Indice degli argomenti
Cosa sono la business continuity e il business continuity plan
La Business Continuity è la continuità operativa o aziendale, ovvero la capacità di continuare a svolgere le proprie attività ed erogare prodotti e servizi in seguito a un incidente.
La traduzione in “continuità aziendale” pone l’accento non solo sui processi e sulla capacità produttiva ma anche su asset quali la gestione del branding e l’immagine dell’azienda.
Un business continuity management system (BCMS) efficace ha l’obiettivo di prevenire più possibile eventi avversi e minimizzare i danni nel caso si verifichino.
Video: Che cos’è la Business Continuity – The BCI (in inglese)
L’ISO 22301: 2019 “Societal security – Business continuity management system – Requirements” è lo standard internazionale per la gestione della continuità operativa. Specifica i requisiti necessari per pianificare, stabilire, realizzare, rendere funzionante, monitorare e migliorare un sistema di gestione che individui le possibili minacce rilevanti per l’azienda, ne riduca il rischio, e, nel caso si verifichino, renda l’impresa preparata e pronta a rispondere efficacemente senza intaccare la propria continuità operativa.
Rientrano nelle potenziali interruzioni: calamità naturali come terremoti, incendi, alluvioni, smottamenti idrogeologici, emergenze sanitarie come le pandemie, condizioni meteo proibitive, guasti alle attrezzature, infortuni o malattie del personale, furti, attacchi informatici. L’ISO 22301: 2019 si allinea a ISO/IEC 27001:2013, che descrive come implementare un sistema di gestione della sicurezza delle informazioni (Information Security Management System – ISMS).
Il Business Continuity Management System è un processo di miglioramento continuo che, una volta avviato, richiede risorse umane e strutture adeguate. Comprende ma va oltre il Business Continuity Plan, il documento che descrive la strategia di continuità operativa: lo standard ISO 22301:2019 consiglia tanti piccoli “piani” specifici e facilmente comprensibili anziché un piano unico. Alla ISO 22301 si affiancano: la ISO 22313 con le linee guida per il BCMS, la ISO 22317 con le linee guida per la business impact analysis, la ISO 22318 per l’applicazione dellla continuità operativa nella supply chain.
Come implementare un BCMS in azienda
Per determinare il campo di azione del BCMS, il primo passo è l’analisi di contesto: conoscere l’organizzazione, i processi e le risorse impiegate, i modi e i tempi di comunicazione al proprio interno e all’esterno, le normative cui l’azienda deve ottemperare, identificare i clienti e le modalità di contatto e vendita.
Video: Riccardo Bianconi, gruppo di lavoro UNI sulla “Gestione del rischio”, parla della Business Continuity come elemento chiave della cultura organizzativa
Per un BCMS efficace, è importante che il top management ne percepisca l’utilità, così da partecipare ai lavori, assicurare risorse adeguate al processo e nominare tra i responsabili le persone più idonee al compito. Ma anche il coinvolgimento del personale è indispensabile per il successo del BCMS: ciascuno deve essere consapevole del proprio ruolo e del supporto da fornire in caso di necessità.
Una volta definito il campo d’azione, si passa all’identificazione delle aree e funzioni aziendali più vulnerabili, in ordine di priorità. Vengono individuati i rischi relativi all’implementazione del BCMS, si stabiliscono gli obiettivi a breve e medio termine e i criteri chiari di monitoraggio.
Viene quindi analizzato l’impatto di ogni possibile evento avverso nel tempo, per prepararsi a rispondere allo scenario peggiore possibile: le procedure per evitare o ridurre la probabilità di incidenti descritte in fase di pianificazione saranno integrate con eventuali altri eventi avvenuti nel tempo. Vengono quindi pianificate non solo la gestione dell’emergenza ma le operazioni e i tempi necessari al ritorno alla normale attività. In particolare, viene definito il downtime, l’intervallo di tempo in cui le attività possono fermarsi senza arrecare disservizio. Specifica chiarezza è riservata inoltre alla definizione dei team coinvolti nelle diverse fasi.
Le linee guida consigliano di testare il BCMS per capire se funziona, anche con delle esercitazioni strutturate che simulino alcuni aspetti della risposta a un incidente e mettano alla prova il personale coinvolto, precedentemente formato. Sono previsti audit interni, monitoraggio e miglioramento continui.
Quali problemi risolve la business continuity e quali vantaggi porta in azienda
Un Business Continuity Management System efficace è in grado di prevenire l’interruzione della produzione e/o del servizio erogato, oppure di minimizzarne i danni.
Ripristina nel più breve tempo possibile la continuità delle attività, con un approccio proattivo che minimizza gli impatti e migliora progressivamente i tempi di recupero.
La pianificazione di gestione del rischio sulla base dell’analisi di impatto ottimizza sistemi e processi, produce vantaggio competitivo, consolida la sicurezza e la fiducia da parte di dipendenti e stakeholder, risponde a requisiti legislativi e riduce i costi produttivi e di immagine derivanti da una gestione emergenziale e/o da un fermo attività prolungato.
L’implementazione di un Business Continuity Management System fa sì che l’azienda si dimostri affidabile, resiliente ed efficiente anche in situazioni avverse.
Il rapporto tra Business Continuity e Disaster Recovery
Il Disaster Recovery, letteralmente “recupero di un disastro”, è l’insieme delle strategie e delle azioni necessarie al ripristino dell’infrastruttura IT aziendale in seguito a eventi dannosi come attacchi informatici, guasti, calamità naturali.
Il piano di Disaster Recovery identifica le possibili minacce a sistemi e applicazioni IT valutandone la vulnerabilità e stabilendo le priorità da proteggere per la continuità del business.
Il Disaster Recovery è compreso nel Business Continuity Management System, relativamente alla parte IT dell’azienda.
Esistono diversi metodi di Disaster Recovery: il backup, che permette di salvare i dati su altro sito/unità rimovibile; il cold site, una seconda sede dotata di un’infrastruttura di base da usare dopo l’emergenza; l’hot site, che possiede copie aggiornate di tutti i dati; il Disaster Recovery-as-a-Service, che sposta la computazione aziendale sul cloud; il Backup-as-a-Service, che sposta il backup dei dati sul cloud; il Disaster Recovery del Data Center, come una sorgente di alimentazione di riserva o strumenti di contenimento degli incendi; la virtualizzazione, che trasferisce il backup o l’infrastruttura su macchine virtuali offsite; le copie point-in-time del database in un determinato momento offsite; il ripristino immediato che copia il contenuto di un’intera macchina virtuale.
Un piano di Disaster Recovery contiene un obiettivo di punto di ripristino (RPO) e un obiettivo di tempo di ripristino (RTO).
In particolare: il Recovery Point Objective – RPO è l’intervallo di tempo tra la produzione del dato e la sua messa in sicurezza; il Recovery Time Objective – RTO è il downtime, l’intervallo di tempo entro cui i servizi possono non essere ripristinati senza danni irreparabili per l’organizzazione.
Parametri, obiettivi e operazioni che vengono integrati all’interno del Business Continuity Management System.
