Che cos’è la ISO 22301 Business Continuity Management Framework?

La continuità aziendale è un elemento importante per il normale funzionamento di qualsiasi organizzazione. Disporre di un piano dettagliato contribuisce a rendere i processi di ripristino dopo attacchi informatici e disastri naturali molto più snelli e convenienti, soprattutto nelle organizzazioni più grandi. Tuttavia, l’enorme numero di situazioni potenziali può rendere difficile prevedere e immaginare ogni possibile situazione su cui lavorare, rendendo necessaria l’introduzione di una sorta di standard da utilizzare come modello per ogni situazione.

È qui che entra in gioco la ISO 22301, uno standard internazionale il cui scopo principale è quello di fungere da quadro di riferimento per le aziende in termini di preparazione, risposta e recupero da ogni tipo di incidente, che si tratti di violazioni di dati, disastri naturali, interruzioni di corrente, ecc.

Questo articolo non si limita a trattare la norma ISO 22301, ma la inserisce anche nel contesto delle soluzioni di backup e ripristino. Le soluzioni di backup e ripristino sono parte integrante del mantenimento della continuità aziendale, in quanto garantiscono un rapido ripristino dei dati vitali in caso di perdita di dati o guasto del sistema.

A causa del riscaldamento globale, delle crescenti tensioni geopolitiche, del ransomware e di altre minacce, il backup e il ripristino sono diventati ancora più critici che mai nell’ambito della continuità aziendale. La conformità alla norma ISO 22301 indica che una soluzione di backup e ripristino supporta un approccio strutturato alla gestione del rischio, alle strategie di ripristino e alla mitigazione della perdita di dati, allineandosi agli obiettivi più ampi della pianificazione della continuità aziendale e del disaster recovery.

Maggiori informazioni in questo blog. Tuttavia, il nostro primo passo sarà quello di definire la natura e lo scopo della ISO 22301 in modo più dettagliato, ma vorremmo anche trattare i vantaggi, le fasi di certificazione e le potenziali carenze della ISO 22301.

Cos’è la ISO 22301 e la gestione della continuità operativa?

ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione della continuità operativa – Requisiti” è lo standard mondiale per i sistemi di gestione della continuità operativa (BCMS), sviluppato dall’Organizzazione internazionale per la standardizzazione. Si tratta di un quadro completo che assiste le aziende nello sviluppo di strategie di continuità operativa, identificando al contempo le potenziali minacce e valutandone l’impatto potenziale.

Assistere le aziende nella creazione e nel miglioramento dei BCMS è l’obiettivo principale della ISO 22301. Investire in un solido piano di gestione della continuità operativa può offrire molteplici vantaggi, tra cui una maggiore resilienza dei dati e un impatto nettamente inferiore della maggior parte degli eventi dirompenti sul benessere dell’azienda.

Principi fondamentali dello standard ISO 22301

La norma ISO 22301 offre i mezzi per creare e migliorare i piani di continuità operativa esistenti. Ci sono diversi principi fondamentali che questo standard utilizza per fornire raccomandazioni alle aziende:

1. La valutazione dei rischi è il primo elemento importante di questo standard, che identifica i potenziali problemi e i modi per mitigarli o risolverli. Una chiara comprensione di tutti i rischi e dei potenziali problemi dell’azienda dovrebbe consentire di riorganizzare le risorse in modo efficiente per essere pronti ad affrontare in anticipo i problemi più rilevanti.
2. BIA, o Business Impact Analysis, è la parte necessaria del processo di valutazione dei rischi che permette all’azienda di identificare le proprie funzioni aziendali per valutarne la criticità e i costi di manutenzione. Entrambi questi valori dovrebbero consentire di valutare quanto sarebbe disastrosa l’interruzione improvvisa di ciascuna di queste funzioni (e come fare per ripristinare rapidamente la funzione in questione).
3. Il piano di continuità aziendale viene formato tenendo conto dei risultati della BIA e della valutazione dei rischi. In questo modo, una strategia di continuità aziendale sarà in grado di spiegare come esattamente un’azienda manterrà o ripristinerà ciascuna delle sue funzioni critiche durante e dopo una sorta di disastro: sistemi di backup, piani di comunicazione di crisi e sedi di lavoro alternative sono solo alcuni esempi di potenziali misure.
4. Anche le strategie di risposta agli incidenti giocano un ruolo importante nella ISO 22301 e nei suoi sforzi di continuità aziendale, creando un quadro ben definito di come un’azienda sta pianificando di rilevare, rispondere e gestire vari problemi o incidenti che colpiscono l’azienda. Un protocollo di risposta agli incidenti chiaro e definito dovrebbe essere in grado di ridurre al minimo l’impatto di una potenziale interruzione, se non addirittura di mitigarlo.
5. Revisione e miglioramento continuo sono entrambi necessari per garantire la pertinenza di un piano di continuità aziendale definito dalla ISO 22301. Verifiche e test regolari dei piani e delle strategie esistenti possono evidenziare potenziali problemi e aree da migliorare in futuro.

