Il punto di vista di Cyber Academy
BCM è la disciplina che identifica le minacce alle operazioni critiche e progetta piani e procedure per mantenerle operative durante una disruption. Non si tratta di un progetto una tantum. Il team BCM che performa durante un incidente reale è quello che ha condotto un esercizio tabletop quattro mesi prima e ha documentato i punti di fallimento.
Che cosa copre realmente la gestione della continuità operativa
La gestione della continuità operativa è la disciplina di gestione che mantiene in funzione le attività più importanti di un'organizzazione, o le ripristina rapidamente, quando qualcosa va storto. L'evento scatenante può essere un incidente informatico, il collasso di un fornitore, un'alluvione, un'interruzione di corrente o una pandemia. Non è necessario prevedere la minaccia per nome. Ciò che conta è che l'attività che essa metterebbe fuori uso sia stata identificata, classificata per priorità e dotata di un piano testato per ripristinarla entro un intervallo accettabile.
Il perimetro è volutamente ampio. La gestione della continuità operativa considera le persone, le sedi, la tecnologia, i fornitori e le informazioni, non solo il patrimonio informatico. È questa la prima cosa che la distingue dal disaster recovery, il sottoinsieme incentrato sull'informatica che riguarda il ripristino dell'infrastruttura, delle applicazioni e dei dati. Una banca può ripristinare ogni server e comunque non riuscire a operare perché il call center non ha un posto dove insediarsi e il terzo che valorizza le sue operazioni è fuori servizio. La gestione della continuità operativa è responsabile di questo quadro complessivo.
È inoltre un ciclo continuo, non un progetto con una data di scadenza. I piani diventano obsoleti nel momento in cui un'organizzazione si riorganizza, adotta un nuovo sistema o integra un nuovo fornitore critico. I team che sono all'altezza durante un incidente reale sono quelli che hanno provato di recente uno scenario e annotato ciò che non ha funzionato, per poi correggerlo prima del giro successivo.
Il ciclo di vita fondamentale della gestione della continuità operativa
La maggior parte dei programmi segue una sequenza riconoscibile, rispecchiata nella norma internazionale ISO 22301:
- Analisi di impatto sul business. Lo studio strutturato che classifica ogni attività in base alla gravità con cui l'interruzione la danneggia nel tempo e produce gli obiettivi di ripristino.
- Valutazione del rischio. Identificare le minacce e le vulnerabilità con maggiore probabilità di interrompere le attività prioritarie.
- Strategia e soluzioni. Scegliere come mantenere in funzione le attività o ripristinarle: siti alternativi, soluzioni alternative, ridondanza, diversificazione dei fornitori.
- Piani e procedure. Redigere il piano di continuità operativa, la struttura di risposta agli incidenti e i runbook di ripristino che le persone useranno effettivamente sotto pressione.
- Esercitazioni e revisione. Esercitazioni teoriche e test dal vivo, revisioni post-incidente e audit che reimmettono le correzioni nel ciclo.
Il posto della gestione della continuità operativa nel panorama normativo
La continuità è passata da buona pratica a obbligo vigilato in diversi settori. ISO 22301 specifica i requisiti di un sistema di gestione della continuità operativa certificabile ed è il riferimento a cui si allinea la maggior parte delle organizzazioni. Nell'Unione europea, il Digital Operational Resilience Act stabilisce aspettative di continuità e di test per le entità finanziarie, e la Direttiva NIS 2 richiede misure di continuità operativa, comprese le copie di backup e la gestione delle crisi, agli operatori dei settori essenziali e importanti.
La certificazione non è obbligatoria per condurre bene la gestione della continuità operativa, ma fornisce ad auditor, autorità di regolamentazione e grandi clienti una base riconosciuta. Che un programma persegua o meno un certificato, si applicano le stesse discipline: conoscere le proprie attività critiche, fissare obiettivi di ripristino difendibili, redigere piani utilizzabili e dimostrare che funzionano testandoli.
Frequently asked questions
01Qual è la differenza tra continuità operativa e disaster recovery?
Il disaster recovery è il sottoinsieme della continuità operativa incentrato sull'informatica, che ripristina l'infrastruttura, le applicazioni e i dati. La continuità operativa è più ampia: copre le persone, le sedi, i fornitori e i processi oltre alla tecnologia, in modo che l'intera organizzazione possa continuare a operare.
02La certificazione ISO 22301 è obbligatoria per la gestione della continuità operativa?
No. ISO 22301 è la norma internazionale rispetto alla quale è possibile certificare un sistema di gestione della continuità operativa, ma condurre bene la gestione della continuità operativa non richiede un certificato. La certificazione fornisce ad autorità di regolamentazione e clienti una base riconosciuta ed è sempre più attesa nei settori regolamentati.
03Da dove provengono RTO e RPO in un programma di gestione della continuità operativa?
Sono risultati dell'analisi di impatto sul business. L'RTO è il tempo massimo per cui un processo può rimanere inattivo prima di un danno inaccettabile, e l'RPO è la perdita massima di dati tollerabile misurata nel tempo. Entrambi dovrebbero essere convalidati dai responsabili del business, non fissati dall'IT da solo.
04Con quale frequenza dovrebbero essere testati i piani di continuità operativa?
Testate regolarmente anziché annualmente. Le esercitazioni teoriche sono economiche e rapide ed espongono lacune che le revisioni documentali non colgono, per cui molti programmi le svolgono trimestralmente e le integrano con test periodici di ripristino dal vivo.
05Chi dovrebbe essere responsabile della gestione della continuità operativa in un'organizzazione?
La responsabilità spetta all'alta direzione, perché le decisioni di continuità sono decisioni di business riguardanti i tempi di inattività accettabili e gli investimenti. Un coordinatore o un responsabile della continuità operativa guida il ciclo di vita, ma ogni attività critica ha bisogno di un responsabile che convalidi i suoi obiettivi di ripristino e il suo piano.