Norma ISO 22301:2012 e BCI good practice guidelines
A cura di: Gianna Detoni, BCI Italian Forum Leader e Presidente di Panta Ray
Quando si parla di gestione del rischio cyber si tende troppo spesso a concentrarsi su soluzioni tecniche piuttosto complesse che, per quanto di fondamentale importanza, spesso si rivelano inutili in assenza di una cultura aziendale improntata sulla prevenzione.
La mancanza di comportamenti appropriati da parte del Management e dello staff, sistemi di governance e di controllo inadeguati e scarsa considerazione per materie come Business Continuity & Crisis Management – viste ancora come un mero strumento di reazione agli incidenti – rendono vani gli sforzi anche delle aziende più tecnicamente avanzate nella gestione del rischio cyber.
In un mondo sempre più interconnesso ed esposto a minacce di tipo tecnologico, sappiamo bene che non può esserci resilienza aziendale senza solide procedure di cyber risk. Tuttavia, una domanda sulla quale troppo poco spesso ci interroghiamo è la seguente: le nostre società possono essere considerate resilienti senza un Sistema di Gestione della Continuità Operativa che affronti il problema delle ‘business disruption’ secondo un approccio olistico e orientato alla prevenzione?
La Norma ISO 22301:2012 – denominata ‘Social Security — Business Continuity Management System — Requirements’ – costituisce lo standard internazionale di riferimento in materia di continuità operativa. Recentemente inclusa nell’elenco delle European Norms, ovvero documenti ratificati da una delle tre European Standardization Organization competenti in materia di produzione di standard tecnici, gli esperti concordano nell’affermare che qualora il Parlamento Europeo dovesse intervenire per fornire dei requisiti di continuità operativa alle Infrastrutture Critiche, tale standard potrebbe addirittura diventare una norma cogente.
Motivo per cui l’implementazione e la successiva certificazione di un Business Continuity Management System secondo i principi dettati dalla Norma ISO 22301:2012 sta diventando sempre più un requisito fondamentale per le organizzazioni che mirano a dare continuità e sostenibilità al proprio business. A livello europeo, sono già diverse le organizzazioni che hanno intrapreso un percorso verso la certificazione: aziende del settore pubblico, istituzioni e naturalmente grandi società appartenenti alla categoria delle cosiddette Infrastrutture Critiche. Senza dimenticare le aziende facenti parte della supply chain dei settori appena menzionati.
Il motivo per cui le organizzazioni si certificano è soprattutto economico. Esiste il timore di non poter partecipare a gare pubbliche, di veder svanire potenziali nuovi contratti per la mancanza di garanzie in materia di continuità operativa o ancora di incorrere in gravi perdite in grado di minacciare addirittura la sopravvivenza dell’organizzazione a fronte di un evento critico. Inoltre, è dimostrato che un Sistema di Gestione della Continuità Operativa conforme alla Norma ISO 22301:2012 conferisce resilienza ed efficienza a tutta l’organizzazione: al giorno d’oggi, infatti, le società che producono più profitti sono quelle che pongono un fortissimo accento sulla propria resilienza e sulla capacità di continuare le proprie attività anche in condizioni di grave crisi.
Raggiungere un simile livello di resilienza al rischio non è impresa banale: si tratta di tradurre un vero e proprio cambiamento culturale aziendale in un sistema di gestione improntato su concetti quali la prevenzione, l’analisi dei processi e delle minacce, la strategia, l’esecuzione di piani specifici e il test delle soluzioni di mitigazione adottate. Il tutto secondo il ciclo di miglioramento continuo (Ciclo di Deming), sul quale la Business Continuity affonda le proprie radici.
Fortunatamente un validissimo supporto metodologico per l’implementazione di un sistema di gestione della continuità operativa è offerto dal Business Continuity Institute (www.thebci.org). Organismo leader nel mondo per lo sviluppo di competenze in materia, dal 1994 il BCI è riconosciuto come il più importante ente di certificazione per i professionisti di business continuity a livello globale. Il ‘BCI Certification Course’ è interamente basato sulle BCI Good Practice Guidelines 2013, un manuale scritto dai migliori professionisti al mondo che fornisce tutte le indicazioni pratiche per strutturare un programma di continuità operativa in azienda.
Il BCI offre inoltre una vasta gamma di risorse per i manager che si preoccupano di aumentare il livello di resilienza delle proprie organizzazioni. Con oltre 8.000 membri all’attivo che lavorano in circa 3.000 Società dei settori privato, pubblico e no-profit in più di 100 Paesi nel mondo, il BCI si impegna nella ricerca dell’eccellenza nella continuità operativa e i suoi titoli statutari sono da sempre garanzia di competenza tecnica e professionale nella continuità operativa.
Da ottobre 2014 finalmente il BCI è presente anche in Italia attraverso un network di professionisti certificati che si è costituito attraverso il lancio del primo BCI Italian Forum (www.thebci.it), una piattaforma di dibattito assolutamente gratuita attraverso la quale i professionisti hanno occasione di confrontarsi sulle tematiche di fondamentale importanza inerenti alla continuità operativa. Il fine di questa iniziativa è quello di far crescere la consapevolezza sull’argomento in modo da condividere metodologie, esperienze e best practice in materia. Un’opportunità per elevare il livello della resilienza delle imprese italiane mediante la diffusione di una cultura della prevenzione e della pianificazione delle strategie di recupero da un incidente.
Gianna Detoni sarà Relatore sul tema “Il Sistema di Gestione della Continuità Operativa – Norma ISO 22301:2012” al Workshop “Enterprise Resilience e Crisis Management” organizzato da The Innovation Group il prossimo 13 ottobre 2015.
ISCRIVITI SUBITO per partecipare!!!!