Domandiamoci subito cosa si intenda per BCMS, o Business Continuity Management System. Si tratta di un sistema di gestione il cui fine è approcciare e governare in modo sistemico la continuità operativa di qualsiasi organizzazione, a prescindere dal mercato e dalle dimensioni. Il BSMS è uno sforzo corale di tutta l’azienda, dalla leadership e alla divisione IT, e comprende un insieme coordinato e sinergico di procedure, policy, strutture organizzative e strumenti finalizzati al raggiungimento di tale obiettivo.
Perché è indispensabile un BCMS?
A causa della complessità che circonda il tema della business continuity, tutte le imprese dovrebbero dotarsi di un BCMS.
Nell'era della digitalizzazione del business, si tende erroneamente a concentrarsi sulle cause informatiche di interruzione dell’operatività, come i guasti dei data center o gli attacchi cyber, quando in realtà la business continuity è minacciata da un’ampia gamma di fattori, tra cui le interruzioni nella supply chain e gli eventi naturali. Per tutelare la business continuity, le aziende non possono quindi limitarsi a strumenti e piattaforme informatiche, ma devono creare una struttura che sia in grado di affrontare le cause di disruption (tutte) attraverso una combinazione adeguata di processi, policy, procedure e strumenti di prevenzione e risposta. La creazione di questa struttura è precisamente il fine di un BCMS.
Naturalmente, più l’azienda è ampia e complessa a livello organizzativo, più complesso sarà anche il sistema di gestione. In molte grandi aziende, sono infatti presenti ruoli ad hoc per la progettazione, la gestione, il monitoraggio e il miglioramento continuo del BCMS.
Business Continuity Management System e lo standard ISO 22301
Nella creazione di un BCMS, le imprese possono riferirsi a framework specifici e di comprovata completezza ed efficacia, come lo standard ISO 22301.
La norma in questione fornisce in modo specifico le linee guida e i requisiti per l'implementazione di un sistema di gestione della continuità operativa ed è un punto di riferimento internazionale. Ottenerne la certificazione comporta numerosi vantaggi, tra cui la conformità alle best practice di settore e alla normativa in essere, ma anche (e, talvolta, soprattutto) un vero e proprio vantaggio competitivo. Dimostrare ai clienti e ai partner l'adozione di un BCMS a norma ISO 22301 evidenzia l'impegno dell'azienda per la sicurezza e la continuità delle proprie operations e influisce positivamente sulla selezione dei fornitori.
Dalla teoria alla pratica, gli strumenti del BCMS
Un BCMS consta di numerosi strumenti finalizzati a preservare la continuità operativa di fronte a qualsiasi causa di disruption.
Business Impact Analysis (BIA)
La Business Impact Analysis è finalizzata a valutare gli impatti derivanti da interruzioni delle attività aziendali. In questa sede si identificano i processi critici, le risorse chiave e le dipendenze che potrebbero compromettere la continuità operativa in caso di incidenti. Per ogni processo critico, vengono definiti i due indicatori chiave RTO (Recovery Time Objective) e RPO (Recovery Point Objective), fondamentali nella progettazione dei processi di disaster recovery.
Business Continuity Plan
Un BCMS comprende senz’altro un business continuity plan, che è il documento cardine attorno a cui ruotano le procedure di resilienza aziendale. Questo piano comprende le linee guida e le procedure da seguire in caso di eventi potenzialmente dannosi: vengono definiti i ruoli, le procedure, gli strumenti da adottare e anche strutture e modalità di comunicazione necessarie per minimizzare gli effetti degli eventi imprevisti.
Training e Awareness
Adottando un approccio sistemico, il BCMS coinvolge di fatto tutta la workforce. È dunque fondamentale promuovere la consapevolezza della disciplina, oltre a fornire training su eventuali procedure da porre in essere e strumenti da attivare. L'obiettivo è integrare la continuità operativa all’interno della cultura e dei processi aziendali, di modo tale che ognuno sia consapevole delle proprie responsabilità in merito e sappia cosa fare (e non fare) in caso di evento avverso.
Strumenti di protezione dai rischi digitali
Un BCMS comprende inoltre una serie di misure e strumenti tecnici dedicati alla salvaguardia della continuità operativa contro le interruzioni dei sistemi informativi. Strumenti tipicamente presenti in un sistema di gestione della continuità operativa sono:
-
Backup
La creazione di copie di sicurezza dei dati critici garantisce che possano essere ripristinati in caso di perdita o danneggiamento. Il backup è inoltre l’unico strumento realmente efficace contro errori e cancellazioni accidentali di dati e documenti.
-
Disaster Recovery
La pianificazione e l'implementazione di procedure di ripristino delle operazioni in caso di disastro, come guasti hardware o catastrofi naturali.
-
Sistemi di prevenzione e di risposta alle minacce informatiche
L’azienda deve tutelarsi contro il rischio cyber derivante da errori o attacchi esterni. È quindi essenziale adottare strumenti e misure finalizzate a rilevare, prevenire e rispondere agli attacchi informatici.
-
Percorsi di security awareness
Integrare in azienda una cultura della sicurezza ha un impatto importante (e benefico) sulla continuità aziendale poiché rende le persone una prima (e forte) linea di difesa. È possibile ottenere questo risultato solo con percorsi strutturati di security awareness.
-
Ridondanze infrastrutturali
La ridondanza a livello di risorse infrastrutturali come server, storage e reti plasma il concetto di alta disponibilità ed è alla base della continuità operativa in caso di guasti o interruzioni di altra natura.
