La Business Impact Analysis è uno strumento utile per il successo di una strategia di continuità di business. Ecco cos'è e a cosa serve
L’ampio ecosistema di attività a cui fa riferimento un’organizzazione rende auspicabile e necessaria una Business Impact Analysis. La velocità a cui le aziende sono costrette nell’era della trasformazione digitale non lascia spazio all’improvvisazione. Ogni evento deve essere in qualche modo previsto, valutato e analizzato, così come è opportuno conoscere gli impatti che una situazione improvvisa può generare sul business.
Da tale reattività dipende molto spesso il successo o il fallimento di un’iniziativa imprenditoriale. Se un’azienda non è preparata per dare risposte alle situazioni che si prospettano in ogni istante, rischia infatti di fallire sotto vari aspetti, con conseguenze che potrebbero penalizzare il business anche in maniera irrimediabile.
La Business Impact Analysis costituisce dunque uno strumento utile per aiutare le aziende a valutare gli impatti degli eventi sui vari aspetti che concorrono al successo di una strategia di continuità di business. I rischi sono sempre in agguato. La capacità di valutarli va preceduta da un atteggiamento proattivo, facendo tesoro delle metodologie che in questi anni sono state implementate per offrire le linee guida fondamentali per una efficace Business Impact Analysis.
Cos’è la business impact analysis
Secondo la definizione di ENISA (European Union Agency for Cybersecurity) la Business Impact Analysis (BIA) “è un passaggio chiave nel processo di pianificazione della continuità di business. La BIA consente al Business Continuity Manager o al Business Continuity Coordinator di definire i requisiti di sistema, i processi, le interdipendenze e di utilizzare queste informazioni per determinare i requisiti fondamentale per garantire la continuità di business”.
In altri termini, la Business Impact Analysis consente di prevedere le conseguenze dell’interruzione dei processi e dei sistemi indispensabili per erogare in maniera corretta i servizi aziendali. Tali informazioni risultano utili quando si tratta di sviluppare strategie finalizzate a facilitare il recupero alla condizione ottimale ogni talvolta si verifichi una situazione di emergenza.
Tale condizione potrebbe essere ad esempio identificata nella situazione ordinaria che ha preceduto l’insorgere di un incidente. Si tratta pertanto di effettuare delle simulazioni di scenario da cui possono derivare situazioni penalizzanti per l’azienda. Il campo delle ipotesi è estremamente vario e può comprendere, ad esempio, un fornitore che non consegna il proprio ordine entro i tempi utili, guasti agli impianti presenti sulle linee di fabbrica e molto altro.
L’abilità di chi effettua la BIA consiste nel comprendere ogni potenziale criticità, analizzandola a fondo ai fini di valutare al meglio i possibili rischi ad essa connessi. Tali valutazioni di scenario permettono di stabilire le misure utili a mitigare il disagio e recuperare la condizione ottimale nel minor tempo possibile, con il minor danno possibile per i fruitori dei servizi aziendali, oltre ad incentivare un responsabile approccio preventivo. Tali valutazioni vanno accompagnate dalle previsioni dei budget utili per dare corpo alle ipotesi formulate.
Un evento epocale per focalizzare al meglio questo concetto è stato segnato dalla pandemia Covid-19. Quante aziende avevano previsto nelle loro valutazioni un rischio pandemia? Decisamente poche, perché tale eventualità prima di allora aveva una scarsissima tradizione, soprattutto nel nostro contesto geografico, che ne era esente dai primi anni del Novecento.
Gli obiettivi di una Business Impact Analysis
Riprendendo ancora una volta la definizione formulata da ENISA: “lo scopo della BIA è di correlare componenti IT specifici con i processi critici che supportano. Sulla base di tali informazioni la BIA aiuta a determinare le conseguenze di un’interruzione dei processi e dei loro componenti. I risultati della BIA dovrebbero essere inclusi nelle analisi e nelle strategie utili a definire il piano di disaster recovery, il piano di business recovery e il piano di incident response [NIST 800-34]”.
