Business Continuity Management (Gestione della Continuità Operativa) e le Professional Practices di DRI International

La formazione e certificazione professionale DRI è pensata per chi si occupa di Business Continuity Management (Gestione della continuità operativa) e Disaster Recovery Planning (DRP), nella propria organizzazione oppure come consulente o fornitore. DRII e il BCI concordarono negli anni '80 nel definire il BCM come un processo gestionale olistico, che identifica le minacce alle quali ogni organizzazione è soggetta per poi definire un modello di gestione che assicura la resilienza dell'organizzazione stessa e quindi anche la sua capacità di fronteggiare gli incidenti. La finalità del BCM è quella di salvaguardare gli interessi degli stakeholder (dipendenti e loro famiglie, clienti, autorità, fornitori, i media,..), la reputazione dell'organizzazione e la sua capacità di creare valore. L'obiettivo primario del Business Continuity Management è permettere alla Direzione aziendale il proseguimento delle attività anche in condizioni estreme, adottando opportune strategie di ripristino delle attività interrotte, di continuazione del business, di gestione dei rischi operativi (operational risk management) e delle crisi (crisis management). Il gestore del sistema di BCM è il Business Continuity Manager (o Planner).

La professione di Business Continuity Manager richiede l'utilizzo di linee guida professionali internazionali. Per questo motivo, DRII e BCI svilupparono nel passato le 'Professional Practices for Business Contintuity Planners', che sono tuttora alla base dei corsi di formazione e del processo di certificazione DRI. 

Le 'Professional Practices' (Competenze Professionali) non sono uno standard di modello di gestione, e quindi finalizzato a definire come un sistema di BCM debba essere progettato, implementato e mantenuto  all'interno di una organizzazione (un esempio di standard di questo tipo è il BS25999-2), bensì la descrizione delle competenze che il BC Manager  deve possedere per lavorare, qualificarsi e certificarsi come specialista della disciplina del BC Management. I corsi e gli esami gestiti da DRI fanno riferimento alle Professional Practices di cui  sopra.


Per ulteriore chiarezza, si ribadisce che non c'è alcuna contraddizione tra le 'Professional Practices' e alcuni standard nazionali di BCM (BS25999, NFPA1600,  HB221, APRA), internazionali (ISO/PAS 22399) o di ambito informatico (ITSCM (ITIL), DS4 (COBIT)), o con le guideline del BCI, che hanno appunto finalità diverse. Le 'professional practice' definiscono i requisiti professionali per i Business Continuity Manager di tutto il mondo. In effetti, i corsi DRI erogati i Italia dettagliano anche i contenuti dello standard più noto, il BS25999.

Le 10 Professional Practices (Competenze Professionali) dei Business Continuity Planner secondo DRI International.

1. Definizione delle finalità del sistema di BCM e della struttura organizzativa
Il BCManager, all'inizio di un progetto di BCM, ne definisce gli obbiettivi e i risultati attesi, tenendo in considerazione le politiche di risk management e di gestione delle crisi in essere nell'organizzazione. I prerequisiti alla base di quest'attività e dell'intero programma di BCM comprendono il pieno supporto da parte del management e delle funzioni da coinvolgere nel progetto.

2. Risk Evaluation and Control
Il BC Manager è in grado di identificare i rischi interni ed esterni che minacciano l'organizzazione e le sue risorse (personale, edifici, tecnologie) e che possono risultare in un'interruzione delle attività. E' necessario stimare le conseguenze di tali eventi incidentali e lidentificare le contromisure atte a mitigare o evitare gli effetti di tali rischi. Gli investimenti necessari per implementare tali contromisure devono essere oggetto di un'analisi costi-benefici.

3. Business Impact Analysis
 Il BC Manager (Planner) identifica, valuta e fa approvare dal management l'elenco delle funzioni critiche aziendali, le priorità di ripristino, le interdipendenze ed i limiti temporali di recovery dei processi interrotti (RTO).Quest'attività è finalizzata a identificare e quali-quantificare gli impatti risultanti da un'interruzione delle attività dell'organizzazione.

4. Business Continuity Strategies
Sulla base dei risultati delle due fasi precedenti, sono sviluppate e sottoposte all'approvazione del Top Managemen le più idonee strategie di continuità. Elementi caratterizzanti di tali strategie sono i parametri RTO e RPO da adottare per il ripristino dei processi ritenuti critici. Il BC Manager-Planner coordina tale attività.

5. Emergency Response and Operations
In questa fase del progetto si provvede a definire una struttura organizzativa destinata a rispondere tempestivamente ad una emergenza, in modo coordinato ed efficace. Le necessarie procedure, da attivare per il fronteggiamento e controllo dell'emergenza, sino all'eventuale arrivo delle autorità, sono sviluppate in questa fase del progetto.

6. Business Continuity Plans
Il BCManager deve essere in grado di supervisionare e delegare alle funzioni azeindali preposte (process owners) la progettazione, sviluppo e implementazione dei piani di continuità (BCP) che consentiranno il ripristino delle attività in accordo ai requisiti definiti dall'organizzazione.

7. Awareness and Training Programs
Sviluppo, con la supervisione del BC Manager, di un programma di formazione/informazione destinato a mantenere l'organizzazione consapevole dei suoi rischi e dei piani sviluppati per fronteggiarli nonché a migliorare la competenza e le capacità delle risorse coinvolte dal BCM.

8. Business Continuity Plan Exercise, Audit and Maintenance
Definizione ed esecuzione di un programma di esercitazioni e testing strutturato in modo tale da dettagliare i pre-requisiti, le tempistiche, la conduzione, i metodi di comunicazione, il processo di auditing e di verifica. Definizione delle procedure di aggiornamento e manutenzione dei piani e della documentazione necessaria. Istituzione di un processo di audit che verifichi la compliance agli standard applicabili, verifichi inoltre le soluzioni adottate nonché il grado di aggiornamento delle procedure, le attività di test e infine validi i piani come congruenti, accurati e completi.

9. Crisis Communications
Sviluppo di piani d'azione finalizzati a permettere lo scambio d'informazioni critiche per la continuità delle operazioni. Coinvolgimento delle funzioni coinvolte nella comunicazione con i media ed esercitazioni destinate ad assicurare una efficace comunicazione in caso di crisi.

10. Coordination with External Agencies
In quest'ultima fase sono definite delle procedure da applicare nel coordinamento con le strutture di pronto intervento, le autorità locali o nazionali, la protezione civile, le forze di polizia, ecc ecc. E' anche verficato ill rispetto delle normative vigenti e applicabili.