La Business Continuity (BC) è una disciplina che fa riferimento alla norma ISO 22301:2019 “Societal Security — Business Continuity Management Systems Requirements” che stabilisce i requisiti per un efficiente Business Continuity Management System (BCMS) applicabile a qualsiasi tipologia di organizzazione.
Che cosa si intende con Business Continuity
La Business Continuity è definita come la capacità di un’azienda di continuare ad erogare prodotti e servizi ad un livello accettabile, a fronte di eventi avversi che potrebbero provocare un’interruzione (i.e. disruption) per un certo lasso di tempo, anche breve, con costi diretti e indiretti importanti (i.e. perdite ingenti di fatturato, di quote di mercato, pagamento di sanzioni amministrative – locali o nazionali – o penali contrattuali, danni reputazionali ecc.)
Di fatto, la ISO 22301:2019 riguarda la costruzione e il continuo miglioramento del livello di resilienza del business. Ricordiamo che la normale erogazione di prodotti e servizi può essere impattata da diversi eventi (i.e. eventi catastrofici naturali; pandemie; atti di sabotaggio ed atti terroristici; turbolenze dei mercati e guerre dei dazi; crisi economiche e geopolitiche; blocco dei sistemi informatici dovuto a malfunzionamenti tecnici o a cyber attack; interruzione dell’alimentazione elettrica o incendi; interruzione della supply chain per fornitori critici ecc.) che possono comportare un fermo operativo, se non addirittura, la chiusura definitiva di un’organizzazione.
L’organizzazione – attraverso l’implementazione dei principi di BC – prende consapevolezza della congiuntura che potrebbe sopravvenire, di come prepararsi ad affrontarla, gestendo al meglio quei processi e attività necessari per poter erogare prodotti e servizi critici, ripristinandoli dopo l’interruzione.
Risk Management: strategie e strumenti per garantire la resilienza. Clicca sull’immagine per approfondire
Le fasi della Business Continuity
Da dove iniziare? Chi ben incomincia è già a metà dell’opera. La ISO 22301:2019 e le diverse Line Guida Internazionali – i.e. BCI Good Practices Guideline (GPG) Edition 2021 e DRI Guidelines Edition 2021 – prevedono (giustamente) un percorso sequenziale.
Lo standard ISO 22301 afferma che non solo abbiamo bisogno di un piano, ma anche di un Business Continuity Management System (BCMS).
Il processo di implementazione della Business Continuity, così come definito dal BCI, UK nelle Good Practice Guidelines (GPG) Edition 2018, può essere concepito in sei fasi, e precisamente:
- Fase 1 – Policy & Program Management (Politica e gestione del programma)
- Fase 2 – Embedding (Incorporazione, consapevolezza e formazione)
- Fase 3 – Analysis (Analisi)
- Fase 4 – Design (Identificazione delle strategie di continuità, loro realizzazione e progettazione dei piani).
- Fase 5 – Implementation (Implementazione delle strategie e dei piani)
- Fase 6 – Validation (Approvazione, monitoraggio e miglioramento continuo)
L’approccio PDCA (Plan, Do, Check, Act)
L’implementazione dei principi di continuità operativa implica un processo continuo che riflette l’approccio PDCA (i.e. Plan, Do, Check, Act), come si evince dallo schema rappresentato di seguito che raggruppa i punti di composizione della ISO 22301:2019 per fase di pertinenza.
Fonte immagine – FMRLIVELLI ©copyright 2023
Grazie all’approccio PDCA si crea una cultura organizzativa che guida il miglioramento continuo attraverso misurazioni e feedback ripetitivi delle prestazioni, come evidenziato graficamente dalla figura che segue.
Fonte immagine – FMRLIVELLI ©copyright 2023
Questo approccio permette di esercitare un lavoro di applicazione e coordinamento – attraverso un approccio multidisciplinare -, dato che i sistemi di gestione offrono una serie di processi propedeutici a un obiettivo comune di Business Continuity ovvero la mitigazione del rischio, inclusa la protezione delle attività e delle risorse che forniscono i prodotti e i servizi più importanti/critici dell’organizzazione.