Seguire i requisiti della norma ISO 22301 è un ottimo modo per sviluppare una strategia di continuità aziendale resiliente che offre molteplici vantaggi ai suoi utenti, tra cui il miglioramento della conformità, il potenziamento della resilienza dei dati e altro ancora.

Il modello PCDA nei requisiti ISO 22301

La struttura dello standard ISO 22301

La norma ISO 22301, in quanto documento normativo, può essere acquistata a pagamento in forma fisica o elettronica. È suddivisa in dieci clausole principali:

1. Campo di applicazione
2. Riferimenti normativi
3. Termini e definizioni
4. Contesto dell’organizzazione
5. Leadership
6. Pianificazione
7. Supporto
8. Operazione
9. Valutazione delle prestazioni
10. Miglioramento

Le clausole 1, 2 e 3 servono rispettivamente a definire l’ambito di applicazione, i riferimenti normativi e le definizioni del documento. Le clausole 4-10, invece, delineano il processo di raggiungimento di una certa competenza nella creazione di un piano di continuità operativa.

Standard ISO 22301 e PCDA

Va notato che la norma ISO 22301, come qualsiasi altra norma ISO, serve a spiegare ciò che un’azienda deve essere in grado di realizzare per raggiungere le competenze minime previste dalla norma, senza descrizioni dettagliate su come fare per raggiungerle (poiché si tratta comunque di raccomandazioni, prima di tutto).

Inoltre, segue il modello Plan-Do-Check-Act, un approccio ciclico che spiega il miglioramento continuo in quattro fasi fondamentali:

• Pianificare – analisi dei rischi, identificazione degli obiettivi e definizione delle procedure per i singoli elementi del BCMS.
• Fare – implementazione del piano di continuità operativa utilizzando i processi sviluppati nella fase precedente.
• Check – monitoraggio dei processi e misurazione dei risultati, nonché valutazione delle prestazioni rispetto alle politiche e agli obiettivi esistenti.
• Agire – varie azioni correttive basate sui risultati raccolti durante la fase precedente.

Come si può notare, anche questa sequenza di eventi è simile alla selezione dei principi fondamentali di cui abbiamo parlato in precedenza a proposito dello standard ISO 22301. Inizia anch’essa con i processi di pianificazione e analisi prima di passare all’implementazione vera e propria e termina con un ciclo di revisioni e verifiche periodiche a scopo di miglioramento.

La continuità aziendale ISO 22301 e le soluzioni di backup

Come una delle pratiche principali della continuità aziendale, i processi di backup e ripristino e il software che li fornisce sono tutti considerati elementi importanti dei processi di continuità aziendale con una serie di vantaggi sostanziali.

Uno dei casi d’uso più elementari di un sistema di backup è la capacità di proteggere i dati contro molte situazioni in cui potrebbero essere danneggiati o compromessi in qualche modo, che si tratti di un attacco informatico, di un guasto hardware, di un disastro naturale, ecc. La stessa logica può essere applicata ai processi di ripristino come parte inseparabile della combinazione di funzioni “backup e ripristino”, offrendo capacità di ripristino dei dati rapide e versatili per migliorare i tempi di ripristino e ridurre al minimo i tempi di inattività.

