BS 25999 Business Continuity

BS 25999 è la norma definita per la gestione della continuità operativa (Business Continuity Management - BCM) ed è stata sviluppata per aiutare le organizzazioni a ridurre al minimo il rischio di interruzioni operative.

La norma è quindi progettata per mantenere la continuità delle attività anche nelle circostanze più problematiche e impreviste, salvaguardando il personale e la reputazione dell'azienda e permettendo di continuare a produrre e a vendere.

E’ articolata in due parti:

Part 1, Code of Practice, fornisce raccomandazioni relative alle prassi da attuare; esso dunque è solo un documento guida.

Part 2, Specification, fornisce i requisiti per un sistema di gestione della continuità operativa (Business Continuity Management System - BCMS), basato sulle buone prassi BCM. Essa costituisce la parte della norma utilizzata per verificare la conformità, mediante il processo di valutazione e certificazione.

La norma è stata sviluppata da un gruppo di esperti mondiali, in rappresentanza dei principali settori industriali e della pubblica amministrazione, e stabilisce la terminologia, il processo ed i principi della gestione della continuità operativa.

Aiuta a comprendere, sviluppare e applicare la gestione della continuità operativa all'interno dell’organizzazione. Copre l'intero ciclo di vita BCM e contiene un numero sufficiente di controlli basati sulle best practice BCM.

La BS 25999 è indicata per qualsiasi organizzazione, grande o piccola, di qualsiasi settore. È particolarmente raccomandabile per le organizzazioni che operano in contesti ad alto rischio, quali la finanza, le telecomunicazioni, il trasporto e la Pubblica Amministrazione, dove la capacità di assicurare la continuità delle operazioni è fondamentale per l'organizzazione stessa, per i suoi clienti e per le parti interessate.

La certificazione a fronte della BS 25999 Parte 2, ottenuta da una terza parte indipendente, costituisce una garanzia per le controparti interessate (key stakeholder) in quanto garantisce la conformità alle migliori prassi di gestione della continuità operativa.

ISO 22399 e ISO 22301 sulla Business Continuity

Partendo dallo schema BS 25999 l'ISO ha definito due standard per la continuità operativa:

ISO 22399, "Social security - Guidelines for incident preparedness and operational continuity management". Emessa nel 2007, lo standard descrive le "best practice" in tema di continuità operativa. Per essere più precisi si tratta di una "Publicly Available Specification" (PAS) che rappresenta una "indicazione di opportunità", una linea guida alla realizzazione e implementazione di un sistema di gestione per la continuità operativa.

ISO 22301, "Social security - Preparedness and continuity management systems - Requirements". Emessa nel 2011,  lo standard definisce i requisiti per un sistema di gestione della continuità operativa. Esso rappresenta quindi lo schema per un'eventuale certificazione.

Entrambi gli standard sono stati sviluppati dal Technical Committee 223 dell'ISO che si occupa di "Social Security" ed ha il compito di produrre gli standard per la gestione delle crisi.

In particolare, mentre lo standard BS 25999 pone l'accento solo sulla continuità delle operazioni di un'organizzazione (si parla di "business" continuity), quello ISO parla di "preparedness and continuity" intendendo molto di più della pura continuità ed estendendo l'ambito al contesto più ampio e generale: l'organizzazione aziendale e l'ambiente circostante, la società civile nella sua accezione più ampia, la "sicurezza sociale"!

ISO 24762 sul Disaster Recovery

Lo standard ISO 24762, "Information Technology - Security Techniques - Guidelines for Information and Communication Technology Disaster Recovery Services" pubblicato nel 2008 presenta una serie di "buone pratiche" sui servizi di Disaster Recovery delle infrastrutture ICT.

Lo standard copre diversi aspetti del tema DR:

• Messa in opera, gestione, supervisione e manutenzione delle infrastrutture e dei servizi per il Disaster Recovery;

• Esigenze per la fornitura dei sevizi e delle infrastrutture del Disaster Recovery;

• Criteri di selezione dei siti alternativi;

• Attività per il miglioramento continuo dei servizi e delle prestazioni del Disaster Recovery.

Lo standard rappresenta un riferimento di sicuro valore in quanto permette di estrarre dal documento i requisiti per un servizio di Disaster Recovery.

Altri standard collaterali sono stati definiti o sono in fase di definizione.

ITIL, Business Continuity e Disaster Recovery

ITIL indirizza il tema in oggetto in un capitolo del libro "IT Services Design" con il titolo: "IT Service Continuity Management". In esso si propongono degli indicatori (KPI, Key Performance Indicator) utili a valutare lo stato della continuità operativa e del Disaster Recovery di un'organizzazione.

Tra gli indicatori più significativi si ricordano: Business Process with Continuity Agreements; Gaps in Disaster Preparation; Implementation Duration; Number of Disaster Practices; Number of Identified Shortcomings during Disaster Recovery; ecc.

Evoluzione del tema

Il tema della continuità operativa e del Disaster Recovery risulta dunque oggetto di studio e di molte iniziative. Occorre rimanere attenti all'evoluzione del tema e trarre. di volta in volta, i suggerimenti più adeguati alle esigenze delle singole realtà organizzative.