Pertanto, si tratta di predisporre una struttura di risposta, le procedure di avviso e la comunicazione e i piani di ripristino che si traducano in un processo ripetibile ed efficace che può essere richiamato ed eseguito, senza indugio, ogni qualvolta si verifichi un incidente dirompente/interruzione/crisi.
Di fatto, ci troviamo dinanzi a:
- Risk-based Thinking Approach (approccio basato sul rischio): l’analisi di rischi e delle opportunità è trasversale a tutti i requisiti di queste norme.
- Resilience-based Thinking Approach (approccio basato sulla resilienza): la Business Impact Analysis (BIA) è di supporto per l’individuazione dei processi “critici” per il business, analizzerà gli impatti derivanti dall’interruzione di tali processi, individuerà le risorse necessarie per consentire il funzionamento/ripristino e definirà priorità/obiettivi di ripartenza in coerenza con eventuali vincoli normativi e contrattuali.
Sarà altresì necessario considerare:
- Contesto dell’organizzazione: si tratta di acquisire la conoscenza del contesto interno ed esterno, dei bisogni e delle aspettative delle parti interessate, che possono influenzare la capacità dell’organizzazione di raggiungere i risultati desiderati.
- Leadership: il top management deve dimostrare la propria leadership e commitment in modo da garantire che il sistema di gestione sia integrato nei processi di direzione strategica dell’organizzazione.
- Pianificazione: l’obiettivo è cogliere le opportunità offerte dal contesto di riferimento, analizzare i rischi correlati, prevenire gli impatti negativi che potrebbero influire sul raggiungimento degli obiettivi, progettare e implementare i piani necessari per garantire la continuità.
- Informazione documentata: si tratta di definire le modalità più adeguate a redigere e conservare la documentazione inerente alla propria operatività.
- Gestione della conoscenza: la conoscenza del contesto permette di acquisire consapevolezza e, al contempo, insieme alle competenze delle persone, si converte in elemento qualificante per il raggiungimento degli obiettivi dell’organizzazione.
Business Impact Analysis al centro del BCMS
La Business Impact Analysis (BIA), di fatto, è il cuore pulsante della fase di analisi di un BCMS. Si prefigge di determinare i requisiti di continuità operativa, fornendo informazioni atte a identificare le soluzioni più idonee. Lo scopo della BIA è di:
- Mappare e stabilire le priorità di quei prodotti e servizi definiti come critici e che risultano essere strategici in termini di BC e, pertanto, devono essere protetti e quanto prima ripristinati per garantire la fornitura di prodotti/servizi.
- Fornire un inventario (elenco) delle attività e delle risorse aziendali in modo tale da identificare cosa deve essere protetto e/o ripristinato dopo l’inizio di un’interruzione/crisi/incidente.
- Stabilire gli Recovery Time Objective (RTO) propedeutici ad aiutare l’organizzazione a determinare il tempo entro cui è necessario a recuperare le risorse e a riattivare le attività, i processi, i servizi e i prodotti; stabilire le priorità delle opzioni di trattamento del rischio; selezionare le strategie di risposta e di recupero.
- Stabilire i Recovery Point Objective (RPO), ovvero, determinare il punto in cui i dati utilizzati da un’attività devono essere recuperati per consentire all’attività di operare al suo ripristino. L’RPO è indicato anche come Massima Perdita di Dati e coincide con ultimo backup.
Il ruolo della BIA nel conseguimento degli obiettivi strategici dell’azienda
Grazie alla BIA sarà possibile il conseguimento degli obiettivi strategici dell’organizzazione, che sarà in grado di:
- Confermare la validità dell’ambito del programma di Business Continuity in termini di attività e risorse aziendali necessarie per continuare a fornire i prodotti e i servizi più critici/strategici per l’organizzazione.
