Il Business Continuity Planning è un aspetto fondamentale per garantire efficienza e resilienza a qualsiasi azienda. Ecco cos’è e come attuarlo al meglio
Cos’è il business continuity planning? Prima di fornire una definizione e capire di cosa si tratta, occorre pensare a quali possano essere i pericoli e le cause che possono influenzare o interrompere il business. Non è solo la parte hardware o software a entrare in gioco, ma anche e soprattutto le persone che fanno parte della vita aziendale. La perdita di un dipendente chiave può essere un problema per il business continuity planning. La pandemia ha messo in grave difficoltà le imprese. Lo mette in luce il BCI Horizon Scan Report 2021, a cura del Business Continuity Institute. Da qui emerge come il Covid-19 ha spinto le malattie non professionali in cima alla tabella dei rischi per il 2020 con il più alto punteggio mai registrato nel rapporto.
Gli incidenti di salute e sicurezza occupano rispettivamente il secondo e il terzo posto. Ma ci sono altri pericoli: a proposito, sul report sono stati registrati nuovi record per eventi meteo estremi, come pure cyber attacchi e per mutamenti normativi. L’importanza di essere preparati per impatti multi-evento è cruciale.
Cos’è e cosa si intende per business continuity planning
Il business continuity planning consiste nella capacità di una azienda o ente di dotarsi di un piano per affrontare situazioni difficili, in modo che la tua organizzazione possa continuare a funzionare con il minor numero possibile di interruzioni. Che si tratti di un’impresa, di un’organizzazione del settore pubblico o di un ente di beneficenza, è bene sapere come si può andare avanti in qualsiasi circostanza.
Possiamo tradurre il termine con “continuità operativa” e il valore di dare continuità alla propria attività imprenditoriale e al business è legato alla capacità previsionale e di resilienza. Altrimenti, il rischio che si corre è assai elevato. Arriva dagli USA un esempio dei pericoli cui si è esposti: uno studio della National Association of Insurance Commissioners rilevava che più del 90% delle piccole imprese intervistate dopo uno degli uragani che periodicamente colpiscono il Paese ha una copertura di proprietà/responsabilità, mentre meno della metà (48%) delle imprese con un fatturato annuo superiore a 1 milione di dollari ha un’assicurazione contro le interruzioni di attività.
Può non sorprendere quindi che, in seguito a disastri come questi, molte PMI (20-40%) siano costrette a chiudere, secondo un rapporto dell’Institute for Business & Home Safety.
Business continuity planning e business continuity management
Serve quindi dotarsi di un Business Continuity Plan, per condurre avanti le proprie attività. Ma occorre avere chiaro innanzitutto il concetto di gestione della continuità operativa (Business Continuity Management), con cui si definisce, secondo il Disaster Recovery Institute International riprendendo quanto descritto dalla norma ISO 22301, un processo di gestione olistico che identifica le minacce potenziali per un’organizzazione e gli impatti sulle operazioni commerciali che tali minacce, se realizzate, potrebbero causare, e che fornisce una struttura per costruire la resilienza organizzativa con la capacità di una risposta efficace che salvaguardi gli interessi dei suoi principali stakeholder, la reputazione, il marchio e le attività che creano valore.
Il BCM integra le discipline di risposta alle emergenze, gestione delle crisi, Disaster Recovery (continuità tecnologica) e Business Continuity (trasferimento organizzativo/operativo), ed è in capo, solitamente, ad un vero e proprio Business Continuity Manager.
Cos’è un “piano di continuità aziendale”? È un documento in cui sono inserite le informazioni critiche di cui un’organizzazione ha bisogno per continuare a operare durante un evento non pianificato in grado di interrompere il servizio. Il BCP dovrebbe dichiarare le funzioni essenziali del business, identificare quali sistemi e processi devono essere sostenuti e specificare nel dettaglio come mantenerli in funzione o ripristinarli.
