Indice degli argomenti
Che cos’è la business continuity
La Business Continuity è la continuità operativa o aziendale, ovvero la capacità di continuare a svolgere le proprie attività ed erogare prodotti e servizi in seguito di incidenti alle attrezzature, calamità naturale o attacco informatico.
La traduzione in “continuità aziendale” pone l’accento non solo sui processi e sulla capacità produttiva ma anche su asset quali la gestione e reputazione del branding e l’immagine dell’azienda.
Un business continuity management system (BCMS) efficace ha l’obiettivo di prevenire più possibile eventi avversi e minimizzare i danni nel caso si verifichino.
Video: Che cos’è la Business Continuity – The BCI (in inglese)
L’ISO 22301: 2019 Societal security – Business continuity management system – Requirements è lo standard internazionale per la gestione della continuità operativa. Specifica i requisiti necessari per pianificare, stabilire, realizzare, rendere funzionante, monitorare e migliorare un sistema di gestione che individui le possibili minacce rilevanti per l’azienda, ne riduca il rischio, e, nel caso si verifichino, renda l’impresa preparata e pronta a rispondere efficacemente senza intaccare la propria continuità operativa.
Rientrano nelle potenziali interruzioni: calamità naturali come terremoti, incendi, alluvioni, smottamenti idrogeologici, emergenze sanitarie come le pandemie, condizioni meteo proibitive, guasti alle attrezzature, infortuni o malattie del personale, furti, attacchi informatici. L’ISO 22301: 2019 si allinea a ISO/IEC 27001:2013, che descrive come implementare un sistema di gestione della sicurezza delle informazioni (Information Security Management System – ISMS).
Cos’è il business continuity plan
Il Business Continuity Management System è un processo di miglioramento continuo che, una volta avviato, richiede risorse umane e strutture adeguate. Comprende ma va oltre il Business Continuity Plan, il documento che descrive la strategia di continuità operativa: lo standard ISO 22301:2019 consiglia tanti piccoli “piani” specifici e facilmente comprensibili anziché un piano unico. Alla ISO 22301 si affiancano: la ISO 22313 con le linee guida per il BCMS, la ISO 22317 con le linee guida per la business impact analysis, la ISO 22318 per l’applicazione dellla continuità operativa nella supply chain.
Come si implementa un piano di business continuity
Per determinare il campo di azione del BCMS, il primo passo è l’analisi di contesto: conoscere l’organizzazione, i processi e le risorse impiegate, i modi e i tempi di comunicazione al proprio interno e all’esterno, le normative cui l’azienda deve ottemperare, identificare i clienti e le modalità di contatto e vendita.
Video: Riccardo Bianconi, gruppo di lavoro UNI sulla “Gestione del rischio”, parla della Business Continuity come elemento chiave della cultura organizzativa
Per un BCMS efficace, è importante che il top management ne percepisca l’utilità, così da partecipare ai lavori, assicurare risorse adeguate al processo e nominare tra i responsabili le persone più idonee al compito. Ma anche il coinvolgimento del personale è indispensabile per il successo del BCMS: ciascuno deve essere consapevole del proprio ruolo e del supporto da fornire in caso di necessità.
Fasi di implementazione del BCP
Una volta definito il campo d’azione, si passa all’identificazione delle aree e funzioni aziendali più vulnerabili, in ordine di priorità. Vengono individuati i rischi relativi all’implementazione del BCMS, si stabiliscono gli obiettivi a breve e medio termine e i criteri chiari di monitoraggio.
Viene quindi analizzato l’impatto di ogni possibile evento avverso nel tempo, per prepararsi a rispondere allo scenario peggiore possibile: le procedure per evitare o ridurre la probabilità di incidenti descritte in fase di pianificazione saranno integrate con eventuali altri eventi avvenuti nel tempo. Vengono quindi pianificate non solo la gestione dell’emergenza ma le operazioni e i tempi necessari al ritorno alla normale attività. In particolare, viene definito il downtime, l’intervallo di tempo in cui le attività possono fermarsi senza arrecare disservizio. Specifica chiarezza è riservata inoltre alla definizione dei team coinvolti nelle diverse fasi.
Le fasi di implementazione del Business Continuity Plan (BCP) includono diverse attività cruciali per garantire la continuità operativa e la gestione delle crisi. Queste fasi sono:
1. Formalizzazione delle strategie e tattiche: durante questa fase, le strategie e le tattiche concordate vengono formalizzate e documentate, identificando priorità, procedure, responsabilità e risorse per affrontare una grave crisi[3].
2. Sviluppo dei piani di continuità aziendale: si sviluppano piani specifici per soddisfare i requisiti e le soluzioni di continuità aziendale, definendo ruoli, autorità e competenze necessari per gestire un incidente[1].
3. Definizione dei documenti del BCP: sebbene il termine “piano di continuità operativa” suggerisca un unico documento, in realtà possono esistere diversi piani a vari livelli organizzativi, che possono coprire l’intera organizzazione o solo una parte di essa[1].
4. Identificazione delle risorse chiave: è vitale identificare le figure chiave coinvolte nella business continuity e assicurarsi che il BCP sia conservato in luoghi accessibili a tutte le parti interessate, sia fisicamente che digitalmente[1].
5. Sviluppo di una struttura di risposta: si definiscono i ruoli, l’autorità e le competenze necessari per gestire un incidente in modo efficace[3].
