Tempo addietro, Gartner stimò in 5.600 dollari al minuto il costo medio di un downtime dei sistemi IT a livello enterprise. Nel 2021, poi, fu sufficiente un’ora di interruzione di operatività per causare 34 milioni di dollari di mancate vendite ad Amazon, mentre in ambito PMI alcune ricerche quantificano il costo medio di un downtime tra i 150 e i 400 dollari all’ora.
Il costo del downtime deve tener conto dell’impatto sulle vendite, sui contratti in essere, sulla produttività e, non da ultimo, sulla compliance e la reputazione di un brand. Sostenere che un downtime prolungato metta a rischio la sopravvivenza dell’azienda non è un’esagerazione.
I rischi aziendali e l’esigenza di un Business Continuity Plan
Qualsiasi impresa, a prescindere dalle sue dimensioni, dal modello di business e dal settore in cui opera, è soggetta a rischi di diversa tipologia, entità e gravità. In business ormai digitalizzati, il pensiero va inevitabilmente all’infrastruttura IT: il guasto di un server o di una rete, un attacco cyber, la cancellazione accidentale di un repository documentale, ma anche un incendio nel data center o un’interruzione di fornitura energetica possono avere conseguenze disastrose se l’azienda non è attrezzata a farvi fronte.
È peraltro vero che l’evento dannoso non necessariamente riguarda l’infrastruttura IT: si pensi, a titolo d’esempio, al terremoto che coinvolge un impianto industriale, o all’allagamento dei locali della sede operativa, che magari non ospita il data center.
Ciò che accomuna tutte le realtà aziendali non sono le tipologie di rischio, bensì l’esigenza di gestirle in forma preventiva, evitando che abbiano un impatto sull’operatività o, quanto meno, mitigandone le conseguenze. Preservare la continuità dei processi di fronte ad eventi potenzialmente disruptive è lo scopo del Business Continuity Plan.
Cos'è un Business Continuity Plan
Il Business Continuity Plan (BCP) è un insieme di protocolli e procedure progettate per garantire che le funzioni essenziali di un'organizzazione possano continuare durante e dopo un disastro o un evento imprevisto. Tale piano è un elemento essenziale della gestione del rischio e si concentra su come mantenere operativa un'organizzazione in caso di interruzioni, che possono variare da interruzioni di corrente a catastrofi naturali, attacchi informatici o pandemie.
Quali sono i vantaggi del Business Continuity Planning
Un Business Continuity Plan offre molti vantaggi strategici e operativi. Questi includono la capacità di minimizzare le interruzioni delle operazioni, mantenere la fiducia dei clienti e degli stakeholder, ridurre il potenziale di perdita finanziaria e migliorare la capacità di recupero dopo un disastro. Un BCP efficace può anche aiutare a rispettare gli standard di conformità legali e di settore e può dare un'organizzazione un vantaggio competitivo, dimostrando un impegno per la gestione del rischio e la sicurezza.
Come elaborare un piano di continuità operativa
Elaborare un piano di continuità operativa richiede una pianificazione strategica e l'identificazione delle funzioni critiche dell'organizzazione. Ecco gli step di base da seguire:
- Analizzare l'organizzazione: Identificare le funzioni e le risorse critiche.
- Valutare i rischi: Identificare i potenziali eventi che potrebbero interrompere queste funzioni.
- Sviluppare strategie di continuità: Determinare come l'organizzazione può mantenere o ripristinare rapidamente le operazioni.
- Creare il piano: Documentare le procedure e le informazioni necessarie per mantenere o ripristinare le operazioni.
- Testare il piano: Testare il piano per assicurarsi che funzioni come previsto.
- Mantenere e aggiornare il piano: Aggiornare regolarmente il piano per tener conto dei cambiamenti nell'organizzazione o nell'ambiente operativo.
Business Continuity Management per preservare i processi aziendali
Per definizione, con un piano di continuità operativa l’azienda adotta un approccio di protezione olistica nei confronti dei processi su cui si basa l’operatività aziendale. Vengono tollerati diversi livelli di discontinuità a seconda della criticità del processo: alcuni di essi, come le comunicazioni, non possono subire interruzioni, per altri è possibile tollerare qualche rallentamento senza impatti drammatici sul business.
Un Business Continuity Plan deve quindi affrontare e gestire temi quali:
- Il livello di criticità dei processi e le loro vulnerabilità;
- Le tipologie di rischio cui sono soggetti;
- L’impatto della discontinuità (disruption) in termini economici. Questa attività, nota come Business Impact Analysis, oltre a indirizzare le priorità d’intervento può suggerire all’azienda l’opportunità di delegare all’esterno alcune attività non-core;
- Le funzioni coinvolte, le relazioni e le dipendenze;
- I livelli di downtime accettabili per ogni funzione critica;
- Le attività di mitigazione, le procedure e le istruzioni da seguire in caso di eventi disastrosi. Qui l’azienda definisce nuovi processi, modalità di lavoro e di comunicazione per far fronte agli eventi inattesi.
Il Business Continuity Plan riguarda quindi tutta l’azienda: i suoi processi, gli asset, le risorse umane, l’organizzazione, eventualmente anche i partner. La protezione delle infrastrutture e degli asset IT è fondamentale ai fini della continuità operativa, ma come si è visto è una parte di un piano più ampio e avvolgente. Il Disaster Recovery, che ha come obiettivo specifico il ripristino dell’operatività nel minor tempo possibile e con la minore perdita di dati in caso di incidente, si può dunque considerare una parte fondamentale della strategia di Business Continuity e, in senso lato, della resilienza d’impresa.
L’importanza dei test e dell’evoluzione continua
Alcune aziende non danno il giusto peso ai test e, soprattutto, all’evoluzione continua del Business Continuity Plan. Nonostante le inevitabili differenze tra un evento reale e un test, le prove sul campo (con diverse metodologie) rappresentano la strada maestra per rilevare eventuali lacune, aree non gestite adeguatamente o procedure carenti. Da considerare, inoltre, che in azienda il personale è soggetto a continuo turnover, ed è quindi necessario procedere con test periodici per sensibilizzare tutta la workforce sul tema e condividere le procedure adeguate.
Oltre ai test, è parimenti importante aggiornare costantemente e far evolvere il piano, non solo in base agli esiti delle prove ma anche in relazione all'evoluzione tecnologica e organizzativa. Le imprese, infatti, sono soggette ad un’evoluzione continua: acquisiscono altre imprese, modificano i modelli organizzativi, aprono nuove filiali, punti vendita e data center. Ciò determina modifiche, anche di notevole entità, ai processi e agli assetti organizzativi: il Business Continuity Plan ne deve tenere conto, adeguandosi di conseguenza.
Non da ultimo, occorre considerare anche l’evoluzione repentina delle minacce cui l’azienda è soggetta, soprattutto quelle rivolte ai sistemi e alle infrastrutture IT. A minacce cyber sempre più sofisticate e insidiose, la progressiva evoluzione tecnologica aggiunge inevitabilmente nuove vulnerabilità. Disaster recovery, backup, data center resilienti, servizi di sicurezza e di protezione del dato creano una piattaforma stabile su cui progettare il presente e il futuro del business.