Passa al contenuto principale

BCP

Business Continuity Planning

È un acronimo utilizzato per indicare la capacità di un'organizzazione di continuare a fornire prodotti o servizi a livelli accettabili predefiniti a seguito di un eventi significativi pianificando un sistema di processi atti a prevenire e ripristinare per la catena produttiva.

Il BCP è un sottoinsieme del Risk management (gestione del rischio) e viene redatto in anticipo con l'obbiettivo di creare un processo che aiuti l'azienda sulla teoria della resilienza (capacità di prosperare dopo una crisi attraverso la costruzione di processo di risanamento) e sulla teoria della comunicazione (capacità di creare e mantenere la reputazione).

Secondo la ISO 22301:2019 (Security and Resilience - Business Continuyty Management System) le organizzazioni certificate sono tenute a definire i propri obiettivi di continuità operativa, i livelli minimi di operazioni di prodotto e servizio che saranno considerati accettabili e il MTPD (Maximum tolerable period of disruption) consentito.

Per la creazione di un piano è fondamentale effettuare un audit sull'inventario per analizzare:

  • BIA (Business impact analysis): consente di differenziare le funzioni/attività dell'organizzazione in critiche (urgenti) e in non critiche (non urgenti);
  • Maximum RTO (Maximum Recovery Time Objective): per quanto tempo i prodotti o i servizi chiave di un'impresa possono essere non disponibili o non consegnabili prima che le parti interessate percepiscano conseguenze inaccettabili come:
    • MTPoD (Maximum Tolerable Period of Disruption): corrisponde al periodo massimo tollerabile per un'interruzione;
    • MTD (Maximum Tolerable Downtime): corrisponde al tempo di inattività massimo tollerabile;
    • MTO (Maximum Tolerable Outage): corrisponde al tempo di interruzione massima tollerabile:
    • MAO (Maximum Acceptable Outage): corrisponde al tempo di interruzione massima accettabile;
  • RCO (Recovery Consistency Objective): in un sistema bloccato i piani di ripristino devono bilanciare la necessità RCC (Recovery Consistency Objective) con il ROG (Recovery Object Granularity) per fare in modo che il sistema sia coerente;
  • TRA (Threat and risk analysis): ogni potenziale minaccia può richiedere passaggi di ripristino univoci in base al tipo di evento delineato;
  • Impact scenarios: per riflette il danno più ampio possibile sono identificati e documentati:
    • necessità di forniture mediche;
    • necessità di opzioni di trasporto;
    • impatto civile dei disastri nucleari;
    • necessità di forniture aziendali e di elaborazione dati;

Secondo la norma ISO 22301 (Societal security -- Business continuity management systems --- Requirements) il MAO (Maximum Acceptable Outage) e il MTPoD (Maximum Tolerable Period of Disruption) sono la stessa cosa.