Le linee guida consigliano di testare il BCP per capire se funziona, anche con delle esercitazioni strutturate che simulino alcuni aspetti della risposta a un incidente e mettano alla prova il personale coinvolto, precedentemente formato. Sono previsti audit interni, monitoraggio e miglioramento continui.
Perché la business continuity è importante per le aziende
Un Business Continuity Management System efficace è in grado di prevenire l’interruzione della produzione e/o del servizio erogato, oppure di minimizzarne i danni.
Ripristina nel più breve tempo possibile la continuità delle attività, con un approccio proattivo che minimizza gli impatti e migliora progressivamente i tempi di recupero.
Vantaggi della business continuity per le aziende
La pianificazione di gestione del rischio sulla base dell’analisi di impatto ottimizza sistemi e processi, produce vantaggio competitivo, consolida la sicurezza e la fiducia da parte di dipendenti e stakeholder, risponde a requisiti legislativi e riduce i costi produttivi e di immagine derivanti da una gestione emergenziale e/o da un fermo attività prolungato.
L’implementazione di un Business Continuity Management System fa sì che l’azienda si dimostri affidabile, resiliente ed efficiente anche in situazioni avverse.
Business continuity vs. disaster recovery: le differenze
Il Disaster Recovery, letteralmente “recupero di un disastro”, è l’insieme delle strategie e delle azioni necessarie al ripristino dell’infrastruttura IT aziendale in seguito a eventi dannosi come attacchi informatici, guasti, calamità naturali.
Il piano di Disaster Recovery identifica le possibili minacce a sistemi e applicazioni IT valutandone la vulnerabilità e stabilendo le priorità da proteggere per la continuità del business.
Il Disaster Recovery è compreso nel Business Continuity Management System, relativamente alla parte IT dell’azienda.
Esistono diversi metodi di Disaster Recovery: il backup, che permette di salvare i dati su altro sito/unità rimovibile; il cold site, una seconda sede dotata di un’infrastruttura di base da usare dopo l’emergenza; l’hot site, che possiede copie aggiornate di tutti i dati; il Disaster Recovery-as-a-Service, che sposta la computazione aziendale sul cloud; il Backup-as-a-Service, che sposta il backup dei dati sul cloud; il Disaster Recovery del Data Center, come una sorgente di alimentazione di riserva o strumenti di contenimento degli incendi; la virtualizzazione, che trasferisce il backup o l’infrastruttura su macchine virtuali offsite; le copie point-in-time del database in un determinato momento offsite; il ripristino immediato che copia il contenuto di un’intera macchina virtuale.
Un piano di Disaster Recovery contiene un obiettivo di punto di ripristino (RPO) e un obiettivo di tempo di ripristino (RTO).
In particolare: il Recovery Point Objective – RPO è l’intervallo di tempo tra la produzione del dato e la sua messa in sicurezza; il Recovery Time Objective – RTO è il downtime, l’intervallo di tempo entro cui i servizi possono non essere ripristinati senza danni irreparabili per l’organizzazione.
Parametri, obiettivi e operazioni che vengono integrati all’interno del Business Continuity Management System.
Minacce alla business continuity: cosa tenere sotto controllo
La continuità operativa è l’arteria vitale delle imprese nell’era digitale; la sua interruzione, anche momentanea, può causare perdite economiche ingenti e danni reputazionali difficilmente quantificabili.
Tra le principali minacce, gli attacchi informatici rappresentano una costante preoccupazione. Con l’avanzare delle tecnologie, i cybercriminali affinano le tecniche d’intrusione, rendendo imperativo per le aziende adottare soluzioni di cybersecurity sempre all’avanguardia.
Altro fattore critico è la gestione dei dati e la loro integrità. Il rischio di perdita o corruzione dei dati può derivare da malfunzionamenti hardware, errori umani o disastri naturali, situazioni che richiedono un piano di backup e disaster recovery affidabile.
Inoltre, la dipendenza da terze parti impone una valutazione accurata della supply chain, poiché un’interruzione nei fornitori di servizi essenziali può avere ripercussioni dirette sull’operatività aziendale.
Infine, non bisogna sottovalutare l’importanza di una comunicazione efficace all’interno dell’organizzazione. La capacità di reazione tempestiva in situazioni di crisi dipende in larga misura dalla chiarezza dei protocolli e dalla preparazione delle risorse umane. Mantenere un controllo costante su questi aspetti è fondamentale per assicurare resilienza e continuità operativa nel lungo termine.
Esempi di casi di successo di business continuity
Nel panorama aziendale globale, vi sono stelle polari che indicano il cammino della resilienza e della continuità operativa.
Il settore retail ha mostrato la propria forza durante la crisi logistica: una nota catena ha evitato il collasso grazie alla mappatura proattiva dei rischi e a una strategia di diversificazione degli approvvigionamenti che ha garantito la continuità della supply chain nonostante le gravi perturbazioni del mercato.
In ambito pubblico, le amministrazioni hanno rapidamente convertito i propri servizi in modalità digitale di fronte alla pandemia COVID-19 e ciò illustra la capacità di adattamento e di preservazione dei servizi critici per la comunità. Attraverso l’implementazione di soluzioni tecnologiche agile e il ricorso al lavoro da remoto, hanno garantito un accesso ininterrotto ai servizi essenziali, definendo un benchmark per la pubblica amministrazione.
Questi casi dimostrano come anticipazione, flessibilità e innovazione siano alleati indispensabili nella gestione della business continuity.
