Dalla Norma ISO 22301:2019 le best practices per aiutare i DPO a prevenire e gestire le situazioni di emergenza
La pandemia e l’esponenziale incremento di attacchi hacker ci hanno ricordato che un’organizzazione può trovarsi inaspettatamente in condizione emergenziale; tale situazione può essere innescata da eventi interni od esterni. Catastrofi naturali, incendi, problemi alla catena di approvvigionamento, attacchi ai sistemi informatici, sono solo alcune delle molte minacce riguardanti la gestione di qualsiasi attività. Il DPO deve essere promotore di una pianificazione coerente e solida della continuità aziendale anche in caso di condizione emergenziale, al fine di garantire i diritti e le liberta dell’interessato, considerando il bilanciamento di tutti gli interessi in gioco, le priorità, le risorse economiche disponibili.
(Nella foto:Monica Perego, membro del Comitato Scientifico di Federpivacy e docente del "Corso Il ruolo del Dpo nei casi complessi e nelle situazioni di emergenza")
La Norma UNI EN ISO 22301:2019 “Sicurezza e resilienza - Sistemi di gestione per la continuità operativa – Requisiti” e la UNI EN ISO 22313:2020 “Sicurezza e resilienza - Sistemi di gestione per la continuità operativa - Guida all'utilizzo della ISO 22301”, sono validissimi strumenti a supporto.
L’obiettivo dell’articolo è quello di introdurre a tali norme ed aiutare a comprendere come da esse possano emergere spunti interessanti per individuare le best practices utili per prevenire e gestire le situazioni di emergenza; ci limiteremo alla parte riguardante gli aspetti che impattano sul DPO.
La UNI EN ISO 22301:2019 è stata sviluppata per essere utilizzata da tutte le organizzazioni che vogliano raggiungere la continuità aziendale, a livelli predeterminati ed accettabili, durante un'interruzione/crisi, grazie all'implementazione di un sistema di gestione della continuità operativa (BCSMS); così le parti interessate sapranno che le contingenze avverse sono note e le misure da porre in atto per garantire la continuità aziendale sono definite.
I requisiti della UNI EN ISO 22301:2019 aiutano un'organizzazione a ridurre al minimo l'impatto di un'ampia gamma di potenziali interruzioni, compresi problemi di sicurezza, disastri naturali, disastri innescati dalla componente umana, emergenze sanitarie, ecc.
La UNI EN ISO 22313:2020 è una linea guida che fornisce raccomandazioni e buone pratiche per applicare in modo efficiente i requisiti del sistema di gestione della continuità operativa della UNI EN ISO 22301:2019.
La ISO 22313:2020 si sviluppa coerentemente alla UNI EN ISO 22301:2019 e segue la stessa struttura formata molti elementi/clausola, così da semplificarne l'implementazione, fornendo dettagli sull’obiettivo ed il corretto sviluppo di ciascun elemento/clausola.
Seguendo le linee guida UNI EN ISO 22313:2020, l'organizzazione assicura che può gestire con successo una condizione di crisi applicando i requisiti della UNI EN ISO 22301:2019; in sintesi: l'effettiva ed efficace attuazione della norma UNI EN ISO 22301:2019 non può aver luogo senza la guida UNI EN ISO 22313:2020; entrambi i documenti sono acquistabili nel sito dell’UNI.
Spunti di riflessione sulla linea guida UNI EN ISO 22313:2022 a supporto delle attività del DPO - La UNI EN ISO 22301:2019 presenta alcuni requisiti nei quali non risulta particolarmente dettagliata, in quanto fornisce indicazioni di livello troppo “alto” e difficilmente calabile nel contesto aziendale; invece la linea guida UNI EN ISO 22313:2022 fornisce una serie di indicazioni operative riconducibili a due macro-filoni:
- Descrizione delle opzioni strategiche per la protezione delle attività che risultano prioritarie
- Contenuto delle procedure/piani di continuità operativa
Descrizione delle opzioni strategiche per la protezione delle attività che risultano prioritarie:
-strategie individuate in base al costo di mitigazione;
- opzioni per mitigare l'impatto e la durata di un evento in uno scenario avverso;
- tecniche per valutare le capacità di continuità operativa dei fornitori;
- tipi di risorse che un'organizzazione deve stabilire e monitorare;
- strategie per la gestione delle risorse umane e procedure di ricollocazione del personale;
- tipi di backup;
- strategie per i cantieri;
- strategie per strutture e forniture;
- strategie per i sistemi ICT;
- strategie per i trasporti;
- indicazioni per la gestione dei finanziamenti necessari durante un incidente,
- ecc.
Contenuto delle procedure/piani di continuità operativa:
- cosa includere nelle procedure di:
# comunicazione degli incidenti;
# continuità operativa;
# continuità ICT;
# salvataggio e sicurezza;
# ripresa delle attività;
- ubicazione del team di gestione degli incidenti.
Nello specifico, nel paragrafo 8.4.4.9 della UNI EN ISO 22313:2022 son indicate le misure che afferiscono alla componente ICT in relazione alla continuità operativa. Tra le misure individuate in questa sezione i contenuti dei piani di business continuity che devono prevedere:
- procedure per richiamare al lavoro il personale addetto alla ICT o per permettere di operare da remoto;
- il ripristino dei dati, delle modalità di informazione e comunicazione;
- accesso ai dati di back-up ed acquisto di servizi alternativi, oltre ai relativi supporti;
- gli obiettivi temporali di disponibilità e la capacità e le procedure di continuità per garantire gli obiettivi temporali definiti.
Le attività a carico del DPO - Il Data Protectio Officer, in relazione al contesto in cui opera l’organizzazione, dovrebbe:
- sensibilizzare il Titolare e la parti interessate ad applicare in tutto o in parte i requisiti e le linee guida, nel caso in cui tali elementi non siano già parte della cultura aziendale;
- richiedere che vengano identificati gli scenari di rischio più probabili;
- richiedere che vengano rese disponibili le risorse per le misure da pianificare, secondo un indice di priorità;
- richiedere che vangano messe in atto le misure secondo il piano definito;
- richiedere i risultati delle prove di simulazione alle risposte agli scenari individuati;
- svolgere o commissionare attività di audit sull’applicazione delle misure definite.
Il DPO dovrebbe anche richiedere che l’organizzazione consideri l’impatto dei vari scenari in relazione ai fornitori critici, affinché si valuti la capacità degli stessi di resistere a condizioni emergenziali. Tale aspetto dovrebbe essere elemento di valutazione, sia iniziale che dinamica, del fornitore.
Conclusione - La UNI EN ISO 22301:2019 e la UNI EN ISO 22313:2020 forniscono strumenti a supporto dell’organizzazione e del DPO per affrontare scenari emergenziali; tali scenari non possono essere ignorati od elusi. Il DPO ha la responsabilità di accompagnare l’organizzazione nel chiaro accertamento delle misure già in atto per contrastarli e nella definizione di quelle che potenzialmente potrebbero essere applicate, supportandola ad identificare le priorità.