Prendendo in prestito l’ottima definizione di TechTarget, la business resilience è la “capacità di un'organizzazione di adattarsi rapidamente alle disruption, mantenendo la continuità dei processi e salvaguardando le persone, i beni e la brand equity”. L’elemento portante della resilience è dunque la capacità di adattamento rispetto a contesti di mercato, economici, politici e sociali che cambiano in modo non lineare né prevedibile.
Cos'è la business resilience
La business resilience, o resilienza aziendale, è dunque la capacità di un'organizzazione di anticipare, prepararsi, rispondere e adattarsi a interruzioni inaspettate o cambiamenti repentini per sopravvivere e prosperare. Si tratta di un concetto olistico che include la pianificazione della continuità operativa, la gestione delle crisi, la ripresa dell'attività dopo un'interruzione e la flessibilità strategica. Le imprese resilienti sono quelle che non solo resistono agli shock esterni, ma sono anche in grado di trasformarli in opportunità di crescita e innovazione. Questo richiede una cultura organizzativa che valorizzi l'agilità, la capacità di apprendimento continuo e l'adattamento, oltre a sistemi e processi robusti che possano assorbire le turbolenze senza crollare. Investire nella resilienza aziendale significa proteggere il valore a lungo termine dell'impresa, salvaguardando gli interessi di stakeholder, dipendenti e clienti in un mondo sempre più incerto e volatile.
Differenza tra business resilience e Business Continuity
Come dimostrato dalla recente pandemia, le organizzazioni sono soggette a eventi imprevedibili in grado di condizionarne il futuro e, in taluni casi, la sopravvivenza. Non a caso, si parla di strategie di business continuity da decenni, e più precisamente dagli anni ’80 del secolo scorso. L’espressione business resilience, invece, è più recente, al punto che uno dei grandi temi è proprio quello di differenziarla dalla continuità operativa.
Come anticipato, la parola chiave per capire la resilienza è “adeguamento”. La business continuity è un insieme di strategie, piani operativi e strumenti (es, Business Impact Analysis, Disaster Recovery) che puntano a mantenere o ripristinare lo stato di equilibrio dopo un evento in grado di creare forte discontinuità: si pensi alla catastrofe naturale, alle dimissioni in blocco del CdA, all’attacco cyber andato a buon fine o all’allagamento del data center.
Business resilience risponde a un concetto simile, ma al tempo stesso più ampio e moderno poiché comprende sia la capacità di assorbire l’urto (adeguarsi) che quella di approfittarne per trasformarsi ed evolvere, raggiungendo un nuovo equilibrio. L’esito della resilience, citando sempre TechTarget, è “Il ritorno alla normalità o a una nuova normalità, sulla base degli esiti dell’evento”.
Ancora una volta, la pandemia è l’esempio perfetto. Durante la prima fase, tutte le aziende hanno attivato i propri piani di continuità operativa, poiché la resilienza del business era l’obiettivo da raggiungere a tutti i costi. Molte organizzazioni hanno acquistato piattaforme cloud di collaboration, distribuito SIM e notebook aziendali, organizzato riunioni di team a cadenza ravvicinata e rivisto i processi per permetterne l’esecuzione da remoto.
Alcune aziende, però, hanno fatto di più: hanno approfittato dell’evento imprevedibile non solo per salvaguardare la loro operatività, ma anche per abilitare modelli moderni di lavoro ibrido, agili e fortemente produttivi, che poi hanno mantenuto al termine dell’emergenza sanitaria. Come risultato, queste imprese hanno abbattuto i costi (oggi, gli spazi sono meno utilizzati di prima), possono contare su una workforce molto più ingaggiata e produttiva, attraggono i migliori talenti e, grazie all’alternanza di lavoro da remoto e in presenza, possono comunque contare su community coese e motivate. Questa è una forma di business resilience.
Le tre fasi del business resilience plan
Business Resilience non è dunque sinonimo di continuity, ma ha lo stesso significato di resilienza organizzativa, ovvero di capacità organizzativa di assorbire gli urti e di adattarsi.
Per essere resilienti, le aziende devono progettare e implementare un business resilience plan, che idealmente va strutturato in 3 fasi ben distinte. Le prime 2 sono comuni al business continuity plan.
Fase Preventiva
Comprende la Business Impact Analysis (BIA), la progettazione del piano di Disaster Recovery, Backup, la definizione di tutte le procedure di continuità operativa, dei ruoli e delle tecnologie, nonché il training, il testing delle procedure e molto altro.
Risposta all’evento
Attivazione immediata delle procedure di incident response, di gestione della crisi, di comunicazione d’emergenza e di disaster recovery, al fine di ripristinare l’operatività dei processi core nel minor tempo possibile (RTO) e con la minore perdita di dati (RPO).
Ritorno al “new” normal
È l’elemento cardine della resilienza. È possibile che l’azienda torni allo stato di equilibrio precedente, ma anche che, adattandosi alle nuove circostanze, effettui una trasformazione con impatto positivo anche a livello culturale. È da quest’ultima fase che un’azienda dimostra di essere (o meno) resiliente.
Il business resilience plan è dunque una variante più estesa, moderna ed efficace delle strategie di continuità operativa adottate ormai da decenni. In sede di progettazione del proprio plan, l’azienda può essere accompagnata da consulenti dedicati e/o riferirsi a standard consolidati come ISO 22316:2017 che si occupa in modo specifico di “migliorare la resilienza organizzativa per qualsiasi tipo o dimensione di organizzazione”.
Un esempio di resilienza del business
Un esempio concreto di resilienza aziendale che evidenzia l'importanza della business continuity può essere illustrato attraverso la risposta di una società di servizi finanziari a un evento di interruzione critico, come un cyber-attacco. Questa organizzazione aveva precedentemente investito in un robusto piano di business continuity che includeva backup regolari dei dati, sistemi di failover automatico e una strategia di ripristino di emergenza. Quando un attacco ransomware ha colpito, criptando i loro dati principali e chiedendo un riscatto, l'azienda era pronta.
Invece di pagare il riscatto o subire un tempo di inattività prolungato, la società ha attivato il suo piano di continuità operativa. Entrò immediatamente in azione il team di risposta agli incidenti, che aveva già praticato scenari simili in esercitazioni periodiche. La rete e i dati critici vennero rapidamente ripristinati da backup recenti e sicuri, minimizzando l'interruzione del servizio ai clienti. Gli impiegati furono in grado di continuare a lavorare da posizioni remote grazie a una piattaforma di collaborazione cloud pre-implementata, garantendo che le operazioni critiche rimanessero operative.
Questo esempio dimostra come la business continuity non sia solo una questione di recupero dopo un evento, ma una strategia complessiva che permette all'azienda di continuare a operare efficacemente di fronte a interruzioni, proteggendo la sua reputazione e la sua base clienti. Grazie a una preparazione e pianificazione adeguate, l'organizzazione non solo è sopravvissuta all'attacco, ma è emersa più forte e più resiliente, con una maggiore fiducia dei clienti nella sua capacità di gestire crisi e mantenere la sicurezza dei loro dati.
