Una guida completa
La continuità dei processi operativi è il pilastro su cui poggia qualsiasi impresa, una necessità assoluta e non negoziabile.
L’interruzione, o anche solo una limitazione di operatività, riduce la capacità dell’azienda di realizzare prodotti ed erogare servizi, di conformarsi alle policy e alle normative in essere e, in senso lato, di soddisfare i propri clienti.
Per tutti questi motivi, e molti altri, sono centrali in qualsiasi attività economica i concetti di gestione del rischio (risk management), di business continuity, di disaster recovery e, a livello sistemico, di business continuity management system (BCMS).
Con l’espressione business continuity (o continuità operativa) si intende la capacità dell’impresa di fronteggiare eventi avversi in grado di limitare o interrompere i processi operativi. Delle svariate definizioni disponibili, è particolarmente azzeccata quella di VMware, secondo cui BC è il “il livello di preparazione dell’azienda a mantenere attive le funzioni critiche dopo un’emergenza o un’interruzione”.
La business continuity rientra dunque nel macrocosmo dalla business resilience, espressione che rappresenta la capacità dell’impresa di adattarsi a un mondo in continuo cambiamento e ad eventi che possono generare forti discontinuità come fenomeni naturali, guasti, blackout, terremoti, attacchi cyber, ma anche il fallimento di un fornitore o interruzioni a livello di supply chain.
Nonostante la digitalizzazione del business focalizzi l’attenzione sul concetto di alta disponibilità (high availability) dei sistemi e delle infrastrutture IT, la continuità del business è dunque un concetto sistemico che vale per ogni fonte di rischio cui l’azienda è soggetta. Il covid, a titolo d’esempio, è stato un evento disruptive che ha messo a dura prova la continuità operativa delle aziende pur senza condizionare i sistemi IT alla base del business. Anzi, questi sono stati un fattore determinante proprio per preservare l’operatività nei periodi più cupi.
Essere resiliente di fronte a rischi che crescono di giorno in giorno (si pensi alle minacce cyber) dovrebbe essere lo stato naturale in cui opera ogni azienda. I vantaggi della business continuity sono infatti determinanti per le imprese e rientrano in 4 categorie:
Molte imprese si domandano come fare un business continuity plan efficace. Nonostante le indubbie differenze tra contesti, mercati e settori, per realizzare un piano di continuità operativa – ovvero un insieme organizzato e sinergico di metodi, procedure e strumenti di reazione di fronte all’evento disruptive – sono necessarie in ogni caso alcune attività.
La Business Impact Analysis (BIA) nella business continuity è un processo che identifica e valuta gli effetti di interruzioni sulle attività aziendali. Questa analisi si concentra sul comprendere l'importanza di specifiche funzioni aziendali e sui danni potenziali che potrebbero derivarne in caso di interruzioni. Il fine ultimo della BIA è prioritizzare le risorse e le azioni di ripristino in base all'urgenza, assicurando così che le attività più critiche siano ristabilite per prime per mantenere la continuità operativa.
I test di business continuity sono essenziali per valutare l'efficacia dei piani di continuità operativa. Attraverso simulazioni di scenari di interruzione, le aziende possono identificare vulnerabilità e inefficienze nei loro processi, garantendo che le misure preventive e reattive siano non solo teoricamente solide ma anche praticamente efficaci. Questi test consentono di affinare le strategie, formare il personale sulle procedure da seguire in caso di emergenza e, in ultima analisi, minimizzare l'impatto finanziario e operativo di eventuali interruzioni.
A livello formale, business continuity plan è un documento che definisce ruoli, responsabilità e soprattutto processi, azioni da porre in essere di fronte a eventi eccezionali. È un elemento fortemente operativo.
Soprattutto nelle realtà più strutturate, BCP è una parte di un sistema olistico di gestione della continuità operativa (Business Continuity Management System, o BCMS), che può contare su professionisti, obiettivi e budget dedicati.
Lo scopo di un BCMS è identificare minacce in continua evoluzione, definire gli impatti e costruire a livello sistemico un sistema di risposta agli eventi critici. Il BCP è dunque un punto cardine del sistema, ma vi fanno parte anche le procedure di gestione delle crisi (crisis management), l’emergency response, la protezione della reputazione, il test e il miglioramento continuo del sistema stesso. In un BCMS vengono definiti ruoli, strutture organizzative, responsabilità, modalità di comunicazione verso gli stakeholder, attività di formazione e awareness, nonché i passi concreti per salvaguardare l’operatività aziendale.
