Operare in condizioni di emergenza: il Sistema di Gestione della Continuità Operativa
Esistono situazioni in cui, “per causa di forza maggiore” un’azienda è costretta a interrompere la propria attività, con tutti i costi che ne conseguono. I motivi possono essere tanti: un black out elettrico, un terremoto, il fallimento di un fornitore di prodotti, o perché no, un aggiornamento software difettoso. Ma è proprio vero che, in caso di “incidente”, le attività si devono fermare completamente per un tempo più o meno lungo, oppure, con una attenta pianificazione, è possibile limitare i danni?
La risposta sta nella norma ISO 22301 “Sicurezza e resilienza - Sistemi di gestione per la continuità operativa – Requisiti”. Il titolo dice tutto: è possibile pianificare e gestire la continuità del business.
Cosa prevede la norma
La ISO 22301 condivide la struttura di alto livello comune a tutte le norme ISO che trattano Sistemi di Gestione.
La prima cosa da fare è comprendere il contesto in cui si opera e le aspettative delle parti interessate, ovviamente in termini di continuità operativa. Per esempio:
- La sede dell’azienda si trova in un luogo esposto a terremoti, incendi, inondazioni?
- Ci sono fornitori fondamentali per il ciclo produttivo che sono difficili da sostituire?
- Ci sono sistemi informatici essenziali per lo svolgimento delle attività?
- Qual è il margine di ritardo nella fornitura di prodotti e/o servizi che i clienti sono disposti ad accettare?
- Qual è il livello minimo di servizio che si vuole garantire in situazioni di emergenza?
Le ultime due domande coprono un requisito specifico della norma: è necessario definire un tempo entro il quale si vuole tornare operativi e un livello minimo di attività che si vuole raggiungere (che può essere inferiore a quello che si riscontra in condizioni normali).
La pianificazione parte da un’analisi di impatto, cioè dall’identificare i possibili eventi che possono portare a una interruzione della continuità, per arrivare alla definizione di un piano di continuità operativa che identifichi le azioni da mettere in atto di caso in caso. Ovviamente, come in ogni Sistema di Gestione, il tutto deve essere affiancato dai processi di supporto, per esempio quelli relativi alle risorse e, soprattutto, dal miglioramento continuo, cioè dall’analisi degli eventi che si sono verificati, incluse le simulazioni di emergenza che si sono condotte, per rivedere l’analisi di impatto e il piano di continuità operativa nell’ottica di una sempre maggiore efficacia.
A chi è utile la certificazione
Quali sono le aziende che possono essere interessate a questo sistema di gestione? Sicuramente quelle per le quali la continuità operativa è un requisito fortemente richiesto dal cliente, per esempio chi opera nel settore dell’informatica gestendo data center o altri sevizi critici e chi gestisce infrastrutture (reti di distribuzione, aeroporti, ospedali ecc…).
Tuttavia, una interruzione della continuità operativa è un danno in termini economici e reputazionali per l’azienda, per cui chiunque potrebbe trarre vantaggio dall’attuazione di un Sistema che consente di evitare o ridurre le interruzioni.
La certificazione di parte terza è la conclusione ideale del percorso di attuazione del Sistema di Gestione perché consente, da un lato, di dimostrare a tutte le parti interessate, prima fra tutte i clienti, che il Sistema di Gestione è attivo ed efficace e poi perché, attraverso il processo di audit, svolto da specialisti competenti in materia, vengono messi in luce punti di forza e di debolezza.
ICMQ ha sviluppato il servizio di certificazione di conformità alla norma ISO 22301 e ha in corso la procedura di accreditamento presso Accredia. La presenza dell’accreditamento è un altro elemento fondamentale ai fini della credibilità delle certificazioni rilasciate perché attesta che l’Organismo di Certificazione opera con tutto il rigore e la competenza necessari.