Il documento di Business Continuity Planning è progettato per proteggere il personale e i beni e assicurarsi che possano funzionare rapidamente quando il disastro colpisce. E’ bene anche chiarire che non c’è solo questo. Vanno messi in atto:
- Piano di emergenza per gli occupanti (OEP)
- Piano di risposta agli incidenti (IRP)
- Piano di continuità delle operazioni (COOP)
- Piano di recupero in caso di disastro (DRP)
- Piano di Ripresa del Business (BRP)
Business Continuity e Disaster Recovery
Come abbiamo accennato, Business Continuity Planning e Disaster Recovery hanno a che fare, pur essendo concetti diversi. Il secondo è davvero più focalizzato su ciò che accade dopo un disastro. In realtà è parte del piano di continuità operativa. Mentre il BCP si concentra sull’intero business, i piani di DR tendono a focalizzarsi maggiormente sul lato tecnico del business. Questo include componenti come il backup e il recupero dei dati e i sistemi informatici.
E’ meglio pensare a un Business Continuity Planning come a una polizza ombrello, con la DR come parte di essa. Anche se questi concetti sono leggermente diversi, condividono gli stessi obiettivi comuni, ovvero: offrire supporto e assistenza durante un disastro. Quindi, indipendentemente dal tipo di piano che si decide di adottare, ci sono elementi comuni che entrambi devono incorporare per avere successo. Ecco quali:
- Un piano operativo per potenziali disastri che potrebbero verificarsi nell’area geografica in cui opera la vostra azienda/ente.
- Formazione dei dipendenti e formazione incrociata. I dipendenti dovrebbero conoscere il loro ruolo nel piano ed essere addestrati ad altre responsabilità nel caso in cui qualcun altro non sia in grado di svolgere il proprio ruolo.
- Un piano di comunicazione che includa modi di comunicare se le reti sono fuori uso.
- Attenzione alla sicurezza. Promuovere le partnership e la comunicazione con i servizi di risposta locale e di emergenza. Idealmente, tutti i dipendenti dovrebbero almeno conoscere il primo soccorso di base.
- Backup quotidiano dei sistemi e dei dati.
- Addestramento e test di tutti i dipendenti per praticare le attività di recupero in scenari realistici di gioco di ruolo.
- Revisioni e aggiornamenti regolari dei vostri piani per assicurare che siano ancora rilevanti e in grado di proteggere sistemi e azienda.
Business continuity planning: come predisporre un piano. Un esempio pratico
Ci sono tre aspetti principali in un piano di continuità aziendale per applicazioni e processi chiave che vanno considerati:
- Alta disponibilità: prevedere la capacità e i processi in modo che un’azienda abbia accesso alle applicazioni indipendentemente dai guasti locali. Questi guasti potrebbero essere nei processi aziendali, nelle strutture fisiche o nell’hardware o software IT.
- Operazioni continue: salvaguardare la capacità di mantenere le cose in funzione durante un’interruzione, così come i backup o la manutenzione programmati.
- Recupero di emergenza: stabilire un modo per recuperare un centro dati in un sito diverso se un disastro distrugge il sito primario o lo rende altrimenti inutilizzabile.
Resta quindi da spiegare come preparare il Business Continuity Plan. Si devono prevedere varie fasi. La prima è identificare gli obiettivi del piano. Occorre anche focalizzare, per ogni obiettivo, i traguardi da raggiungere, in modo da verificare la piena rispondenza del BCP alle effettive esigenze di business.
Una volta identificati gli obiettivi, è bene formare i referenti: ogni impresa deve identificare un un Business Continuity Manager, un suo assistente e un assistente amministrativo per ogni business unit dell’azienda.
A questo punto serve identificare le necessità e le aree chiave dell’azienda: sono quelle che, in caso di fermo rischiano di portare i maggiori danni all’azienda.
E’ necessario poi eseguire un’analisi dell’impatto sull’azienda dell’elemento di rischio. In pratica bisogna avere chiare la comprensione dei rischi finanziari, operativi e fisici dell’azienda a seguito di un’emergenza. Tale analisi dell’impatto sul business permette di individuare le conseguenze di ogni evento avverso quali reazioni produce.
Dopo tutto questo si passa alla creazione del piano operativo, il Business Continuity Plan vero e proprio, in cui vengono indicate strategie di prevenzione del rischio e la sua gestione, il superamento dell’emergenza fino al ripristino della continuità del business.
Infine, servirà approntare una revisione periodica, quanto meno annuale, aggiornando costantemente le procedure di emergenza e condividendo le informazioni con lo staff coinvolto.
Va detto che non è possibile fornire una risposta univoca a cosa debba essere compreso in un BCP, in quanto se si intende farlo bene deve essere tarato sulle specifiche esigenze dell’azienda e dei clienti.
Gli standard ISO della business continuity
Quando abbiamo dato una definizione di Business Continuity Management abbiamo utilizzato quella riportata dalla ISO 22301, standard internazionale per la gestione della continuità operativa.
Basata sul British Standard BS 25999 e su altri standard regionali, esso permette di comprendere e definire le priorità tra le minacce per la tua azienda. La norma ISO 22301 specifica i requisiti necessari affinché un sistema di gestione aiuti a proteggere e ridurre la probabilità di incidenti e assicurare alle attività la ripresa in seguito a interruzioni.
Fornisce una serie di requisiti per pianificare e gestire efficacemente un sistema di BCM.
In un mondo in cui i cyberattacchi, le violazioni dei dati e i disastri naturali possono interrompere la continuità aziendale e danneggiare rapidamente la reputazione, le organizzazioni e le imprese devono implementare, mantenere e perfezionare costantemente il loro sistema di gestione della continuità aziendale (BCMS). La certificazione ISO 22301 garantisce che la stiano svolgendo.
Essa adotta un criterio “Plan Do Check Act” condiviso con altri sistemi di Gestione e propone l’approccio alla Continuità operativa, partendo dalle esigenze delle Parti interessate, proponendo una Business Impact Analisys (BIA) per supportare un’adeguata gestione del rischio.
Perché adottarla, lo spiega bene il Business Continuity Institute: lo standard ISO 22301 aiuta le imprese a identificare e dare priorità alle minacce. Permette loro di attuare efficacemente il loro sistema di gestione della continuità aziendale in modo da essere pronti a rispondere e a riprendersi dagli incidenti con la minima interruzione dell’attività.
Gli studi hanno dimostrato che quasi 1 organizzazione su 5 sperimenta interruzioni significative del business ogni anno. Pertanto, una struttura robusta e resiliente è in grado di cambiare con i tempi, di capire dove sono le sue vulnerabilità e di avere piani in atto per mitigare il rischio e rispondere se necessario. La conformità o la certificazione ISO 22301 permette alla vostra impresa di ottenere tutto ciò in modo semplice e strutturato.
Attraverso le evidenze del report 2021 sopra citato. Le organizzazioni che si sono certificate ISO 22301 lo hanno fatto perché aumenta la loro resilienza (secondo il 71,8% delle imprese campione) e permette una misurazione e un monitoraggio BCM coerente (69,0%). Più della metà (52,3%) ha affermato che la certificazione aiuta le parti interessate a gestire meglio i rischi, indicando che la prova della certificazione è talvolta richiesta dagli stessi stakeholder.
Altro standard di riferimento, ampiamente citato dalle aziende nel report, è BS 65000 che definisce la resilienza organizzativa come la capacità di anticipare, prepararsi, rispondere e adattarsi agli eventi.
BCI riferisce che lo standard britannico ha visto un rinnovato livello di interesse quest’anno sulla scia di Covid-19. Gli intervistati hanno riferito che le loro organizzazioni stavano cercando sempre più di orientarsi verso il concetto di resilienza globale e stavano cercando una struttura per iniziare a sviluppare il concetto al loro interno.