Alcuni backup possono addirittura spingersi oltre e utilizzare la funzione di immutabilità come caratteristica opzionale, fornendo un livello di sicurezza aggiuntivo contro varie minacce informatiche per impedire a qualsiasi utente non autorizzato di interagire con i dati immutabili. Inoltre, i backup sono spesso utilizzati come elemento inscindibile per la maggior parte dei framework di conformità, grazie alla capacità di soddisfare i requisiti di normative o altri framework con l’archiviazione sicura dei dati.

Tornando ai requisiti ISO 22301, una strategia di backup competente dovrebbe sempre essere integrata con il piano di continuità aziendale per raggiungere gli obiettivi necessari in termini di resilienza dei dati. I sistemi di backup possono anche essere monitorati e migliorati , il che rappresenta un altro requisito soddisfatto dalla ISO 22301.

Quali sono i vantaggi della norma ISO 22301 – lo standard di continuità aziendale?

L’ISO 22301 come standard non solo può offrire un grado di standardizzazione a un ambiente, ma fornisce anche una serie di altri vantaggi, molti dei quali possono anche fungere da motivazione per altre aziende a certificarsi con questo standard. Tenendo conto di ciò, possiamo ora passare in rassegna i vantaggi più degni di nota della ISO 22301 come standard di continuità operativa:

• Miglioramenti nella gestione del rischio che consentono di ridurre o attenuare i rischi operativi, finanziari o di reputazione dell’azienda a seguito di eventi dirompenti.
• Maggiore resilienza operativa per migliorare le probabilità che un’azienda superi gli eventi dirompenti con danni minimi.
• La conformità normativa, sotto forma di impegno dell’azienda per la continuità operativa, aiuta a soddisfare i requisiti normativi (il che, di per sé, può essere un vantaggio competitivo in alcuni settori e campi di lavoro).
• La maggiore fiducia degli stakeholder è resa possibile dall’impegno di un’azienda a creare un BCMS dettagliato e flessibile, per dimostrare la propria resilienza e il livello di preparazione a vari disastri.

Il processo di certificazione ISO 22301

Una volta che un’azienda ha deciso di intraprendere il processo di certificazione per questo standard ISO, deve passare attraverso una sequenza moderatamente complessa di eventi e azioni, tra cui:

1. Implementazione di un efficace sistema di gestione della continuità operativa (BCMS) in conformità con tutti i processi sopra menzionati:
   1. Analisi dei rischi.
   2. Implementazione del piano.
   3. Audit interno approfondito.
2. Presentare i risultati di un audit e altri dettagli sul piano BCMS al top management dell’organizzazione per identificare le aree di miglioramento e discutere l’allocazione delle risorse.
3. Richiesta di un audit esterno da parte di un organismo di certificazione indipendente accreditato. L’audit vero e proprio è composto da:
   1. Riassunto generale dello stato del sistema.
   2. Riassunto della documentazione.
   3. Un audit dettagliato in loco condotto per confermare la conformità allo standard.
   4. Valutazione dell’implementazione del BCMS e della sua efficienza.
4. Se l’audit riesce a trovare qualche tipo di non conformità che rende impossibile la presentazione della certificazione, l’azienda deve affrontare tutti questi problemi e fornire la prova della loro risoluzione prima che venga presa la decisione finale.
5. Riesame completo di tutti i risultati dell’audit esterno per valutare se il certificato ISO 22301 può essere concesso.
6. La conformità continua deve essere garantita con audit di sorveglianza regolari (una volta all’anno nella maggior parte dei casi). L’intera procedura deve essere eseguita ex novo ogni tre anni ai fini della ricertificazione.

L’accuratezza del processo di valutazione richiede in genere diversi mesi per essere completato, a seconda dei livelli di preparazione dell’azienda, delle sue dimensioni e di altri fattori; i casi in cui una singola valutazione richiede un anno intero sono piuttosto comuni per ambienti grandi e complessi.

ISO 22301 e la sua correlazione con altri standard

Gli standard come la ISO 22301 non esistono praticamente mai da soli e hanno sempre una sorta di sovrapposizione con altri standard o requisiti in diversi settori. In questa sezione, vorremmo illustrare gli standard più importanti che si sovrappongono in un modo o nell’altro alla ISO 22301.

