Indice
Piano di continuità operativa
Il piano di continuità operativa[1][2] (abbreviato in PCO; in inglese Business Continuity Plan, in breve BCP) è l'insieme di procedure documentate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello pre-definito le attività a seguito di un'interruzione. Tipicamente, il piano copre le risorse, i servizi e le attività richieste per assicurare la continuità delle funzioni organizzative critiche[3].
Rappresenta uno dei principali output del ciclo di vita della gestione della continuità operativa ed è declinato per qualsiasi tipo di organizzazione (pubblica, privata o anche no-profit) e per qualsiasi livello dell'organizzazione (strategico, tattico e operativo) con l'obiettivo di aumentarne la resilienza.
I tipi di piani sono influenzati dalla natura, dalle dimensioni e dalla complessità dell'organizzazione: per una piccola organizzazione, ad esempio, può essere pratico sviluppare un unico piano di continuità operativa che tenga conto delle funzioni o dei processi principali; per una grande multinazionale, invece, potrebbe rendersi necessaria la creazione di piani strutturati per prodotti, servizi, sedi, divisioni o dipartimenti.
Il piano di continuità operativa può comprendere a sua volta dei piani specifici che includano procedure e informazioni particolari che - per motivi di migliore utilizzabilità e/o di dimensioni - è preferibile vengano trattate separatamente. A titolo esemplificativo, si pensi al Piano di crisi, al Piano pandemico o al Piano di comunicazione nella crisi. Tali piani specifici fanno comunque parte del piano di continuità operativa dell’organizzazione.
Il piano nel ciclo di vita della continuità operativa
[modifica | modifica wikitesto]L'implementazione di un piano di continuità operativa è solo una delle fasi del ciclo di vita della gestione della continuità operativa. Per poter sviluppare piani che siano coerenti con gli obiettivi dell'organizzazione, occorre effettuare - sia prima che dopo la stesura del piano - una serie di attività.
Il Business Continuity Institute, che è uno dei principali enti di riferimento a livello internazionale per lo sviluppo di metodologie e competenze in materia di continuità operativa, riassume queste attività in 6 diverse fasi iterative:
- Politiche e gestione del programma, che prevede la definizione di una politica aziendale in materia di continuità operativa e di un programma di gestione della continuità operativa;
- Incorporazione della continuità operativa, che mira a integrare la continuità operativa con le attività di business quotidiane e la cultura organizzativa;
- Analisi, che comprende la Business Impact Analysis e l'Analisi delle Minacce;
- Progettazione, che ha l'obiettivo di identificare e selezionare le appropriate strategie e tattiche per determinare il modo in cui saranno raggiunti gli obiettivi di continuità operativa e il recupero dell'operatività a seguito di interruzioni;
- Implementazione, che è la fase in cui vengono messe in atto le strategie e le tattiche e viene attivato il processo di sviluppo del piano di continuità operativa;
- Convalida, che attraverso attività di test, esercitazioni, valutazioni di performance e revisioni di audit conferma che il Programma di gestione della continuità operativa soddisfi gli obiettivi stabiliti nelle politiche dell'organizzazione e che il Piano dell’organizzazione sia adatto allo scopo.
Finalità
[modifica | modifica wikitesto]Gli obiettivi del piano di continuità operativa sono molteplici:
- A livello strategico, garantire la corretta gestione di eventi critici potenzialmente in grado di minacciare la sopravvivenza stessa dell'organizzazione (ad esempio: crisi di reputazione);
- A livello tattico, coordinare le attività e gli sforzi delle diverse funzioni dell'organizzazione per garantire la continuità operativa dei processi aziendali a seguito di un'interruzione;
- A livello operativo, definire i passaggi fondamentali che devono essere intrapresi dai team di risposta alle emergenze.
In altri termini, il piano di continuità operativa costituisce lo strumento principale attraverso cui un'organizzazione si prepara ad affrontare interruzioni future di qualsiasi genere.
