Oggi sono ancora troppo poche le aziende che hanno un piano di business continuity (BCP) efficace. Non è esagerato affermare che, in caso di disastro o evento imprevisto, l’impresa che non ha adottato un piano di gestione della continuità operativa rischia seriamente di chiudere.
Il tema non è nuovo. Anzi. La continuità operativa è un concetto nato quarant’anni fa negli Stati Uniti quando, sul finire degli anni ’70, l’avvento delle prime forme di Information Technology nelle aziende aveva portato, insieme a enormi vantaggi operativi e produttivi, anche un nuovo rischio: in caso interruzione o malfunzionamento dei sistemi IT, l’attività aziendale non sarebbe stata ripristinabile.
Oggi tutto questo è ancora più ovvio ed evidente. Bastano pochissime ore di malfunzionamento delle reti Internet per mettere a repentaglio il successo di interi progetti, figuriamoci cosa accadrebbe se il malfunzionamento riguardasse l’infrastruttura IT aziendale. Molti reparti, se non tutti, sarebbero letteralmente paralizzati.
Come elaborare un piano di business continuity: 5 step fondamentali
Prevedere un disastro è, per definizione, molto difficile per non dire impossibile. Per di più, in un’azienda sono molte le criticità che possono presentarsi ogni giorno. Adottare un piano di continuità aziendale è l’unica strategia per dare alla società una way out efficace durante un imprevisto.
Ecco 5 step fondamentali nell’elaborazione di un piano di continuità operativa:
- Identificare tutte le potenziali fonti di rischio;
- Individuare i settori più vulnerabili;
- Identificare le dipendenze/connessioni tra varie aree di business e funzioni per valutarne l’impatto;
- Valutare gli effetti sul business e determinare tempi di inattività accettabili per ciascuna funzione critica;
- Effettuare test e simulazioni ed aggiornare periodicamente il piano.
Solitamente, il primo aspetto da considerare nell’elaborazione di ogni strategia di business continuity è l’identificazione di tutte le possibili fonti di rischio.
Ma elencare le potenziali minacce a cui è esposta l’azienda non è sufficiente, bisogna anche valutare gli effetti che un’interruzione non prevista dell’attività avrebbe sulle line of business, al fine di individuare i settori e i dipartimenti più vulnerabili, senza commettere l’errore di lavorare a compartimenti stagni.
Per essere davvero efficace, infatti, ogni piano deve considerare le dipendenze e le connessioni tra i vari reparti e dipartimenti aziendali. Solo così il management potrà avere una stima realistica degli effetti sul business e dei tempi di ripristino per una piena e completa operatività.
Business continuity e disaster recovery: insieme ma diversi
Il business continuity plan (BCP) e la relativa strategia di disaster recovery (DR) da mettere in atto devono essere in grado di coprire tutte le potenziali fonti di danneggiamento o perdita dati. Ecco perché, dopo aver analizzato tutte le minacce e i settori più vulnerabili, bisogna concentrarsi sulla “copertura” più ampia possibile dei danni: dagli attacchi informatici ai guasti derivanti da cause naturali, fino alla cancellazione/perdita accidentale di dati per errori umani.
A questo proposito, una precisazione è d’obbligo: un piano di disaster recovery e un piano di continuità operativa non sono la stessa cosa.
Un piano di DR si concentra principalmente sul ripristino dell'infrastruttura IT e rappresenta solo una parte di un piano di continuità aziendale completo che, invece, guarda all’intera continuità societaria.
Il principale fattore che rende un piano di business continuity efficace è la capacità del management aziendale di condividere con tutti i componenti della società, indipendentemente dal loro livello gerarchico, tutte le informazioni necessarie per comprendere ed adottare prontamente le linee guida del piano.
Simulazioni e aggiornamento
I piani di business continuity e disaster recovery (DR) sono inutili finché non si collaudano.
I test e la simulazione delle catastrofi possono essere abbastanza complicati ma sono indispensabili e andrebbero eseguiti almeno ogni anno. Per rendere davvero attendibili questi test servono software o soluzioni in grado di ricreare un ambiente che simuli un disastro reale, con tutte le infrastrutture, le attrezzature, i materiali di consumo e il personale necessario a ripristinare la piena operatività aziendale.
Lo scopo di una simulazione è determinare se è possibile svolgere funzioni aziendali critiche durante l’evento e valutarne i tempi di reazione.
Ma un BCP non è per sempre. La tecnologia si evolve e le minacce si moltiplicano. Ecco perché qualsiasi piano va periodicamente rivisto e aggiornato. Naturalmente, l’azienda che ha avuto la sfortuna di dover far fronte a un disastro avrà parametri importanti su cui lavorare, al contrario potrebbe essere utile, prima della revisione, sollecitare il feedback del personale dei vari reparti da incorporare nel nuovo piano.
Una questione di sopravvivenza aziendale
Le minacce in Rete sono sempre di più e sempre più complesse e la dipendenza di qualsiasi business dalla tecnologia è pressoché totale. Senza contare disastri ambientali, incendi, interruzioni improvvise della supply chain ed altri imprevisti accidentali.
In un contesto globale come questo le aziende sono ancora più esposte, per questo hanno l’obbligo e la necessità di strutturarsi attraverso un sistema integrato di gestione dei rischi che abbia il suo focus principale proprio sul piano di business continuity.
Non è un plus, ma una questione di “sopravvivenza aziendale”.