I responsabili della business continuity aziendali devono pertanto pianificare e allocare le risorse finanziarie e umane per far fronte alle interruzioni di servizio che possono presentarsi, per arrivare a definire le priorità di recupero dei processi utili per riconfigurare la piena efficienza del business. Si tratta di valutazioni di natura multidisciplinare, che devono continuamente coinvolgere i vertici aziendali, consapevoli degli accordi di fornitura stipulati con i vari clienti. Questo aspetto, ad esempio, risulterebbe rilevante qualora si trattasse di prendere una decisione tesa a mitigare il più possibile il pagamento di penali da interruzioni di servizio, dando priorità di recupero alle situazioni contrattualmente più penalizzanti.
Per arrivare a definire uno schema di priorità di recupero efficace, una BIA che possa ritenersi davvero utile per le sorti aziendali deve pesare molti impatti in termini di business:
- Impatti di natura economica e finanziaria
- Impatti di natura reputazionale
- Impatti di natura normativa, legale e contrattuale
- Impatti sugli obiettivi di business
È dunque indispensabile che ogni prodotto o servizio erogato dall’azienda sia pesato per capire quali conseguenze potrebbero derivare da un’interruzione. Gli impatti sovra citati vanno proiettati anche in funzione degli effetti sui vari stakeholder (clienti, fornitori, partner, investitori, dipendenti, istituzioni, media, opinione pubblica, ecc.), per capire quali conseguenze potrebbero derivare nei loro confronti anche in termini di atteggiamenti di rivalsa, possibilità di abbandono e dei relativi crolli reputazionali che la situazione penalizzante nel suo insieme potrebbe causare all’azienda.
L’andamento del danno subito in caso di un’interruzione di servizio non sempre presenta un andamento di natura lineare, ma tende ad enfatizzare i propri effetti in funzione del tempo trascorso senza che sia intervenuta una procedura di rimedio efficace. Oltre all’insorgere delle penali contrattuali, il tempo gioca soprattutto a sfavore della componente reputazionale, in assoluto la più difficile da recuperare.
In estrema sintesi, gli obiettivi della BIA consistono quindi nell’offrire un quadro lucido della situazione per stabilire un efficace livello di priorità nelle fasi di recupero da un’interruzione di servizio. La sua natura appare dunque propedeutica alla redazione dei piani e all’adozione degli strumenti operativi che le aziende implementano per garantire la propria continuità di business.
Business Impact Analysis e valutazione dei rischi (Risks Assessment)
Anche se i due strumenti presentano indubbiamente dei punti di contatto e risultano essenziali nel contesto di una strategia di continuità di business aziendale, la Business Impact Analysis non andrebbe mai confusa con la procedura di valutazione dei rischi e, in misura più marginale, con i piani di comunicazione della crisi.
A livello logico e concettuale la BIA precede la valutazione dei rischi, in quanto costituisce il punto di partenza, per fornire alle aziende gli elementi di base per elaborare le strategie di continuità di business, capaci di assumere tutte le declinazioni operative di cui necessitano.
BIA e valutazione dei rischi presentano alcune differenze anche dal punto di vista propriamente analitico. La Business Impact Analysis considera prevalentemente le conseguenze dei guasti e dei possibili incidenti, valutandoli sia in termini di impatto economico che per quanto riguarda aspetti di natura reputazionale, legale e strategico.
La valutazione dei rischi individua le situazioni potenzialmente pericolose per il business, concentrandosi tuttavia soprattutto con quali probabilità e quale gravità gli asset aziendali potrebbero risultare danneggiati nel caso in cui il rischio si traducesse in un vero e proprio incidente.
Come si esegue
Per eseguire una Business Impact Analysis non esiste uno standard univoco. Negli anni sono stati definiti vari framework da cui attingere per derivare delle linee guida che vanno in ogni caso declinate sullo specifico caso aziendale a cui si fa riferimento. La BIA è genericamente caratterizzata da più fasi che, seguendo differenti metodologie, considerano almeno i seguenti passaggi:
- Raccolta delle informazioni
- Valutazione delle informazioni raccolte
- Redazione di un report analitico
- Presentazione del report agli stakeholder aziendali (tecnici e non tecnici)
La redazione della Business Impact Analysis può essere affidata in toto in outsourcing, rivolgendosi a consulenti specializzati, o effettuata internamente, qualora siano presenti le competenze necessarie per condurre correttamente le procedure di indagine e di analisi previste. L’unico elemento a cui non è possibile rinunciare è la collaborazione dei dipendenti, in quanto la prima fase consiste genericamente nella rilevazione di tutti i processi e le attività presenti nelle varie linee di business, con le relative sinergie che si sviluppano operativamente all’interno dell’azienda.
Il punto di partenza di una BIA è infatti costituito da un questionario dettagliato, da cui devono emergere in maniera chiara ed inequivocabile i processi più critici, le risorse stanziate, le relazioni stabilite e tutti i dettagli utili per valutare gli impatti sul business causati da un particolare evento. Esistono vari metodi per la conduzione del survey, che può essere a sua volta preceduto da un momento di formazione, tenuto da specialisti in materia di business continuity management.
I survey possono essere effettuati “manualmente” su apposite tabelle o essere automatizzate mediante procedure online. A seconda della complessità specifica di ogni scenario, i responsabili della redazione della BIA possono decidere di approfondire il survey con una serie di interviste mirate, solitamente effettuate in seconda istanza.
Per comprendere al meglio il flusso di una Business Impact Analysis facciamo un rapido passo indietro, soffermandoci per un istante sul business continuity management, per procedere nella descrizione delle fasi di valutazione e analisi necessarie per scrivere consapevolmente un report di BIA.
Il business continuity management
Il business continuity management (BCM) è un processo di gestione continuativa che ha quale obiettivo quello di salvaguardare gli interessi degli stakeholder aziendali, la reputazione del marchio e tutte le attività utili alla creazione di valore per il business dell’organizzazione.
L’implementazione del BCM in azienda avviene generalmente sotto forma di un progetto, per cui sono state formulate varie metodologie di riferimento. Una volta stabilito, il BCM deve diventare un punto di riferimento fattivo per tutte le figure coinvolte nei processi atti a garantire la continuità di business aziendale. Il coordinamento di tali attività è generalmente assunto da una figura specialistica: il business continuity manager.
La logica dell’intera attività di BCM deve essere finalizzata a definire delle policy coerenti con la natura, la dimensione, la complessità, la geografia e le criticità specifiche dei processi aziendali, capaci al tempo stesso di riflettere la cultura intrinseca e le procedure operative dell’azienda stessa. Un framework modellato in maniera teoricamente ineccepibile, ma distante dal contesto di riferimento, rischierebbe soltanto di produrre dell’inutile accademia, carta incapace di generare valore aggiunto. Meglio poche regole, ma chiare e pertinenti al caso specifico.
Oltre alla BIA, di cui ci occupiamo compiutamente in questo servizio, tutti gli aspetti della BCM devono essere soggette a policy in grado di considerare le disponibilità di budget, i vincoli temporali, le ripercussioni di carattere normativo, le scadenze contrattuali, proiettandole nell’ottica della continuità di business. La definizione di appropriate policy di business continuity costituisce pertanto una condizione sine qua non per garantire all’azienda una condizione resiliente anche nelle situazioni più difficili.
È la ragione per cui il business continuity management costituisce un loop continuo di attività, che deve necessariamente diventare parte integrante del mindset aziendale, soprattutto per quanto concerne le figure decisionali. Rispetto al contesto tradizionale, che ha preceduto la trasformazione digitale delle aziende, il BCM assume una connotazione più complessa, che va assorbita grazie ad un processo di change management graduale e consapevole delle aspettative di crescita e sviluppo del business dell’organizzazione.