ISO 27001

La ISO 27001 – Gestione della sicurezza delle informazioni – presenta una sostanziale sovrapposizione con la ISO 22301 in termini di gestione dei rischi e di risposta agli incidenti come elementi attivi nella pianificazione della continuità operativa. La differenza maggiore tra la ISO 22301 e la ISO 27001 è che quest’ultima è molto più specifica per quanto riguarda l’area di destinazione, lavorando specificamente nel campo della sicurezza delle informazioni, che è una delle diverse aree di interesse della ISO 22301.

ISO 31000

La ISO 31000 – Gestione del rischio – presenta un moderato livello di sovrapposizione con la ISO 22301, in quanto entrambe le norme trattano la gestione del rischio come argomento. Tuttavia, la norma ISO 22301 può fornire una copertura molto più ampia di quest’area e la ISO 31000 può fungere da quadro dettagliato per il controllo del rischio in diverse situazioni (compresa la creazione di un BCSM).

ISO 9001

La ISO 9001 è uno standard di gestione della qualità che presenta un certo livello di sovrapposizione con la ISO 22301. Infatti, l’approccio generale della ISO 22301, sotto forma di miglioramenti continui e approcci basati sui processi, è esattamente quello che copre la ISO 9001, migliorando la gestione della qualità e aumentando la resilienza di un’organizzazione.

ISO 22313

Come accennato in precedenza, lo standard ISO 22301 fornisce un quadro di riferimento sotto forma di molteplici requisiti che devono essere soddisfatti per acquisire la certificazione, senza menzionare i passi esatti che devono essere compiuti nel processo. La ragione principale è l’esistenza della norma ISO 22313, che è uno standard sui sistemi di gestione della continuità operativa (Business Continuity Management Systems – Guidance), che offre una serie di istruzioni dettagliate su come fare per implementare il BCMS, per cominciare.

NFPA 1600

L’NFPA 1600 è uno standard sulla gestione della continuità, delle emergenze e delle crisi, che ricorda da vicino la ISO 22301 nella sua struttura. Le maggiori differenze tra i due sono il fatto che la ISO 22301 è internazionale e la NFPA 1600 è orientata al Nord America, oltre al fatto che la NFPA 1600 ha una serie di istruzioni più dettagliate per la gestione delle emergenze (che la rendono un’opzione preferibile in alcuni settori).

Potenziali sfide nell’implementazione della ISO 22301

La ISO 22301 può essere un’ottima base per la creazione di politiche di continuità aziendale dettagliate con miglioramenti continui. Allo stesso tempo, lo standard in questione è moderatamente complesso e tende a incontrare diverse sfide lungo il percorso, alcune delle quali verranno illustrate di seguito:

• Sviluppo e manutenzione della documentazione aggiornata. L’introduzione di un software dedicato alla gestione dei piani e della documentazione nelle prime fasi dello sviluppo del BCMS dovrebbe ridurre la gravità di questa sfida.
• Attento bilanciamento tra le risorse disponibili e la portata potenziale del BCMS. Limitare l’ambito del piano fin dall’inizio per consentire una potenziale espansione in futuro.
• Acquisizione delle risorse e impegno del management per il piano di continuità operativa. Assicurarsi che l’alta dirigenza sia consapevole dei piani e dei processi per la continuità operativa fin dalle prime fasi, per mitigare gli effetti di questo problema.
• Assicurare la completa consapevolezza e un’alta percentuale di partecipazione alla realizzazione della strategia. Investire in programmi di formazione e di sensibilizzazione per offrire informazioni sufficienti a tutti i soggetti coinvolti.
• Esecuzione di BIA e valutazioni dettagliate dei rischi. Utilizzare l’aiuto e la guida di professionisti e consulenti certificati per risolvere il problema.

ISO 22301 nel contesto del backup e del ripristino

Come accennato in precedenza nell’articolo, i sistemi di backup e ripristino sono in genere una parte essenziale del conseguimento della certificazione ISO 22301. Tuttavia, solo alcune soluzioni di backup soddisfano o superano i requisiti per la certificazione. Un esempio di soluzione completa che supera tutti i requisiti dal punto di vista del backup e del ripristino è Bacula Enterprise.