L'implementazione di un Piano di Continuità Operativa consente inoltre di:
- Preservare la crescita, il valore e la reputazione dell'organizzazione, aumentando di conseguenza la fiducia degli stakeholder;
- Costruire nel tempo la capacità di continuare a operare in maniera coordinata anche a seguito di un incidente;
- Dimostrare «diligenza» e sostenibilità nella gestione;
- Migliorare la capacità competitiva;
- Accrescere il livello di resilienza dell’organizzazione.
Infine, il piano di continuità operativa si propone di minimizzare il tempo di interruzione dei processi aziendali e di garantire l'efficacia e l'efficienza delle procedure di ripristino fino al ritorno alla normalità.
Caratteristiche
[modifica | modifica wikitesto]Dal momento che il piano di continuità operativa è un documento che si presuppone di dover utilizzare in situazioni di forte stress (a seguito di un incidente o di un evento critico), è necessario che abbia determinate caratteristiche che ne supportino la consultazione e l'utilizzo.
I piani che compongono il BCP devono quindi essere:
- Diretti, ovvero in grado di fornire direzioni chiare, orientate all'azione e basate sul tempo, consentendo un rapido accesso alle informazioni di supporto pertinenti;
- Adattabili, ovvero tali da consentire all'organizzazione di rispondere a una vasta gamma di incidenti gravi, compresi quelli che l'organizzazione potrebbe non aver previsto;
- Concisi, ovvero che contengano esclusivamente una guida delle azioni da intraprendere e informazioni / strumenti che serviranno al team in un grave incidente (tutto il resto è superfluo e non va incluso);
- Rilevanti, ovvero che contengano informazioni attuali e applicabili al team che le dovrà utilizzare.
Il Piano di Continuità Operativa dovrà coprire inoltre tutte le fasi della risposta a un incidente, dalla risposta iniziale fino alla ripresa delle normali attività.
Non esiste un'unica soluzione su come strutturare i piani. Pertanto è necessaria una combinazione di una generale esperienza dell'operatività, la conoscenza dell'organizzazione e l'esperienza di continuità operativa per trovare le caratteristiche che più si adattano all'organizzazione per cui il Piano viene implementato.
Un programma di mantenimento del piano di continuità operativa deve essere messo in atto per garantire che sia tenuto costantemente aggiornato, anche attraverso specifiche attività di test ed esercitazioni.
Contenuti e struttura
[modifica | modifica wikitesto]Sebbene non vi sia un'unica struttura possibile per lo sviluppo dei piani, che possono variare sensibilmente a seconda del livello (strategico, tattico o operativo) per cui si definisce una risposta a un evento critico, è possibile identificare una serie di elementi comuni:
- Informazioni sul documento, come ad esempio il nome del dipartimento per cui il Piano è stato implementato e dettagli in merito al processo di controllo ed esercitazione del Piano stesso;
- Obiettivi, ovvero cosa ci si propone di ottenere attraverso lo sviluppo del Piano;
- Campo di applicazione, ovvero le dimensioni massime degli incidenti coperti dal BCP;
- Limiti, quindi una breve lista di condizioni alle quali il Piano non si applica;
- Ruoli e responsabilità relative alla gestione degli incidenti;
- Criteri decisionali, per stabilire la gravità di un incidente o di una crisi e i relativi livelli dell'organizzazione che necessitano di essere coinvolti;
- Procedure di invocazione che stabiliscano chi è responsabile per l'attivazione del Piano e la mobilitazione dei team di risposta agli incidenti;
- Procedure di escalation, ovvero il processo da seguire per attivare i più alti livelli di management (qualora la tipologia di incidente lo richieda);
- Priorità di intervento in base ai Recovery Time Objective, ai Recovery Point Objective e alle criticità definiti ed emersi nella fase di Progettazione, a valle dell'Analisi;
- Controllo delle attività che devono essere intraprese;
- Processi di comunicazione, sia interni (tra i vari gruppi coinvolti e verso il personale) che soprattutto verso l'esterno;
- Liste di contatto degli stakeholder principali;
- Procedura di disattivazione del Piano, per consentire un ritorno organizzato e ordinato all'utilizzo delle procedure ordinarie;
- Riferimenti a qualsiasi altro piano o politiche dell'organizzazione.
