Da una norma ISO le indicazioni per gestire la continuità operativa quando un’emergenza colpisce i dati aziendali
Integrità, disponibilità e riservatezza dei dati personali sono i tre pilastri che il GDPR richiede debbano essere assicurati dalle organizzazioni. La “UNI EN ISO 22301:2019 Sicurezza e resilienza - Sistemi di gestione per la continuità operativa – Requisiti” è una norma certificabile che contiene un insieme di requisiti richiesti da un sistema di gestione della continuità operativa (BCMS), ed è supportata dalla “UNI EN ISO 22313:2020 Sicurezza e resilienza - Sistemi di gestione per la continuità operativa - Guida all'utilizzo della ISO 22301“ che contiene preziose indicazioni di carattere strettamente operativo quando una situazione emergenziale colpisce i dati aziendali.
Il possesso di un BCMS è un elemento che tutela le organizzazioni e tutte le parti interessate gravitanti intorno ad esse, fornendo al contempo valide garanzie. Ovviamente, se il sistema è certificato da un organismo di terza parte tali garanzie sono attestate da verifiche di soggetti autorizzati. Titolari, Responsabili e Data Protection Officer dovrebbero comunque valutare, senza completare il percorso di certificazione, la presa in carico di alcuni dei requisiti della norma, per assicurare la presenza di almeno alcune delle misure definite dallo standard.
I parametri della continuità - La UNI EN ISO 22301:2019 presenta, come tutte le norme sui sistemi di gestione, un linguaggio molto specifico; per comprenderne l’essenza è indispensabile approfondire le definizioni relative ai parametri di continuità, che si distinguono in quelli di prestazione (indicati anche come informatici), e in quelli di processo.
Parametri di prestazione:
- RTO (Recovery time objective) è il tempo previsto di ripristino delle risorse (in emergenza) per riportare il sistema a condizioni accettabili;
- RPO (Recovery point objective) sono i dati che si prevede di perdere con il ripristino; ad esempio, in ambito informatico, in modo indicativo, RPO corrisponde all’ultimo backup o all’ultima sincronizzazione dei server, comprendendo quelli del sito primario e quelli del sito di disaster recovery, questi ultimi quando previsti.
Parametri di processo:
- MTPD (o Maximum tolerable period of disruption) è il tempo massimo durante il quale un processo può non essere disponibile;
- MBCO (o Minimum Business Continuity Objective) sono le prestazioni minime che un processo deve garantire, da cui discendono, in termini quantitativi e qualitativi, le risorse che devono essere rese disponibili; per esempio: persone, impianti, sistemi informatici.
L’RTO deve essere sempre minore dell’MTPD perché le risorse significative devono essere ripristinate prima dei processi che le utilizzano.
L’RTO e l’MTPD servono per stabilire, nella fase di emergenza, il tempo massimo di ripristino di sistemi e processi, fino a portarli a condizioni minime e successivamente in piena efficienza. Non è prevista una definizione per indicare il tempo massimo per cui può durare la fase di emergenza, il che però non significa che esso non possa essere definito a livello contrattuale.
Ad esempio: un Responsabile del trattamento potrebbe aver sottoscritto con il Titolare un contratto vincolante che prevede delle penalità nel caso in cui non fossero rispettati, i seguenti parametri:
- RTO: 24 ore, per ripristinare il servizio in piena efficienza
- RPO: 3 ore
- MTPD: 26 ore
Ciò comporta che il Responsabile deve implementare misure tecniche ed organizzative tali da garantire il rispetto di quanto definito nei capitolati di fornitura fornendo adeguate garanzie al Titolare sul mantenimento degli impegni.
