Domandiamoci subito cosa si intenda per BCMS, o Business Continuity Management System. Si tratta di un sistema di gestione il cui fine è approcciare e governare in modo sistemico la continuità operativa di qualsiasi organizzazione, a prescindere dal mercato e dalle dimensioni. Il BSMS è uno sforzo corale di tutta l’azienda, dalla leadership e alla divisione IT, e comprende un insieme coordinato e sinergico di procedure, policy, strutture organizzative e strumenti finalizzati al raggiungimento di tale obiettivo.
A causa della complessità che circonda il tema della business continuity, tutte le imprese dovrebbero dotarsi di un BCMS.
Nell'era della digitalizzazione del business, si tende erroneamente a concentrarsi sulle cause informatiche di interruzione dell’operatività, come i guasti dei data center o gli attacchi cyber, quando in realtà la business continuity è minacciata da un’ampia gamma di fattori, tra cui le interruzioni nella supply chain e gli eventi naturali. Per tutelare la business continuity, le aziende non possono quindi limitarsi a strumenti e piattaforme informatiche, ma devono creare una struttura che sia in grado di affrontare le cause di disruption (tutte) attraverso una combinazione adeguata di processi, policy, procedure e strumenti di prevenzione e risposta. La creazione di questa struttura è precisamente il fine di un BCMS.
Naturalmente, più l’azienda è ampia e complessa a livello organizzativo, più complesso sarà anche il sistema di gestione. In molte grandi aziende, sono infatti presenti ruoli ad hoc per la progettazione, la gestione, il monitoraggio e il miglioramento continuo del BCMS.
Nella creazione di un BCMS, le imprese possono riferirsi a framework specifici e di comprovata completezza ed efficacia, come lo standard ISO 22301.
La norma in questione fornisce in modo specifico le linee guida e i requisiti per l'implementazione di un sistema di gestione della continuità operativa ed è un punto di riferimento internazionale. Ottenerne la certificazione comporta numerosi vantaggi, tra cui la conformità alle best practice di settore e alla normativa in essere, ma anche (e, talvolta, soprattutto) un vero e proprio vantaggio competitivo. Dimostrare ai clienti e ai partner l'adozione di un BCMS a norma ISO 22301 evidenzia l'impegno dell'azienda per la sicurezza e la continuità delle proprie operations e influisce positivamente sulla selezione dei fornitori.
Un BCMS consta di numerosi strumenti finalizzati a preservare la continuità operativa di fronte a qualsiasi causa di disruption.
La Business Impact Analysis è finalizzata a valutare gli impatti derivanti da interruzioni delle attività aziendali. In questa sede si identificano i processi critici, le risorse chiave e le dipendenze che potrebbero compromettere la continuità operativa in caso di incidenti. Per ogni processo critico, vengono definiti i due indicatori chiave RTO (Recovery Time Objective) e RPO (Recovery Point Objective), fondamentali nella progettazione dei processi di disaster recovery.
Un BCMS comprende senz’altro un business continuity plan, che è il documento cardine attorno a cui ruotano le procedure di resilienza aziendale. Questo piano comprende le linee guida e le procedure da seguire in caso di eventi potenzialmente dannosi: vengono definiti i ruoli, le procedure, gli strumenti da adottare e anche strutture e modalità di comunicazione necessarie per minimizzare gli effetti degli eventi imprevisti.
Adottando un approccio sistemico, il BCMS coinvolge di fatto tutta la workforce. È dunque fondamentale promuovere la consapevolezza della disciplina, oltre a fornire training su eventuali procedure da porre in essere e strumenti da attivare. L'obiettivo è integrare la continuità operativa all’interno della cultura e dei processi aziendali, di modo tale che ognuno sia consapevole delle proprie responsabilità in merito e sappia cosa fare (e non fare) in caso di evento avverso.
Un BCMS comprende inoltre una serie di misure e strumenti tecnici dedicati alla salvaguardia della continuità operativa contro le interruzioni dei sistemi informativi. Strumenti tipicamente presenti in un sistema di gestione della continuità operativa sono: