A garantire la continuità aziendale c’è il Business Continuity Manager, una figura quanto mai importante. Ecco chi è, cosa fa e perché è essenziale considerarlo nell’organigramma aziendale
Il Business Continuity Manager ha a che fare con la continuità e la resilienza. Termini quanto mai importanti oggi in un mondo ricco di eventi estremi: nel solo 2021 sono stati 259 i miliardi di dollari di danni provocati dalle catastrofi naturali, registra Swiss Re. Ci sono poi i danni arrecati dal cybercrime, le cui perdite globali si avvicinano a mille miliardi dollari, evidenzia McAfee. Secondo gli analisti di IDC, il 95,1% delle organizzazioni ha subito un attacco informatico negli ultimi 12 mesi. E che dire della pandemia da Covid-19, che ancora oggi crea problemi a ogni livello? I costi provocati contemplano, tra l’altro, l’interruzione delle attività produttive. A tale proposito la figura del Business Continuity Manager è quanto mai preziosa per assicurare – appunto – la continuità aziendale. È lui il responsabile del business recovery planning (BRP) e del Business Continuity Planning (BCP), come spiega Gartner.
Chi sia e quale importanza abbia per un’impresa, di qualsiasi dimensione, questo professionista lo andiamo subito a illustrare.
Chi è il Business Continuity Manager
Ripartiamo dalla continuità, in particolare da quella aziendale. La Business Continuity viene definita dalla ISO 22301 – standard di riferimento internazionale – come la capacità di un’organizzazione di continuare a fornire, durante un’interruzione, prodotti e servizi in tempi accettabili e secondo capacità predefinite.
Per questo serve un piano specifico, cui lavora il Business Continuity Manager. È lui, come detto, il responsabile della pianificazione del Business Continuity Plan, oltre che del business recovery plan. La gestione della continuità operativa (Business Continuity Management – BCM), come specificato dal Disaster Recovery Institute International, è un processo che identifica il rischio, le minacce e le vulnerabilità che potrebbero avere un impatto sulle operazioni e le attività di un’organizzazione. “BCM fornisce un quadro per costruire la resilienza organizzativa e la capacità di una risposta efficace”. Essa riguarda, quindi, un complesso di attività utili a identificare il rischio di esposizione di un’organizzazione alle minacce interne ed esterne.
Il BCM include il Disaster Recovery, la gestione delle crisi, degli incidenti e delle emergenze e la loro pianificazione.
Business Continuity e Disaster Recovery sono parti integranti della gestione e della sicurezza delle infrastrutture e delle attività produttive e corporate. Il primo mantiene i sistemi in funzione e i dati disponibili, nonostante le interruzioni o i guasti; il secondo riporta i sistemi al funzionamento normale dopo un evento disastroso.
Il Disaster Recovery è un passo nel più ampio processo di salvaguardia di un’azienda contro tutti gli imprevisti. Il piano specifico (BRP o Disaster Recovery Plan) affronta il ripristino del business a seguito di un’emergenza. Esso documenta le procedure di ripresa dei processi aziendali dell’organizzazione in un sito alternativo. A differenza di un BCP, un BRP non si occupa di sostenere i processi durante l’interruzione.
Mentre la “continuità del business” può necessariamente comportare l’adozione di misure temporanee (come il trasferimento dell’ufficio, la riduzione dell’orario di lavoro, la riduzione dei livelli di personale e/o l’uso di sistemi IT di backup), la ripresa del business riguarda il ripristino delle operazioni a livelli il più possibile normali, specifica ENISA.
Detto questo, il Business Continuity Manager si occupa di tutte le attività del piano aziendale necessarie per consentire all’organizzazione di gestire un evento di crisi, nonché di soddisfare i requisiti di conformità per la pianificazione BCP. Tra le sue mansioni c’è lo sviluppo, il mantenimento e la gestione del test del Business Continuity plan.
L’obiettivo del Business Continuity Management e del professionista che la gestisce è fornire all’organizzazione la capacità di rispondere efficacemente a minacce come disastri naturali o violazioni di dati e proteggere gli interessi commerciali dell’organizzazione.
A cosa serve la Business Continuity?
La Business Continuity, come già detto, è la capacità di un’organizzazione di assicurare che le operazioni e le funzioni di core business non siano gravemente colpite da un evento disastroso o da un incidente non pianificato che metta offline i sistemi critici.
Essa ha un riferimento normativo nella ISO 22301, primo standard internazionale al mondo per integrare e mantenere piani, sistemi e processi di continuità aziendale efficaci. Pubblicata per la prima volta nel 2012, è stata sottoposta a una revisione nel 2019. Oltre a specificare cosa sia la Business Continuity, fornisce anche una definizione del piano conseguente, che comprende informazioni documentate che permettono a un’organizzazione di rispondere a un’interruzione e a riprendere, oltre a recuperare e ripristinare, la fornitura di prodotti e servizi in coerenza con i suoi obiettivi di continuità aziendale.
Contare poi su uno standard come l’ISO 22301 può garantire alle aziende una buona gestione dei loro processi di gestione del rischio. Quelle che adottano la norma ISO 22301 in genere effettuano una valutazione approfondita dei rischi a tutti i livelli aziendali e garantiscono che tutti i manager siano attivamente coinvolti nella gestione delle emergenze.
È assai importante predisporre un BCP: lo evidenziano bene i vari incidenti che possono gravare su un’organizzazione pubblica o privata. Quali siano i pericoli lo si intuisce, per esempio, dal report Allianz Risk Barometer 2021 da cui si raccolgono dati relativi a diversi Paesi. In Italia i cyber incidenti si sono posizionati per la prima volta come il più importante rischio per le aziende a livello locale, con il 54% delle risposte; al secondo posto si sono piazzate le interruzioni di attività aziendali (45%) e la pandemia compare al terzo posto (col 28% di risposte).
Ma non ci sono solo questi: incendi ed esplosioni sono stati la prima causa prima causa di perdite per le aziende di tutto il mondo tra 2013 e 2018, secondo l’analisi di Allianz. Essi hanno causato più di 14 miliardi di euro dalle oltre 9.500 richieste di risarcimento.
Le skills e le attività
Il Business Continuity Manager deve occuparsi, singolarmente o in team, di sviluppare, integrare e mantenere una BCM e il relativo quadro di governance. È necessario che migliori la supervisione riguardante la difesa sulle operazioni di business e IT oltre a occuparsi del processo di gestione degli incidenti e delle crisi. Periodicamente si occuperà di redigere valutazioni dell’analisi dell’impatto sul business, coordinare l’esecuzione di test di Business Continuity management.
Oltre a fornire indicazioni relative ai piani di continuità aziendale e alle interdipendenze, deve promuovere la consapevolezza e facilitare un coinvolgimento proattivo delle aree aziendali nella gestione della continuità aziendale. Un ulteriore compito del manager è interagire con altre funzioni di controllo come la sicurezza delle informazioni, l’outsourcing e la gestione del rischio.
La sua funzione è cruciale per l’azienda e va compresa da tutti coloro che operano nel contesto aziendale.
In termini di competenze richieste, il Business Continuity Manager deve avere un’esperienza comprovata nel Business Continuity Management e nella gestione della continuità dei servizi IT, compreso il Disaster Recovery.
Il professionista che ricopre questo ruolo deve possedere un’ottima conoscenza delle pratiche e dei protocolli di Business Continuity Management, inclusi gli standard internazionali e le normative pertinenti.
Importante però è comprendere che il Business Continuity Manager non è un “tuttologo”: va piuttosto considerato un facilitatore, un coordinatore di attività che permettano di definire il sistema di gestione della Business Continuity.