Per quanto riguarda la BIA, diventa essenziale valutare e analizzare gli impatti che gli imprevisti e gli incidenti possono causare al business secondo vari aspetti. Per procedere in questa direzione esistono molti framework. A titolo esemplificativo, nei seguenti paragrafi faremo riferimento alle procedure proposte da ENISA, quale ente autorevole sul tema a livello comunitario.
Valutazione della BIA (Assessment)
Una volta che il survey preliminare ha consentito di identificare i processi critici per il business dell’organizzazione, il business continuity manager deve porsi il problema di iniziare a valutare in maniera quantitativa, oltre che qualitativa, i loro possibili impatti. A tal proposito potrebbe condurre una serie di approfondimenti, sotto forma di interviste dirette, con i responsabili delle singole linee di business. Questa fase dovrebbe consentire di migliorare la conoscenza in merito agli impatti che una condizione sfavorevole, come una causa di forza maggiore, del tutto indipendente dall’azienda, un guasto tecnologico accidentale o una perdita di dati e informazioni, potrebbe causare nei comparti specifici dell’azienda.
Nello specifico, l’indagine dovrebbe consentire di focalizzare i seguenti argomenti:
- Impatto sui dipendenti e sul benessere pubblico
- Impatto delle violazioni degli obblighi di legge o dei requisiti normativi
- Danno reputazionale
- Danno finanziario
- Danno ambientale
- Calo della qualità del prodotto e/o del servizio
- Danno alle proprietà intellettuali, ai brevetti e ai dati di rilevanza strategica
- Variazione della fiducia degli stakeholder (in primis clienti ed investitori)
- Impatto sull’opinione pubblica
- Conseguenze di carattere politico
In base alla condizione specifica, possono essere aggiunti altri parametri di valutazione, tenendo sempre presente che l’obiettivo della BIA risiede nel valutare l’impatto qualitativo e quantitativo, a prescindere dai metodi utilizzati per condurre la valutazione stessa, che trovano ampio riscontro nella letteratura relativa alla gestione del rischio aziendale.
Dal punto di vista tecnologico, la procedura valutativa consiste nello stabilire i tempi di recupero necessari per ripristinare un servizio, secondo le indicazioni fornite dagli RTO (Recovery Time Objective) di processo e di componente. Nel primo caso ci si riferisce alla complessità del processo nel suo insieme, mentre nel secondo caso l’attenzione si sposta sui componenti IT che concorrono nel far funzionare il processo stesso. In termini pratici, il reparto IT, sulla base delle valutazioni espresse dalla BIA, dovrebbe essere in grado di stabilire tutte le procedure di supporto secondo una precisa logica di priorità.
La descrizione concettuale di queste fasi potrebbe apparire persino semplicistica, ma nel contesto operativo subentra necessariamente tutta la complessità di una vera e propria infrastruttura IT: reti, storage, server, database, applicazioni, policy di gestione, policy di sicurezza, ecc. In merito a tutto ciò il reparto IT deve arrivare a definire in maniera estremamente concreta la sequenza di recupero per ogni componente, in funzione degli RTO previsti.
Questo genere di valutazioni si rivela pertanto efficace quando si ha a che fare con specialisti che conoscono molto bene l’IT dell’azienda in cui operano e dispongono in un know-how diffuso in discipline quali l’high availability e, più in generale, la business continuity.
Per quanto riguarda nello specifico la Business Impact Analysis, le informazioni minime che devono emergere ai fini della valutazione sono le seguenti:
- Area di business e nome (ID) del processo
- Recovery Time Objective del processo, sulla base dei parametri di criticità e degli indicatori temporali di recupero stabiliti nelle policy BCM
- Software utilizzati
- Livelli di downtime accettabili per ogni software
- Informazioni accessibili richieste (digitali e analogiche)
- Livelli di downtime accettabili per ogni informazione accessibile
- Hardware utilizzati (server, workstation, stampanti, switch, firewall, modem, router, ecc.)
