Cos'è?
La norma ISO 22301 è il riferimento normativo per la certificazione del sistema di gestione della continuità operativa. Si applica a tutte le realtà aziendali, indipendentemente dal settore e dalla dimensione.
La norma ISO 22301 stabilisce i requisiti per un efficiente Sistema di Gestione per la Business Continuity (Continuità Operativa).
Si tratta di una metodologia certificabile costituita da un insieme di prassi volte al mantenimento della Continuità Operativa sotto avverse condizioni, minimizzando l’impatto di potenziali incidenti su clienti, stakeholder e sull’intero “ecosistema aziendale”.
È un metodo efficiente per mantenere la sicurezza, garantendo un buon livello di gestione aziendale e conformità, proteggendo l’immagine e la reputazione e creando un clima di fiducia per fornitori, portatori di interesse e clienti.
Ogni azienda che curi la propria efficienza ormai gestisce tutti i rischi legati alla sicurezza tramite un Information Security Management System (ISMS).
Un Sistema di Gestione della Sicurezza delle Informazioni è un insieme di policy e procedure che include tutti gli ambiti della gestione IT: fisici, logici, organizzativi e legali. Grazie a questa struttura la sicurezza delle informazioni coinvolge così tutte le funzioni aziendali.
L'obiettivo della norma: la resilienza aziendale
Attraverso l’introduzione di una adeguata strategia di “resistenza flessibile” o resilienza, costituita da obiettivi di ripristino, piani di gestione della Continuità Operativa e degli incidenti, che siano coordinati tra loro e facenti parte di un approccio integrato di gestione del rischio, è possibile garantire alla struttura aziendale la possibilità di operare con continuità anche in condizioni avverse.
Lo standard ISO 22301 lavora su obiettivi ampi, in modo da essere applicabile a tutte le organizzazioni, siano esse piccole, medie, grandi, locali, nazionali o globali, pubbliche o private.
Come si articola la norma?
La norma ISO 22301 si articola in 10 sezioni, pensate per organizzare tutti gli aspetti della vita aziendale e far convergere i diversi processi aziendali verso l’obiettivo d’implementare un sistema di gestione della continuità operativa.
Si tratta un sistema attraverso il quale l’azienda analizza molteplici scenari emergenziali, ne prevedere l’impatto sulla sua capacità operativa e studia soluzioni.
Lo scopo di tale analisi è quello di proseguire con la produzione o l’erogazione dei servizi, in tempi e modalità accettabili per i clienti, fino al ripristino della normale attività lavorativa. In concreto, la norma ISO 22301 offre all’azienda strumenti per considerare la propria continuità operativa anche in condizioni straordinarie.
Perché certificarsi alla norma 22301
Seguendo le indicazioni fornite dalla norma l’azienda potrà:
- Ridurre i danni economici derivanti da un’interruzione inaspettata dell’attività.
- Continuare la propria attività, anche in situazioni di emergenza. Questo aspetto è particolarmente importante nei settori che hanno un impatto sociale.
- Avere un vantaggio competitivo.
- Favorire lo sviluppo di una politica aziendale capace di far fronte a situazioni inaspettate attraverso una cultura della resilenza, fondamentale in momenti di grandi cambiamenti.
I vantaggi della Iso 22301
Il rispetto dello standard ISO 22301 richiede la creazione di piani solidi. L’idea è di sviluppare strategie per affrontare e persino prevenire le minacce.
Implementando una guida breve e utilizzabile per molti scenari, puoi pianificare la risoluzione di quasi tutti gli incidenti. Il tuo team può mettere rapidamente in atto le strategie, riducendo i tempi di risposta.
La maggior parte delle interruzioni dell’attività si traduce in una perdita di entrate. Con un BCMS, puoi proteggere i profitti tramite strategie per continuare a servire i tuoi clienti durante gli incidenti.
Se fornisci ad altre organizzazioni, puoi sbloccare più opportunità con la certificazione ISO 22301.
Il modo in cui la tua azienda risponde a una crisi può influire sulla tua credibilità
Una sfida per molte organizzazioni è il non sapere cosa aspettarsi. Non sanno quali rischi sono possibili e quali potrebbero avere l’impatto più significativo. Impegnandosi in una valutazione approfondita del rischio, è possibile scoprire queste minacce.
La ISO 22301 richiede che la leadership sia fortemente coinvolta nel sistema di gestione della continuità aziendale.
Con un BCMS completo, sai cosa sei pronto a gestire. Puoi prevenire gli incidenti e risolverli con le tue risorse interne.
In generale, le interruzioni dell’attività non sospenderanno i requisiti normativi. Le strategie di business continuity possono aiutarti a soddisfare le normative in tempi difficili e ad implementare rapidamente nuove politiche e procedure in risposta al cambiamento delle leggi.
