Cos'è?
La norma ISO 22301 rappresenta lo standard di riferimento per la certificazione dei sistemi di gestione della continuità operativa. È pertinente per tutte le tipologie di imprese, senza distinzioni di settore o dimensioni.
Questa norma definisce i criteri per un efficace Sistema di Gestione per la Continuità Operativa (Business Continuity).
Consiste in una metodologia certificabile che incorpora una serie di pratiche finalizzate a preservare la continuità operativa in condizioni avverse, riducendo l’effetto di potenziali incidenti su clienti, stakeholder e l’intero ecosistema aziendale.
ISO 22301 è un approccio efficace per mantenere la sicurezza, assicurare una gestione aziendale di alto livello e garantire la conformità, tutelando l’immagine e la reputazione dell’azienda e costruendo un rapporto di fiducia con fornitori, stakeholder e clienti.
Le aziende attente alla propria efficienza adottano strategie di gestione dei rischi legati alla sicurezza attraverso un Information Security Management System (ISMS).
Un Sistema di Gestione della Sicurezza delle Informazioni comprende un insieme di policy e procedure che abbracciano tutti gli aspetti della gestione IT, inclusi quelli fisici, logici, organizzativi e legali. Questo sistema assicura che la sicurezza delle informazioni sia una responsabilità condivisa tra tutte le funzioni aziendali.
L'obiettivo della norma: la resilienza aziendale
Implementando una strategia di resilienza, o “resistenza flessibile”, che comprende obiettivi di recupero, piani di gestione per la Continuità Operativa e per gli incidenti coordinati e integrati all’interno di una gestione del rischio olistica, si può assicurare alle aziende la capacità di mantenere operatività anche in situazioni difficili.
La norma ISO 22301 è concepita con obiettivi ampi per essere applicabile a ogni tipo di organizzazione, indipendentemente dalle loro dimensioni, dalla loro portata geografica (locale, nazionale o globale) e dalla loro natura (pubblica o privata).
Come si articola la norma?
La norma ISO 22301 è strutturata in 10 sezioni, progettate per gestire vari aspetti dell’ambiente aziendale e guidare i diversi processi verso l’obiettivo di stabilire un efficace sistema di gestione della continuità operativa.
Questo sistema permette all’azienda di esaminare una varietà di scenari di emergenza, valutandone l’impatto sulle proprie operazioni e identificando soluzioni appropriate.
L’obiettivo di questa analisi è quello di mantenere la produzione o la fornitura dei servizi in tempi e modi che siano accettabili per i clienti, fino al recupero delle normali attività lavorative. In pratica, la norma ISO 22301 fornisce alle aziende gli strumenti necessari per assicurare la propria continuità operativa anche in situazioni straordinarie.
Perché certificarsi alla norma 22301
Adottando le linee guida stabilite dalla norma ISO 22301, l’azienda sarà in grado di:
- Minimizzare le perdite economiche causate da interruzioni impreviste delle attività.
- Mantenere le operazioni in corso, anche in circostanze di emergenza, un fattore di cruciale importanza in settori con un forte impatto sociale.
- Guadagnare un vantaggio competitivo nel mercato.
- Promuovere lo sviluppo di una politica aziendale che sia preparata a gestire eventi imprevisti, instaurando una cultura di resilienza essenziale in periodi di significativi cambiamenti.
I vantaggi della Iso 22301
Il rispetto dello standard ISO 22301 richiede la creazione di piani solidi. L’idea è di sviluppare strategie per affrontare e persino prevenire le minacce.
Implementando una guida breve e utilizzabile per molti scenari, puoi pianificare la risoluzione di quasi tutti gli incidenti. Il tuo team può mettere rapidamente in atto le strategie, riducendo i tempi di risposta.
La maggior parte delle interruzioni dell’attività si traduce in una perdita di entrate. Con un BCMS, puoi proteggere i profitti tramite strategie per continuare a servire i tuoi clienti durante gli incidenti.
Se fornisci ad altre organizzazioni, puoi sbloccare più opportunità con la certificazione ISO 22301.
Il modo in cui la tua azienda risponde a una crisi può influire sulla tua credibilità
Una sfida per molte organizzazioni è il non sapere cosa aspettarsi. Non sanno quali rischi sono possibili e quali potrebbero avere l’impatto più significativo. Impegnandosi in una valutazione approfondita del rischio, è possibile scoprire queste minacce.
La ISO 22301 richiede che la leadership sia fortemente coinvolta nel sistema di gestione della continuità aziendale.
Con un BCMS completo, sai cosa sei pronto a gestire. Puoi prevenire gli incidenti e risolverli con le tue risorse interne.
In generale, le interruzioni dell’attività non sospenderanno i requisiti normativi. Le strategie di business continuity possono aiutarti a soddisfare le normative in tempi difficili e ad implementare rapidamente nuove politiche e procedure in risposta al cambiamento delle leggi.