(Nella foto: Monica Perego, docente del Corso di formazione su business continuity e norma ISO 22301:2019 a supporto della protezione dei dati personali)
I vantaggi della norma UNI EN ISO 22301:2019 - Sono molti i motivi per implementare un BMCS e tali motivi sono maggiori per le aziende che operano in settori specifici, ad esempio quelle che trattano dati personali nell’ambito del proprio business; in sintesi i vantaggi sono riconducibili a:
- Coinvolgimento del management: la Norma richiede che il management sia fortemente coinvolto nel sistema di gestione della continuità operativa, assumendosene le responsabilità primarie. Viene quindi richiesto un impegno formale e sostanziale, comportante anche il coinvolgimento dei dipendenti, dei collaboratori e dei fornitori, a vantaggio di tutte le parti interessate;
- Mantenimento dei livelli di servizio: la capacità di mantenere le operazioni aziendali, durante un'interruzione, ad un livello minimo accettabile condiviso con il management e con i clienti;
- Continuità aziendale: lo sviluppo di strategie per affrontare e prevenire le minacce implica la creazione, l’aggiornamento, il miglioramento e la verifica di piani di business continuity mirati e testati;
- Visibilità delle minacce: tramite un sistema BCMS le organizzazioni diventano maggiormente consapevoli delle minacce che possono intaccare il business, e specificamente i dati personali. La norma richiede di effettuare una valutazione approfondita del rischio insito in ogni minaccia per mettere in atto una politica di comprensione, valutazione e prevenzione dei rischi;
- Efficaci procedure di risposta e ripristino: implementazione e verifica di linee guida pratiche, che indagano vari scenari, al fine di predisporre una pianificazione d’intervento in cui il team preposto possa mettere rapidamente in atto le misure concordate, con tempi di risposta ridotti al minimo;
- Maggiore protezione delle risorse e dei profitti: La maggior parte delle interruzioni di attività comportano una riduzione di entrate, in quanto non è possibile garantire il prodotto/servizio concordato con il cliente; tale condizione potrebbe configurarsi anche come un data breach. Nel medio periodo ciò può spingere i clienti e valutare di rivolgersi ad altri fornitori, che potrebbero fornire maggiori garanzie. Non sono poi da trascurare i costi da sostenere per il ripristino delle prestazioni ad un livello accettabile, ad esempio quelli derivanti dalla rimozione delle macerie o dalla sostituzione di sistemi; con un BCMS si riducono i costi e considerando che l’aspetto dei costi è più volte richiamato dal REG. UE 2016/679, questa valutazione dovrebbe essere anche di pertinenza del DPO;
- Riduzione dei costi per l'assicurazione e per le penali dovute all'interruzione dell'attività: con un BCMS volto a prevenire gli incidenti e a risolverli, si possono ridurre, anche in modo rilevante, i costi delle coperture assicurative per l’interruzione dell’attività e, in alcuni casi, si possono eliminare le polizze non necessarie. Anche i costi indiretti dovuti alle penalità lato cliente possono essere, se non annullati, sensibilmente ridotti;
- Reputazione: il modo in cui un’azienda anticipa un evento sfavorevole e risponde a una crisi, può influire sulla sua credibilità, sia ne breve che nel medio-lungo termine. Le sue performance saranno valutate dai clienti non solo in termini assoluti, ma anche in relazione ai tempi e alle modalità di risposta dei concorrenti, anche a fronte di un evento simmetrico, che coinvolga cioè un numero rilevante di operatori del settore. Tramite piani d’intervento efficaci, l’azienda costruisce una reputazione positiva che aiuterà ad attrarre nuovi clienti;
- Dimostrata conformità legale: le interruzioni dell'attività, possono comportare il mancato rispetto, in particolare nell’ambito del trattamento dei dati personali, dei requisiti legali e contrattuali. Lo standard contribuisce, attraverso il soddisfacimento di specifici requisiti, al rispetto delle normative anche nel corso di eventi critici; inoltre favorisce la rapida implementazione di nuove politiche e nuove procedure in risposta ai cambiamenti di legge;
- Opportunità di mercato: un’azienda che possieda un sistema BMCS, acquisendo così un vantaggio competitivo, potrebbe attrarre nuovi clienti, partecipare a gare in cui tale requisito è considerato preferenziale o vincolante, e fornirebbe un credito per le terze parti derivante dal possesso di una certificazione. Lo stesso DPO si troverebbe ad esercitare i propri compiti in un contesto meno rischioso.
Conclusioni - Per implementare il sistema analizzato è necessario che il management sia consapevole delle vulnerabilità dell’organizzazione e della necessità di affrontare le carenze tramite un piano di continuità aziendale mantenuto e migliorato nel contesto di un sistema di gestione; disporre di un piano di continuità aziendale è una misura indispensabile ma non sufficiente per affrontare gli scenari che un’organizzazione può incontrare, considerando che per loro stessa natura le interruzioni dell’attività sono frequentemente inaspettate ed imprevedibili.
L’interruzione nel trattamento dei dati personali può causare perdite finanziarie, danneggiare la reputazione ed allontanare i clienti, nonché comportare l’intervento del Garante o di altri soggetti incaricati di effettuare indagini o approfondimenti. Le conseguenze sono tanto più serie quanto maggiore è il tempo necessario all’organizzazione per ripristinare i dati ad un livello accettabile.
Il possesso di un sistema basato sulla UNI EN ISO 22301:2019 non può ovviamente impedire il verificarsi di un evento critico, ma contribuisce a ridurne la portata e le conseguenze, nonché a ripristinare, attraverso procedure prestabilite, condizioni accettabili.