Il piano di Business Continuity è generalmente redatto da un team multidisciplinare che include professionisti della gestione del rischio, della sicurezza informatica, delle risorse umane, delle operazioni e della comunicazione, sotto la guida di un Responsabile della Continuità Operativa o di un Business Continuity Manager. La collaborazione tra diversi reparti è cruciale per assicurare che il piano sia esaustivo e tenga conto di tutte le possibili interruzioni e delle relative strategie di mitigazione e ripristino.
Il responsabile della continuità operativa, spesso indicato come Business Continuity Manager, è colui che coordina lo sviluppo, l'implementazione e il mantenimento dei processi di business continuity all'interno dell'organizzazione. Questa figura ha il compito di assicurare che l'azienda sia preparata a rispondere efficacemente a interruzioni, minimizzando l'impatto sulle operazioni. È responsabile della valutazione dei rischi, della pianificazione delle strategie di ripristino e della conduzione dei test periodici per garantire l'efficacia del piano di continuità.
Business Continuity e Disaster Recovery sono concetti sinergici e complementari. Si può dire che il Disaster Recovery sia un elemento costitutivo della continuità del business, un elemento rivolto in modo specifico, con tanto di strategie e procedure concrete, alla salvaguardia dell’operatività delle risorse IT che alimentano il business.
Formalmente, Disaster Recovery e Business Continuity Plan fanno entrambi parte del sistema di gestione della continuità aziendale (BCMS). Disaster Recovery serve per minimizzare il downtime dei sistemi IT, definendo per ogni processo (a seconda della sua criticità) un quantitativo massimo di dati che è possibile perdere (RPO) e il tempo massimo di ripristino dei sistemi (RTO). Definito ciò, esistono metodi, strategie e soluzioni adeguate a ottenere lo scopo prefisso. Ottimizzare RPO e RTO per ogni processo è fondamentale per bilanciare correttamente l’efficacia della soluzione con il suo costo.
RTO, o Recovery Time Objective, è un indicatore chiave nel contesto della business continuity e del disaster recovery. Si riferisce al tempo massimo consentito per il ripristino delle funzioni aziendali critiche dopo una interruzione. Esso rappresenta una componente fondamentale nella pianificazione della continuità operativa, poiché stabilisce le aspettative temporalmente e guida l'allocazione delle risorse per garantire che i servizi essenziali siano ripristinati entro i limiti tollerabili, minimizzando così l'impact sull'operatività aziendale.
Il tema degli standard ISO per la continuità operativa è centrale per le aziende in sé, ma anche per la scelta dei fornitori di servizi IT. In generale, infatti, le certificazioni ISO dimostrano la conformità dei sistemi di gestione aziendali alle best practice e agli standard di riferimento internazionale. Nell’ambito della continuità operativa, gli standard di riferimento sono ISO 22301 e ISO 27001.
ISO 22301 riporta i requisiti per pianificare, implementare, gestire e migliorare un sistema di gestione finalizzato alla protezione della continuità operativa. In altri termini, lo standard internazionale fornisce le linee guida per la creazione e la gestione di un BCMS di riferimento. ISO 27001 è invece lo standard che definisce le linee guida per la gestione della sicurezza delle informazioni, sicurezza che include piani di continuità operativa per i sistemi IT.
Soprattutto negli ultimi anni, la relazione tra business continuity e cyber security è diventata strettissima.
Come confermato dal recente rapporto Clusit, le minacce informatiche stanno crescendo di anno in anno (+60% negli ultimi 5 anni, di cui il 7,6% è indirizzato a imprese residenti in Italia) e aumenta il costo dei data breach, ormai (in ambito enterprise) stabilmente al di sopra dei 4 milioni di dollari (IBM). Per quanto il fine di molte minacce sia la sottrazione di dati, il rischio di rallentamenti o interruzioni di operatività è quanto mai fondato. Alcune minacce, come i ransomware, sono finalizzate appositamente a bloccare l’operatività degli endpoint.
Al giorno d’oggi, le strategie di sicurezza del dato sono molteplici. Nell’ambito specifico della continuità del business, backup su cloud e disaster recovery rappresentano ancora gli strumenti principali e più efficaci, oltre (ovviamente) a strategie preventive fatte di sistemi di protezione degli endpoint, delle reti, delle applicazioni, degli accessi e molto altro, comprese fattispecie di monitoraggio continuo con servizi di tipo SOC, ovvero Security Operations Center.
Non da ultimo, le aziende devono intraprendere percorsi strutturati di security awareness al fine di sensibilizzare e formare il personale nell’ambito specifico della sicurezza cyber, così da trasformarlo da anello debole della catena a prima invalicabile linea di difesa.
