione – i Recovery Time Objective (RTO) e i Recovery Point Objective (RPO), e su cui vengono selezionate le strategie e le tattiche di continuità operativa e le misure di mitigazione delle minacce.
Le Analisi in oggetto devono essere effettuate annualmente o comunque ogni volta che si dovesse verificare uno dei seguenti casi:
Strategie di Business Continuity
Questa fase prevede la definizione delle opzioni/strategie più appropriate per prevenire un’interruzione dei processi critici e per fronteggiarla in caso di incidente. Le strategie selezionate forniranno le linee guida per la ripresa delle attività a un livello predefinito accettabile, entro i limiti temporali concordati.
Piani e Procedure di Business Continuity
Definizione dell’insieme di informazioni documentate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello pre-definito le attività a seguito di un’interruzione e copre le risorse, i servizi e le attività richieste per assicurare la continuità delle funzioni organizzative critiche.
Esercitazioni e Test
Definizione di un piano di esercitazione e test, che fornisce all’organizzazione l’opportunità di:
- promuovere la sensibilizzazione del personale e lo sviluppo delle competenze;
- assicurare che il sistema di gestione e le procedure di business continuity siano completi, aggiornati e appropriati;
- identificare le opportunità per il miglioramento del programma.
Valutazione delle Performance
Le esercitazioni e i test, ma più in generale anche tutta la fase di monitoraggio, misurazione, analisi e valutazione del sistema di gestione della continuità operativa devono tenere conto di specifiche metriche di performance e di efficacia delle misure a protezione delle attività prioritizzate. Inoltre devono essere finalizzati a garantire la compliance rispetto ai requisiti predefiniti e la coerenza del set di informazioni documentate rispetto agli obiettivi di business continuity definiti nella policy. Gli stessi verranno integrati nel sistema di monitoraggio e controllo della UNI EN ISO 9001:2015.