Come inizia il percorso vero la certificazione Iso 22301 con Safecore
Come per ogni certificazione ISO, per conseguirla è necessario soddisfare una serie di requisiti, sia in termini operativi che legali e amministrativi.
Il processo inizia con un pre-audit del Business Continuity Management System (BCMS) condotto dai professionisti di Safecore, volto a valutare lo stato corrente delle procedure aziendali relative alla continuità operativa. Dopo questa analisi iniziale, i tecnici e gli esperti di Safecore, attraverso un’analisi delle lacune (gap analysis), definiranno le azioni necessarie per intraprendere il percorso verso la certificazione. Insieme al cliente, elaboreranno un piano strategico adeguato per raggiungere questo obiettivo.
I vari step
- Policy di BC – Determinazione
- Campo di Applicazione del BCP – Definizione
- Governance – Determinazione
- Ruoli e Responsabilità – Assegnazione
- BCP – Determinazione
- Cultura Organizzativa – Comprensione e influenza
- Competenze e skill – Definizione
La cultura della BC deve essere comunicata ed implica il coinvolgimento delle parti interessate; è necessario garantire l’erogazione di formazione ed apprendimento adeguato.
- Processi, Prodotti & Servizi ed Attività – Analisi d’impatto Operativo
- Rischi e Minacce – Definizione e valutazione
L’Analisi prende in esame l’organizzazione per individuarne gli obiettivi, le funzionalità e i vincoli dell’ambiente in cui opera. Vengono definiti i requisiti di BC in termini risorse e skills per continuare a fornire i prodotti, i servizi, i processi e le attività prioritarie a seguito di un’interruzione e di tempo:
- MTDP – Maximum Tolerable of Disruption Period: il tempo massimo tollerabile che può trascorrere a fronte degli impatti negativi conseguenti ad un incidente
- RTO – Return Time Objective: periodo di tempo entro il quale i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo l’incidente che ha generato la discontinuità
- Soluzioni di BC – Progettazione
- Misure di Mitigazione e dei Rischi e delle Minacce – Progettazione
Si determinano le soluzioni che devono essere implementate per continuare ad operare a seguito di un’interruzione, sulla base dei requisiti di Business Continuity individuati nella BIA e sulla base dei risultati della valutazione dei rischi e delle minacce.
- Struttura di Risposta – Definizione dei ruoli necessari, i poteri e le competenze richieste per gestire un incidente
- Sviluppo e Gestione dei Piani – Realizzazione delle soluzioni concordate in Fase 3 e 4
Molte interruzioni richiedono l’attivazione di diversi piani di riposta per poter gestire efficacemente lo stesso incidente. È pertanto necessario, in un’ottica di approccio olistico, che il BC Manager collabori con altri esperti.
- Sviluppo di un Piano di Esercitazioni
- Sviluppo di un’Esercitazione
- Mantenimento
- Revisione
Il BCP deve soddisfare gli obiettivi stabiliti nella policy e verificare l’efficacia dei piani e delle procedure in vigore, la loro accuratezza e completezza, in un’ottica di miglioramento continuo ed attraverso esercitazioni atte a formare, testare, valutare, praticare e migliorare le capacità di BC dell’organizzazione.
La nostra metodologia
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor
La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Cosa prevede il processo di certificazione
Il processo per ottenere la certificazione implica una serie di passi cruciali:
- Determinare l’obiettivo della certificazione.
- Pre-audit – un’analisi iniziale delle lacune rispetto allo stato attuale e una valutazione confrontata con gli standard.
- Audit di certificazione, articolato in due fasi:
- Esame preliminare dell’organizzazione e della sua prontezza per la certificazione.
- Valutazione dell’attuazione del quadro fondamentale del Sistema di Gestione per la Continuità Operativa (per esempio, politiche aziendali, analisi di impatto sulla gestione, gestione dei rischi, strategie di continuità operativa, piani di gestione degli incidenti, conformità a leggi e normative).
- Rilascio del certificato, con validità triennale.
- Audit di sorveglianza – controllo del progresso continuo.
- Rinnovo – un audit completo o una valutazione costante al termine dei tre anni.
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
- redazione dell’apparato documentale;
- analisi dei rischi;
- supporto per audit interni;
- attività di riesame;
- formazione;
- affiancamento durante gli audit degli enti certificatori.
Chi ne può beneficiare?
La certificazione ISO 22301 è rivolta a tutte le aziende che mirano a svilupparsi e crescere.
Il Sistema di Gestione per la Business Continuity può essere visto come un’evoluzione del Sistema di Gestione della Qualità ISO 9001. Mentre la ISO 9001 si concentra sul miglioramento della gestione delle attività quotidiane, il Business Continuity Management è progettato per sostenere, recuperare e ristabilire i processi in seguito a interruzioni di varia entità.
