https://magazine.cdlan.it/it-it

Business Continuity, come pianificarla e garantirla

Una guida completa

 

Molti fattori di rischio minacciano la business continuity aziendale.
Ecco come fare per rendere resiliente il proprio business

La continuità dei processi operativi è il pilastro su cui poggia qualsiasi impresa, una necessità assoluta e non negoziabile.

L’interruzione, o anche solo una limitazione di operatività, riduce la capacità dell’azienda di realizzare prodotti ed erogare servizi, di conformarsi alle policy e alle normative in essere e, in senso lato, di soddisfare i propri clienti.

Per tutti questi motivi, e molti altri, sono centrali in qualsiasi attività economica i concetti di gestione del rischio (risk management), di business continuity, di disaster recovery e, a livello sistemico, di business continuity management system (BCMS).

Cosa si intende per business continuity nel 2023

Con l’espressione business continuity (o continuità operativa) si intende la capacità dell’impresa di fronteggiare eventi avversi in grado di limitare o interrompere i processi operativi. Delle svariate definizioni disponibili, è particolarmente azzeccata quella di VMware, secondo cui BC è il “il livello di preparazione dell’azienda a mantenere attive le funzioni critiche dopo un’emergenza o un’interruzione”.

La business continuity rientra dunque nel macrocosmo dalla business resilience, espressione che rappresenta la capacità dell’impresa di adattarsi a un mondo in continuo cambiamento e ad eventi che possono generare forti discontinuità come fenomeni naturali, guasti, blackout, terremoti, attacchi cyber, ma anche il fallimento di un fornitore o interruzioni a livello di supply chain.

Nonostante la digitalizzazione del business focalizzi l’attenzione sul concetto di alta disponibilità (high availability) dei sistemi e delle infrastrutture IT,  la continuità del business è dunque un concetto sistemico che vale per ogni fonte di rischio cui l’azienda è soggetta. Il covid, a titolo d’esempio, è stato un evento disruptive che ha messo a dura prova la continuità operativa delle aziende pur senza condizionare i sistemi IT alla base del business. Anzi, questi sono stati un fattore determinante proprio per preservare l’operatività nei periodi più cupi.

Continuità operativa e resilienza: i vantaggi per l’azienda, oggi

Essere resiliente di fronte a rischi che crescono di giorno in giorno (si pensi alle minacce cyber) dovrebbe essere lo stato naturale in cui opera ogni azienda. I vantaggi della business continuity sono infatti determinanti per le imprese e rientrano in 4 categorie:

  • Differenziazione competitiva 
    Non tutte le aziende pianificano e implementano strategie corrette di continuità dei processi operativi. Farlo è senza dubbio un fattore di successo che agisce sia sulla capacità di acquisire i clienti che sulla retention di quelli esistenti.
  • Branding e reputazione
    In alcuni settori, come moda e lusso, la discontinuità operativa si traduce in incapacità di garantire al cliente l’esperienza che desidera. Ciò ha ripercussioni importanti sulla fiducia e sulla reputazione del marchio.
  • Compliance
    In settori fortemente regolati, come pharma, medicale e finance, la continuità del business è un requisito imposto dalla normativa vigente. Evitare ogni forma di downtime significa anche non incorrere in sanzioni.
  • Ottimizzazione dei costi
    È l’elemento più impattante, lo riportiamo per ultimo solo perché la stragrande maggioranza delle imprese ne è già consapevole. Secondo Gartner, un downtime a livello enterprise può costare anche 5.600 dollari al minuto tra mancate vendite, costi di ripristino, impatti sulla reputazione e molto altro. 

Come funziona un servizio di business continuity

Molte imprese si domandano come fare un business continuity plan efficace. Nonostante le indubbie differenze tra contesti, mercati e settori, per realizzare un piano di continuità operativa – ovvero un insieme organizzato e sinergico di metodi, procedure e strumenti di reazione di fronte all’evento disruptive – sono necessarie in ogni caso alcune attività.

  1. L’identificazione dei processi mission-critical, ovvero quelli su cui si basa l’operatività e il business aziendale (es, comunicazioni, gestione supply chain, tecnologie per i pagamenti…). In un mondo ormai digitalizzato, è fondamentale identificare i sistemi (IT) responsabili dell’esecuzione di questi processi, così da tutelarli in modo accurato. Per i processi non-core possono essere definiti valori tollerabili di discontinuità.
  2. Valutazione dei rischi. Occorre adottare un punto di vista sistemico ed evidenziare tutte le tipologie e i fattori di rischio che potrebbero condizionare l’operatività aziendale, ovvero i processi mission-critical.
  3. Business Impact Analysis (BIA). A ogni rischio va associato un impatto (business impact analysis) e la probabilità che si verifichi, così da procedere ad un vero e proprio scoring dei rischi e definire così le priorità di intervento.
  4. Pianificare le attività di business continuity.
    Definite le priorità, vanno strutturate le procedure atte a tutelare la resilienza d’impresa di fronte ad eventi capaci di creare discontinuità. A titolo d’esempio, contro l’inagibilità della sede possono essere definite le procedure e gli strumenti per lo smart working di tutta la workforce. Questo è il business continuity plan in senso stretto

Business Continuity Management e il sistema di gestione della continuità

A livello formale, business continuity plan è un documento che definisce ruoli, responsabilità e soprattutto processi, azioni da porre in essere di fronte a eventi eccezionali. È un elemento fortemente operativo.