I contenuti del piano di continuità operativa devono essere esposti in maniera sintetica, per essere effettivamente fruibili in caso di necessità.
Standard e norme di riferimento
[modifica | modifica wikitesto]Nel mese di maggio del 2012 è stata pubblicata dall'International Organization for Standardization la Norma ISO 22301:2012 Societal security -- Business continuity management systems -- Requirements[4], alla quale nel mese di dicembre ha fatto seguito la Norma ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance[5]. Nel mese di dicembre del 2015, invece, sono state emanate le seguenti Technical Specification correlate: ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)[6] e ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity[7].
In materia di gestione delle crisi, invece, nel mese di maggio del 2014 è stato pubblicato dal British Standards Institution la Norma BS 11200:2014 Crisis management -- Guidance and good practice[8].
Tutti questi standard forniscono un metodo formalizzato per garantire che il Programma di continuità operativa e gestione delle crisi dell’organizzazione sia efficace e allineato alla cultura e ai requisiti dell'organizzazione. L’approccio dei Sistemi di Gestione è utilizzato anche per altre discipline - come l'Information Security (Norma ISO/IEC 27001:2013[9]) e la Qualità (Norma ISO 9001:2015[10]) e quindi un sistema di gestione del piano di continuità operativa può essere facilmente aggiunto poiché vi è una convergenza di tali Sistemi intorno a un testo standard comune.
Infine, il Business Continuity Institute:
- nel 2013 ha rilasciato le BCI Good Practice Guidelines - basate sulla Norma ISO 22301:2012 - che ad oggi rappresentano il principale punto di riferimento a livello internazionale dei professionisti di continuità operativa per la gestione di un Programma di continuità operativa in azienda;
- nel 2016 ha pubblicato il BCM Legislations, Regulations & Standards Report che riassume tutti i riferimenti normativi in materia per ciascun singolo Paese.
Note
[modifica | modifica wikitesto]- ^ Modello generale di piano di continuità operativa TIC (PDF), su agid.gov.it, Agenzia per l'Italia digitale.
- ^ Piano di continuità operativa (PDF) [collegamento interrotto], su codau.it.
- ^ (EN) ISO 22300:2012 - Societal security -- Terminology, su ISO. URL consultato il 22 gennaio 2017.
- ^ (EN) ISO 22301:2012 - Societal security -- Business continuity management systems --- Requirements, su ISO. URL consultato il 21 gennaio 2017.
- ^ (EN) ISO 22313:2012 - Societal security -- Business continuity management systems -- Guidance, su ISO. URL consultato il 21 gennaio 2017.
- ^ (EN) ISO/TS 22317:2015 - Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA), su ISO. URL consultato il 21 gennaio 2017.
- ^ (EN) ISO/TS 22318:2015 - Societal security -- Business continuity management systems -- Guidelines for supply chain continuity, su ISO. URL consultato il 21 gennaio 2017.
- ^ BS 11200:2014 Crisis management. Guidance and good practice, su shop.bsigroup.com. URL consultato il 21 gennaio 2017.
- ^ (EN) ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems -- Requirements, su ISO. URL consultato il 22 gennaio 2017.
- ^ (EN) ISO 9001:2015 - Quality management systems -- Requirements, su ISO. URL consultato il 22 gennaio 2017.
Voci correlate
[modifica | modifica wikitesto]- Continuità operativa
- Gestione della continuità operativa
- Business Impact Analysis
- Maximum Tolerable Period of Disruption
- Recovery Time Objective
- Recovery Point Objective
- Crisis Management
- Crisis Plan
- Supply Chain Continuity Management
- Risk Management
- Disaster Recovery
- ISO 22301:2012
- ISO 22313:2012
- ISO TS 22317:2015
- ISO TS 22318:2015
- Resilience Engineering
- Resilienza Organizzativa
Altri progetti
[modifica | modifica wikitesto]- Wikimedia Commons contiene immagini o altri file su Piano di continuità operativa