Come inizia il percorso vero la certificazione Iso 22301 con Safecore
Come avviene per tutte le certificazioni ISO, per ottenerle è necessario ottemperare a diversi adempimenti, sia dal punto di vista operativo, sia dal punto di vista legale e amministrativo.
- Il primo passaggio, affidato agli esperti di Safecore, è quello di effettuare un pre-audit BCMS, per verificare lo stato attuale delle procedure aziendali in termini di continuità operativa.
- Al temine di questa revisione, i tecnici e gli specialisti di Safecore provvederanno tramite una gap analysis a definire gli interventi da intraprendere per avviare il percorso di certificazione e ottenerla, individuando con il cliente un’adeguata roadmap.
I vari step
- Policy di BC – Determinazione
- Campo di Applicazione del BCP – Definizione
- Governance – Determinazione
- Ruoli e Responsabilità – Assegnazione
- BCP – Determinazione
- Cultura Organizzativa – Comprensione e influenza
- Competenze e skill – Definizione
La cultura della BC deve essere comunicata ed implica il coinvolgimento delle parti interessate; è necessario garantire l’erogazione di formazione ed apprendimento adeguato.
- Processi, Prodotti & Servizi ed Attività – Analisi d’impatto Operativo
- Rischi e Minacce – Definizione e valutazione
L’Analisi prende in esame l’organizzazione per individuarne gli obiettivi, le funzionalità e i vincoli dell’ambiente in cui opera. Vengono definiti i requisiti di BC in termini risorse e skills per continuare a fornire i prodotti, i servizi, i processi e le attività prioritarie a seguito di un’interruzione e di tempo:
- MTDP – Maximum Tolerable of Disruption Period: il tempo massimo tollerabile che può trascorrere a fronte degli impatti negativi conseguenti ad un incidente
- RTO – Return Time Objective: periodo di tempo entro il quale i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo l’incidente che ha generato la discontinuità
- Soluzioni di BC – Progettazione
- Misure di Mitigazione e dei Rischi e delle Minacce – Progettazione
Si determinano le soluzioni che devono essere implementate per continuare ad operare a seguito di un’interruzione, sulla base dei requisiti di Business Continuity individuati nella BIA e sulla base dei risultati della valutazione dei rischi e delle minacce.
- Struttura di Risposta – Definizione dei ruoli necessari, i poteri e le competenze richieste per gestire un incidente
- Sviluppo e Gestione dei Piani – Realizzazione delle soluzioni concordate in Fase 3 e 4
Molte interruzioni richiedono l’attivazione di diversi piani di riposta per poter gestire efficacemente lo stesso incidente. È pertanto necessario, in un’ottica di approccio olistico, che il BC Manager collabori con altri esperti.
- Sviluppo di un Piano di Esercitazioni
- Sviluppo di un’Esercitazione
- Mantenimento
- Revisione
Il BCP deve soddisfare gli obiettivi stabiliti nella policy e verificare l’efficacia dei piani e delle procedure in vigore, la loro accuratezza e completezza, in un’ottica di miglioramento continuo ed attraverso esercitazioni atte a formare, testare, valutare, praticare e migliorare le capacità di BC dell’organizzazione.
La nostra metodologia
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor
La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Cosa prevede il processo di certificazione
Il processo di certificazione prevede diversi passaggi fondamentali:
- Definizione dello scopo di certificazione;
- Pre-audit – gap analysis iniziale della situazione attuale e diagnosi a fronte di standard
- Audit di certificazione suddivisa in due fasi:
- verifica iniziale dell’organizzazione e della effettiva preparazione alla certificazione
- verifica dell’implementazione della struttura base del Sistema di Gestione per la Continuità Operativa (es. policy aziendale, analisi di impatto sulla gestione, gestione dei rischi, strategia di Continuità Operativa e piano di gestione degli incidenti, leggi e regolamentazioni)
- Emissione del certificato, valido per 3 anni
- Audit di sorveglianza – monitoraggio del miglioramento continuo
- Rinnovo – audit completo o valutazione continua dopo tre anni
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
- redazione dell’apparato documentale;
- analisi dei rischi;
- supporto per audit interni;
- attività di riesame;
- formazione;
- affiancamento durante gli audit degli enti certificatori.
Chi ne può beneficiare?
Le certificazioni ISO 22301 è per tutte le aziende che desiderano evolvere e crescere.
Il sistema di gestione per la Business Continuity può essere considerato infatti una evoluzione del Sistema di Gestione della Qualità ISO 9001.
Infatti, mentre la ISO 9001 aiuta la gestione delle attività in “ordinaria amministrazione” , il Business Continuity Management aiuta a mantenere, recuperare e ripristinare i processi dopo eventi di interruzione di varia gravità.