Soprattutto nelle realtà più strutturate, BCP è una parte di un sistema olistico di gestione della continuità operativa (Business Continuity Management System, o BCMS), che può contare su professionisti, obiettivi e budget dedicati.

Lo scopo di un BCMS è identificare minacce in continua evoluzione, definire gli impatti e costruire a livello sistemico un sistema di risposta agli eventi critici. Il BCP è dunque un punto cardine del sistema, ma vi fanno parte anche le procedure di gestione delle crisi (crisis management), l’emergency response, la protezione della reputazione, il test e il miglioramento continuo del sistema stesso. In un BCMS vengono definiti ruoli, strutture organizzative, responsabilità, modalità di comunicazione verso gli stakeholder, attività di formazione e awareness, nonché i passi concreti per salvaguardare l’operatività aziendale.

Business Continuity e Disaster Recovery, quale relazione?

Business Continuity e Disaster Recovery sono concetti sinergici e complementari. Si può dire che il Disaster Recovery sia un elemento costitutivo della continuità del business, un elemento rivolto in modo specifico, con tanto di strategie e procedure concrete, alla salvaguardia dell’operatività delle risorse IT che alimentano il business.

Formalmente, Disaster Recovery e Business Continuity Plan fanno entrambi parte del sistema di gestione della continuità aziendale (BCMS). Disaster Recovery serve per minimizzare il downtime dei sistemi IT, definendo per ogni processo (a seconda della sua criticità) un quantitativo massimo di dati che è possibile perdere (RPO) e il tempo massimo di ripristino dei sistemi (RTO). Definito ciò, esistono metodi, strategie e soluzioni adeguate a ottenere lo scopo prefisso. Ottimizzare RPO e RTO per ogni processo è fondamentale per bilanciare correttamente l’efficacia della soluzione con il suo costo. 

Gli standard ISO per la continuità operativa

Il tema degli standard ISO per la continuità operativa è centrale per le aziende in sé, ma anche per la scelta dei fornitori di servizi IT. In generale, infatti, le certificazioni ISO dimostrano la conformità dei sistemi di gestione aziendali alle best practice e agli standard di riferimento internazionale. Nell’ambito della continuità operativa, gli standard di riferimento sono ISO 22301 e ISO 27001.

ISO 22301 riporta i requisiti per pianificare, implementare, gestire e migliorare un sistema di gestione finalizzato alla protezione della continuità operativa. In altri termini, lo standard internazionale fornisce le linee guida per la creazione e la gestione di un BCMS di riferimento. ISO 27001 è invece lo standard che definisce le linee guida per la gestione della sicurezza delle informazioni, sicurezza che include piani di continuità operativa per i sistemi IT. 

Cybersecurity e Business Continuity, quali soluzioni?

Soprattutto negli ultimi anni, la relazione tra business continuity e cyber security è diventata strettissima.

Come confermato dal recente rapporto Clusit, le minacce informatiche stanno crescendo di anno in anno (+60% negli ultimi 5 anni, di cui il 7,6% è indirizzato a imprese residenti in Italia) e aumenta il costo dei data breach, ormai (in ambito enterprise) stabilmente al di sopra dei 4 milioni di dollari (IBM). Per quanto il fine di molte minacce sia la sottrazione di dati, il rischio di rallentamenti o interruzioni di operatività è quanto mai fondato. Alcune minacce, come i ransomware, sono finalizzate appositamente a bloccare l’operatività degli endpoint.

Al giorno d’oggi, le strategie di sicurezza del dato sono molteplici. Nell’ambito specifico della continuità del business, backup su cloud e disaster recovery rappresentano ancora gli strumenti principali e più efficaci, oltre (ovviamente) a strategie preventive fatte di sistemi di protezione degli endpoint, delle reti, delle applicazioni, degli accessi e molto altro, comprese fattispecie di monitoraggio continuo con servizi di tipo SOC, ovvero Security Operations Center. 

Non da ultimo, le aziende devono intraprendere percorsi strutturati di security awareness al fine di sensibilizzare e formare il personale nell’ambito specifico della sicurezza cyber, così da trasformarlo da anello debole della catena a prima invalicabile linea di difesa.