- Numero di elementi per ciascuna tipologia di hardware comunemente utilizzati
- Numero di elementi per ciascuna tipologia di hardware garantita durante un incidente
- Livelli di downtime accettabili per ogni tipologia di hardware
- Infrastruttura telefonica utilizzata
- Livelli di downtime accettabili per l’infrastruttura telefonica
- SLA (Service Level Agreement) per l’hardware, il software e i servizi stabilita per ogni contratto di fornitura
La valutazione di ogni singolo aspetto comporta l’occasione di approfondire notevolmente la conoscenza dell’IT aziendale, nell’ottica di una strategia di miglioramento continuo, che comprende, oltre alla BIA, anche altre attività fondamentali, come la valutazione dei rischi.
Analisi dei risultati e redazione del report della BIA
Come più volte accennato, gli obiettivi della fase analitica della BIA coincidono con la determinazione degli aspetti più rilevanti a livello di impatto sul business, in modo da definire le priorità di recupero in caso di interruzione. Occorre pertanto entrare nel merito di tutte le funzioni e di tutti i sistemi aziendali utili all’erogazione dei servizi, in modo da definire uno schema di priorità sulla base degli RTO (Recovery Time Objective) ammissibili in ogni circostanza specifica.
La complessità dell’analisi è legata alla grande quantità di elementi e variabili da tenere in considerazione per determinare gli impatti economici, reputazionali e normativo-contrattuali che ciascuna funzione aziendale comporta sul business dell’azienda. La quantità di situazioni difficili da prevedere è molto ampia e comprende solitamente gli effetti macroeconomici, quelli che, per inciso, non possono essere determinati soltanto nello specifico aziendale. E’ il caso dei ritardi sulla logistica nelle spedizioni internazionali, dell’allungamento dei tempi medi degli ordini di materiale, dell’aumento delle spese di manodopera, dei rincari dell’energia e degli effetti di natura geopolitica, come quelli che determinano le sanzioni nei confronti di alcune nazioni.
Il report della BIA include vari aspetti di riepilogo, a partire dalla metodologia impiegata per raccogliere e analizzare i dati in tutte le procedure di valutazione effettuate. Il livello di approfondimento del report segue gli obiettivi specifici di ogni realtà aziendale. In ogni caso, è opportuno dettagliare i risultati delle analisi in funzione delle varie business unit, cercando di facilitare il più possibile la lettura dei dati attraverso grafici e diagrammi riepilogativi, che possono essere elaborati dai vari software di data visualization attualmente disponibili.
Il report della BIA deve fornire indicazioni utili ad illustrare gli impatti e tutte le raccomandazioni per il recupero, assegnando dunque le priorità alle funzioni più rilevanti. L’analisi degli impatti derivanti dalle interruzioni aziendali tengono conto dei vincoli normativi e contrattuali in vigore, arrivando a descrivere puntualmente i livelli accettabili in termini di inattività, secondo gli standard previsti dai RTO (Recovery Time Objective) e RPO (Recovery Point Objective).
Tali indicazioni consentono di facilitare notevolmente le procedure operative da parte del personale addetto alle attività di recupero, parlando di fatto una lingua a loro pienamente comprensibile. A seconda del livello di dettaglio previsto e, soprattutto, del livello di competenze disponibili nel team che dispone la BIA, è possibile arrivare a definire l’ordine e la tipologia di attività necessarie per ripristinare le singole funzioni.
Il business continuity manager deve garantire che il report risulti funzionale all’elaborazione di tutti i passaggi successivi, compresi i fondamentali piani di continuità di business e di disaster recovery. Uno dei dati più rilevanti in tal senso è costituito proprio dai tempi di inattività accettabili definiti per i vari processi. Il BCM deve inoltre prevedere un aggiornamento periodico o puntuale della BIA in funzione della variazione della attività e delle strategie di business.
