La gestione del rischio è il cardine della continuità operativa. Come misurare la capacità di un’organizzazione di assorbire impatti improvvisi e adattarsi a un ambiente in evoluzione
Un fenomeno, forse inaspettato, che è balzato agli occhi nei 18 mesi di pandemia è la resilienza che molte organizzazioni hanno dimostrato nel reagire a eventi così negativi. Così come invece l’enorme cassa di risonanza avuta nel caso di interruzioni di servizio dovute a cadute del sistema organizzativo (quanto accaduto ultimamente alla Regione Lazio, per esempio). In realtà, nel mondo normativo ci sono schemi che da sempre mirano al concetto di continuità del business. Il tema da studiare è la capacità dell’organizzazione di riuscire a dare continuità al proprio business, alle proprie attività anche in momenti di crisi o davanti a problematiche che possono manifestarsi all’improvviso. Di solito però, veniva preso in considerazione un improvviso blackout, o la mancanza di connettività o ancora un’improvvisa assenza di personale in una sede dovuta a un incidente o ad altre situazioni non prevedibili. In questi mesi, abbiamo visto aziende con la sede chiusa da un giorno all’altro, personale inibito nella presenza in ufficio in meno di 12 ore. Quali sono stati i risultati? Beh, in molti casi ottimi, ma in altri decisamente no.
Dobbiamo sicuramente tenere conto che in diversi settori, quali la Pubblica Amministrazione e le banche, da diversi anni vigono degli obblighi per le organizzazioni in tal senso e che impongono la definizione di scenari di continuità operativa che devono essere pensati, analizzati e testati. La definizione di business continuity si potrebbe quindi esplicitare con la capacità di un’organizzazione di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente. Su queste tematiche possiamo prendere spunto dalle norme che su questo tema portano molti esempi. Innanzitutto, dobbiamo ricordare che per il concetto di resilienza, la continuità operativa è uno dei punti chiave. C’è una norma, la ISO 22316:2017 il cui titolo è proprio “Sicurezza e Resilienza – Resilienza Organizzativa”, che lavora sulla capacità di un’organizzazione di assorbire e adattarsi a un ambiente in evoluzione che gli consenta di raggiungere i propri obiettivi, di sopravvivere e prosperare. Tutto parte dal concetto di risk management, che deve far sì che l’organizzazione sia sempre vigile su tutti gli scenari che potrebbero manifestarsi sul suo percorso. Proprio per questo, l’organizzazione è portata a sviluppare dei piani di continuità operativa ad ampio spettro che le permettano di affrontare la situazione nel modo migliore possibile.
Sicuramente, la norma per eccellenza è la ISO22301:2019, legata alla gestione della continuità operativa che fonda i propri requisiti sulla capacità dell’organizzazione di reagire. Oltre a tutti gli aspetti comuni alle altre norme, come l’approccio basato sul rischio e il coinvolgimento di tutto il personale, vengono imposti anche degli indicatori per misurare quanto l’organizzazione sia capace di rispondere a eventuali eventi avversi. Due indicatori sono molto interessanti: il primo è la misurazione del massimo tempo accettabile di assenza del servizio. L’impresa deve dimostrare di aver previsto lo scenario e di averne analizzate le implicazioni, arrivando a priori a fornire un riferimento temporale di disservizio massimo. Il secondo è, a valle dell’interruzione, l’identificazione di quanto tempo passa perché i servizi erogati siano ripristinati a un livello minimo accettabile. Sono indicatori molto simili che manifestano l’attenzione che l’impresa deve avere per garantire tutti gli attori esterni interessati all’impresa.
Su questi punti troviamo dei riferimenti anche nella ISO 27001:2013, dove è previsto un controllo specifico che deve definire un Piano di Continuità Operativa atto proprio a garantire la business continuity. Ma in generale tutte le norme gestionali hanno nell’approccio basato sul rischio il loro cardine fondante: perché non c’è nulla di più rischioso per un’azienda che rimanere bloccata e non poter più erogare i propri servizi.
Marco Chesi SQS ITALIA lead auditor – responsabile Norme Sicurezza Informazioni – sqs.it