CDLAN
Tempo addietro, Gartner stimò in 5.600 dollari al minuto il costo medio di un downtime dei sistemi IT a livello enterprise. Nel 2021, poi, fu sufficiente un’ora di interruzione di operatività per causare 34 milioni di dollari di mancate vendite ad Amazon, mentre in ambito PMI alcune ricerche quantificano il costo medio di un downtime tra i 150 e i 400 dollari all’ora.
Il costo del downtime deve tener conto dell’impatto sulle vendite, sui contratti in essere, sulla produttività e, non da ultimo, sulla compliance e la reputazione di un brand. Sostenere che un downtime prolungato metta a rischio la sopravvivenza dell’azienda non è un’esagerazione.
I rischi aziendali e l’esigenza di un Business Continuity Plan
Qualsiasi impresa, a prescindere dalle sue dimensioni, dal modello di business e dal settore in cui opera, è soggetta a rischi di diversa tipologia, entità e gravità. In business ormai digitalizzati, il pensiero va inevitabilmente all’infrastruttura IT: il guasto di un server o di una rete, un attacco cyber, la cancellazione accidentale di un repository documentale, ma anche un incendio nel data center o un’interruzione di fornitura energetica possono avere conseguenze disastrose se l’azienda non è attrezzata a farvi fronte.
È peraltro vero che l’evento dannoso non necessariamente riguarda l’infrastruttura IT: si pensi, a titolo d’esempio, al terremoto che coinvolge un impianto industriale, o all’allagamento dei locali della sede operativa, che magari non ospita il data center.
Ciò che accomuna tutte le realtà aziendali non sono le tipologie di rischio, bensì l’esigenza di gestirle in forma preventiva, evitando che abbiano un impatto sull’operatività o, quanto meno, mitigandone le conseguenze. Preservare la continuità dei processi di fronte ad eventi potenzialmente disruptive è lo scopo del Business Continuity Plan.
Business Continuity Plan per preservare i processi aziendali
Per definizione, con un piano di continuità operativa l’azienda adotta un approccio di protezione olistica nei confronti dei processi su cui si basa l’operatività aziendale. Vengono tollerati diversi livelli di discontinuità a seconda della criticità del processo: alcuni di essi, come le comunicazioni, non possono subire interruzioni, per altri è possibile tollerare qualche rallentamento senza impatti drammatici sul business.
Un Business Continuity Plan deve quindi affrontare e gestire temi quali:
- Il livello di criticità dei processi e le loro vulnerabilità;
- Le tipologie di rischio cui sono soggetti;
- L’impatto della discontinuità (disruption) in termini economici. Questa attività, nota come Business Impact Analysis, oltre a indirizzare le priorità d’intervento può suggerire all’azienda l’opportunità di delegare all’esterno alcune attività non-core;
- Le funzioni coinvolte, le relazioni e le dipendenze;
- I livelli di downtime accettabili per ogni funzione critica;
- Le attività di mitigazione, le procedure e le istruzioni da seguire in caso di eventi disastrosi. Qui l’azienda definisce nuovi processi, modalità di lavoro e di comunicazione per far fronte agli eventi inattesi.
Il Business Continuity Plan riguarda quindi tutta l’azienda: i suoi processi, gli asset, le risorse umane, l’organizzazione, eventualmente anche i partner. La protezione delle infrastrutture e degli asset IT è fondamentale ai fini della continuità operativa, ma come si è visto è una parte di un piano più ampio e avvolgente. Il Disaster Recovery, che ha come obiettivo specifico il ripristino dell’operatività nel minor tempo possibile e con la minore perdita di dati in caso di incidente, si può dunque considerare una parte fondamentale della strategia di Business Continuity e, in senso lato, della resilienza d’impresa.
L’importanza dei test e dell’evoluzione continua
Alcune aziende non danno il giusto peso ai test e, soprattutto, all’evoluzione continua del Business Continuity Plan. Nonostante le inevitabili differenze tra un evento reale e un test, le prove sul campo (con diverse metodologie) rappresentano la strada maestra per rilevare eventuali lacune, aree non gestite adeguatamente o procedure carenti. Da considerare, inoltre, che in azienda il personale è soggetto a continuo turnover, ed è quindi necessario procedere con test periodici per sensibilizzare tutta la workforce sul tema e condividere le procedure adeguate.
Oltre ai test, è parimenti importante aggiornare costantemente e far evolvere il piano, non solo in base agli esiti delle prove ma anche in relazione all'evoluzione tecnologica e organizzativa. Le imprese, infatti, sono soggette ad un’evoluzione continua: acquisiscono altre imprese, modificano i modelli organizzativi, aprono nuove filiali, punti vendita e data center. Ciò determina modifiche, anche di notevole entità, ai processi e agli assetti organizzativi: il Business Continuity Plan ne deve tenere conto, adeguandosi di conseguenza.
Non da ultimo, occorre considerare anche l’evoluzione repentina delle minacce cui l’azienda è soggetta, soprattutto quelle rivolte ai sistemi e alle infrastrutture IT. A minacce cyber sempre più sofisticate e insidiose, la progressiva evoluzione tecnologica aggiunge inevitabilmente nuove vulnerabilità. Disaster recovery, backup, data center resilienti, servizi di sicurezza e di protezione del dato creano una piattaforma stabile su cui progettare il presente e il futuro del business.
