Non possono esistere disaster recovery e business continuity senza un’adeguata strategia alle spalle, che peraltro può differire in modo significativo da una realtà aziendale all’altra. Questo accade perché non esistono due aziende totalmente sovrapponibili in termini di modello organizzativo, processi, policy, normativa di riferimento e tecnologia abilitante, per cui la personalizzazione della strategia rappresenta un elemento fondante.
Posta la necessità di porre in essere una strategia personalizzata di disaster recovery e business continuity, ciò che invece potrebbe non differire da una realtà e l’altra è la metodologia, l’approccio con cui svilupparla e poi implementarla e gestirla. Non a caso esistono standard internazionali sul tema, come ISO 22301:2019 che definisce proprio i requisiti per implementare, mantenere e migliorare un BCMS (Business Continuity Management System) per la prevenzione e la protezione da ogni forma di disruption.
Per quanto disaster recovery e business continuity rientrino entrambi nel macrocosmo della business resilience, non si tratta in realtà di concetti sovrapponibili; disaster recovery ha in sé il concetto di ripristino dell’operatività a seguito di un incidente, mentre la business continuity si sostanzia in un insieme di strategie, piani d'azione, processi e tecnologie che puntano a preservare la continuità operativa di fronte al mare magnum delle cause di discontinuità, che vanno dal guasto ai sistemi IT a un terremoto in prossimità della sede, ma senza dimenticare i virus, sia quelli informatici che quelli biologici (il Covid insegna). La quantità di fattori che possono condizionare la continuità del business, unita alla loro naturale imprevedibilità è ciò che forza le imprese a sviluppare strategie ad hoc, basandosi eventualmente su framework consolidati e di riconosciuta efficacia.
Mettendoci nei panni di qualsiasi azienda, e quindi cercando – per quanto possibile – di astrarre dalla industry di riferimento, dalle sue dimensioni, dai processi e dal modello organizzativo, abbiamo identificato 5 pilastri, o elementi core, che possono guidarla verso la definizione di una strategia di disaster recovery e business continuity che integri entrambe le anime della resilienza e sia in grado di mitigare i rischi di compliance, i danni materiali e reputazionali.
La prima fase, tipicamente un assessment, è sempre piuttosto complessa, soprattutto per le grandi aziende con centinaia o migliaia di processi e sottoprocessi. Si tratta di identificare i processi business critical (o core) nonché tutte le fonti di rischio e le potenziali vulnerabilità cui l’azienda è soggetta. Alcuni elementi riguardano buona parte delle imprese, altri dipendono da un caso all’altro, dalla normativa di riferimento, dai processi, dalle filiere e anche dal modello IT adottato. Una volta identificati i rischi, è doveroso valutarne l’impatto sui processi aziendali, e quindi le reali conseguenze sulla continuità del business. Questo determinerà le priorità di intervento.
Di fronte a qualsiasi incidente, è fondamentale che i processi e le responsabilità siano ben definite. Tutto ciò è possibile a patto di conoscere perfettamente la propria azienda e poter coinvolgere svariati altri stakeholder nel percorso di protezione della continuità del business. È giusto sottolineare quanto l’IT sia solo uno degli attori coinvolti.
Prevenire è sempre la strategia più corretta. Oggi è possibile porre in essere una serie di misure che sono in grado di tutelare la continuità del business nel caso (ipotetico) si verifichi un incidente. Per esempio: distribuire in tutta l’azienda tecnologie di firma digitale, implementare un modello di lavoro ibrido (e quindi dotarsi di tutta l’abilitazione tecnologica necessaria), spostare in cloud buona parte dei carichi di lavoro e dotarsi di sistemi di alimentazione ridondati per la propria sede o il data center.
Come anticipato, la resilienza non è soltanto prevenire, ma anche ripristinare rapidamente l’operatività di fronte a un incidente. Ed è qui che intervengono i piani operativi di continuità del business (Business Continuity Plan) e di disaster recovery, che fissano le procedure operative e le responsabilità con cui limitare il più possibile l’effetto di un evento dannoso. L’espressione Disaster Recovery si rivolge principalmente ai sistemi IT, per i quali è fondamentale il concetto di ridondanza visto nel punto precedente, unito allo spostamento rapido dei carichi di lavoro su data center non impattati dall’incidente (failover) e il ripristino di quelli originali al termine dell’emergenza (failback).
Nessuna strategia, o meglio nessun piano di disaster recovery e business continuity è eterno. Cambiano continuamente le sfide e i rischi, e quindi deve cambiare anche il piano indirizzato a gestirli. Definire gli step per gli aggiornamenti, le tempistiche e le modalità sono elementi di spicco di una strategia efficace.