Business Continuity - Gemini Informatica - Privacy e Tecnologia

BS 25999 part 1 and 2 (Business Continuity – Certificazione della capacità continuativa d’impresa): La business continuity si occupa del ripristino dei processi vitali e critici alla sopravvivenza dell’azienda, in caso di eventi "estremi", ossia di quegli eventi disastrosi che hanno una probabilità di accadimento estremamente bassa, ma le cui conseguenze possono mettere fuori mercato un’azienda.
Vari studi rivelano che solo il 2% delle aziende che subiscono una perdita di dati "catastrofica" riesce a sopravvivere oltre un anno. La capacità di ripristinare in tempi rapidi i dati necessari per la gestione dei processi di business critici è oramai un’esigenza che tutte le aziende dovrebbero sentire come prioritaria.

A fronte di incidenti e catastrofi anche di ampia estensione e durata, la continuità di un’azienda dipende dalla sua capacità di individuare quanto necessario per far ripartire i processi critici in tempi tali da contenere le perdite e si concretizza nella redazione di piani di gestione dell’emergenza; questi devono essere coerenti con i possibili scenari e il livello di accettazione del rischio (cosiddetto "risk appetite") dell’azienda.

Il concetto di continuità operativa, rispetto a quello di "disaster recovery" (strettamente collegato all’Ict), è decisamente più complesso sia per la relativa novità sia perché basato su aspetti tecnici, organizzativi, di analisi del rischio, quali: la definizione dei possibili scenari di rischio, la previsione di gravi minacce che possono interessare l’azienda, l’identificazione e la rimozione tempestiva di vulnerabilità sfruttabili dalle possibili minacce, la valutazione economica dei danni, e, non ultima, la sensibilità dell’azienda – a tutti i livelli – nei riguardi della pianificazione e gestione delle problematiche di continuità del business.

Nello specifico, il Business continuity plan consiste in un  piano logistico finalizzato a documentare il modo in cui un'organizzazione può far tornare operative le sue funzioni critiche entro un predeterminato periodo di tempo dopo un disastro o un grave danno. Gli incidenti da prevedere sono svariati, tra essi gli  incendi, i  lt terremoti o anche  malattie epidemiche.
Il BCP può essere parte del processo organizzativo attraverso cui si cerca di ridurre il  rischio operativo e può essere integrato nelle attività di miglioramento della sicurezza informatica e della gestione del rischio.

La new-economy e la globalizzazione hanno portato ad una notevole accelerazione negli scambi attraverso i supporti elettronici (tipici sono gli esempi nei settori bancario, assicurativo e finanziario) ed ad una sempre maggiore interdipendenza delle organizzazioni (in particolare con le infrastrutture critiche: Energia, ICT, Finanza, Trasporti, ecc.) e di dipendenza da subfornitori cui spesso sono demandati processi vitali dell’organizzazione. Questa situazione in aggiunta alle richieste settoriali (ad esempio le Linee guida emanate da Banca d’Italia per la continuità di servizio) o la proposta di Direttiva Europea per le Infrastrutture Critiche, portano sempre più alla necessità di predisporre un sistema di gestione certificato (CSQ-BCM) per la continuità operativa riconosciuto e standardizzato a livello globale.

Questa certificazione permette di:

• facilitare il rispetto dei requisiti contrattuali e legislativi;
  

• rafforzare la credibilità e la visibilità dell’azienda salvaguardandone l’immagine ed il patrimonio e facilitando il ripristino dalle interruzioni;
  

• ridurre i costi degli incidenti;
  

• finalizzare in modo efficace gli investimenti impiegati per implementare i piani di gestione degli incidenti ed i piani di continuità operativa;
  

• assicurare e dare evidenza alle parti interessate "stakeholders" (clienti, fornitori, finanziatori come banche e azionisti, collaboratori, ma anche gruppi di interesse esterni), che si sono attuati tutti gli strumenti e le misure tecniche e organizzative necessari per garantire l’erogazione di prodotti e servizi critici.