Bacula Enterprise può svolgere un ruolo fondamentale per le organizzazioni che mirano a ottenere la certificazione ISO 22301, fornendo solide soluzioni di backup e ripristino che supportano direttamente la gestione della continuità operativa (BCM). Uno degli aspetti chiave della ISO 22301 è garantire che i dati e i sistemi critici possano essere ripristinati rapidamente dopo un incidente per ridurre al minimo le interruzioni. La funzione di recupero bare metal di Bacula Enterprise è essenziale in questo contesto, in quanto consente alle aziende di recuperare interi sistemi da zero, anche in caso di guasto hardware totale. Questa funzionalità è in linea con il requisito ISO 22301 per garantire che le funzioni essenziali siano ripristinate in modo efficace durante i disastri o le interruzioni di sistema, supportando la continuità delle operazioni. Naturalmente, la capacità di recupero Bare Metal è importante per una soluzione di backup, ma è fondamentale che tale soluzione sia in grado di integrarsi nell’ambiente IT di un’organizzazione. Bacula è particolarmente forte da questo punto di vista, con un livello di flessibilità che va oltre i suoi colleghi.

Oltre al recupero bare metal, le avanzate capacità di reporting e monitoraggio di Bacula forniscono alle organizzazioni informazioni dettagliate sullo stato dei backup, sui test di ripristino e sulle potenziali vulnerabilità. La norma ISO 22301 enfatizza gli audit regolari e il miglioramento continuo dei processi di continuità aziendale, e gli strumenti di reporting di Bacula offrono una chiara visibilità sullo stato delle operazioni di backup, oltre a prodigare potenti strumenti di ricerca per tutti i supporti di cui Bacula ha effettuato il backup. Questi report possono essere utilizzati per verificare che gli obiettivi di ripristino siano stati raggiunti e per fornire prove di conformità durante gli audit di certificazione ISO 22301. Ciò garantisce che le strategie di backup di un’organizzazione non solo siano operative, ma anche allineate ai requisiti di preparazione e responsabilità della certificazione.

La sicurezza è un altro elemento cruciale sia della ISO 22301 che di Bacula Enterprise. Bacula offre elevati livelli di sicurezza, tra cui la crittografia dei dati in transito e a riposo, fondamentale per proteggere le informazioni aziendali critiche da accessi non autorizzati o violazioni. La norma ISO 22301 richiede che le organizzazioni proteggano i loro dati durante le interruzioni, e le funzioni di sicurezza di Bacula contribuiscono a soddisfare questi standard garantendo che i dati di backup rimangano al sicuro, anche quando vengono ripristinati dopo un incidente. L’architettura modulare di Bacula offre inoltre agli architetti IT diverse opzioni su come fare e dove implementare Bacula, aumentando ulteriormente il suo potenziale di sicurezza. Al momento in cui scriviamo, la più grande organizzazione di difesa dell’Occidente si affida a Bacula per il backup e il ripristino dei suoi dati e applicazioni critici. Nel complesso, le funzionalità sopra descritte rendono Bacula una soluzione completa per le organizzazioni che desiderano ottenere e mantenere la certificazione ISO 22301, garantendo al contempo un quadro di continuità aziendale solido e resiliente.

Conclusione

Data l’attuale natura dell’ambiente aziendale, essere in grado di mantenere l’accesso alle informazioni su base continua a fronte di varie interruzioni è un elemento cruciale per il successo di qualsiasi azienda. La norma ISO 22301 è un quadro standardizzato per i piani di continuità aziendale che illustra come fare il minimo indispensabile di un BCMS dall’inizio alla fine.

Anche se la guida passo-passo non è inclusa nello standard, rimane una pietra miliare importante per gli sforzi di continuità aziendale grazie alla sua natura standardizzata. La possibilità di ottenere la certificazione in base a questo standard comporta anche una serie di vantaggi utili, tra cui una migliore resilienza dei dati, una valutazione più accurata dei rischi, una maggiore fiducia degli azionisti e persino un potenziale vantaggio competitivo in alcuni settori.

La creazione di una strategia di continuità operativa completa nel rispetto della ISO 22301 non è più solo una raccomandazione: molti settori richiedono questo approccio fin dall’inizio, rendendolo praticamente obbligatorio per molte situazioni. L’esistenza di piani di continuità aziendale può anche essere considerata un passo strategico per garantire il futuro del vostro ambiente aziendale a lungo termine, ed è per questo che l’uso di standard come la ISO 22301 è così altamente raccomandato al giorno d’oggi.