- Identificare e comprendere gli obblighi legali, regolamentari e contrattuali in modo tale da garantire una adeguata pianificazione della continuità in termini di conformità.
- Avere una chiara visibilità dei costi di implementazione della strategia di BC a fronte della stima degli impatti (finanziari, reputazionali, contrattuali, legali/normativi, operativi, ecc.) correlati ai tempi di interruzione al fine di potere giustificare in modo documentato la selezione, l’implementazione e il mantenimento della stessa strategia atta conseguire gli obiettivi di recupero.
- Raccogliere i dati propedeutici alla stesura dei Business Continuity Plan (BCP) in termini di controlli esistenti, strategie di ripristino, requisiti in termini di team e personale di BC, informazioni di contatti interni ed esterni, altre informazioni riferite alle specifiche risorse necessarie per il BCP.
Dopo aver raccolto queste informazioni, l’organizzazione o, meglio, coloro che sono incaricati di creare e mantenere il BCP, possono procedere a redigerlo.
Come si redige un Business Continuity Plan efficace per l’azienda
I BCP devono funzionare in modo efficace e sinergico con tutta l’organizzazione, oltre a risultare strettamente “collegati” al processo decisionale strategico in modo che le azioni di BC possano essere progettate e gestite per attuare – senza difficoltà – nuovi paradigmi.
Inoltre, il BCP deve essere redatto in modo tale da descrivere lo scopo e l’ambito del piano, oltre agli obiettivi di ripristino applicabili; documentare in modo chiaro i ruoli e responsabilità del personale coinvolto nelle operazioni di risposta e recupero; identificare le dipendenze interne ed esterne; elencare i criteri per l’attivazione del piano; fornire le modalità di risposta a un incidente dirompente e sul come raggiungere i Recovery Time Objective (RTO) stabiliti per il ripristino ed il “ritorno” alla normalità; fornire le modalità di ripristino e ritorno alla normalità.
Le procedure di BC
Altrettanto fondamentale redigere le Procedure che fungono da supporto all’esecuzione del BCP e, come tali, devono:
- Fornire in dettaglio le misure specifiche sufficientemente flessibili e adattabili a qualsiasi contesto in divenire e da implementare in caso di un’interruzione dirompente.
- Identificare il Responsabile della creazione e dell’aggiornamento di ogni piano e delle relative procedure.
- Descrivere la struttura di risposta coordinata, efficace ed efficiente agli incidenti, crisi o eventi dirompenti, fornendo criteri chiari in termini di risposta e/o recupero.
- Descrivere l’attivazione del cosiddetto “Albero delle Chiamate” e la modalità di monitoraggio di un incidente.
- Descrivere l’attuazione delle attività di ripristino dell’attività e ritorno alla normalità.
- Fornire le modalità di avviso e comunicazione di un incidente dirompente in modo tale da facilitare la comunicazione con i soccorritori; ottenere informazioni da qualsiasi Autorità o Istituzione Nazionale o Regionale per la gestione delle emergenze (i.e. Protezione Civile, Ministero salute, ecc., Vigili del Fuoco, Forze dell’Ordine, ecc.); identificare le procedure atte ad individuare o identificare un’interruzione, monitorarle, tenere traccia dell’avanzamento della risposta; ricevere e inviare comunicazioni dalle/alle parti interessate.
Le Procedure di BC devono essere redatte in modo tale da essere efficaci, sintetiche e chiare (eventualmente anche considerando i diagrammi di flusso) dato che nel momento critico l’organizzazione deve essere in grado di rispondere all’interruzione e ripristinare l’operatività entro gli RTO approvati dalla Leadership/Top Management.
Inoltre, è doveroso ricordare che molte interruzioni richiedono l’attivazione di diversi piani di riposta per poter gestire efficacemente lo stesso incidente. In un’ottica di approccio olistico, il Business Continuity Manager deve collaborare con altri esperti, i.e. Risk Manager, IT Manager, Security Manager, Facility Manager, HR Manager, Marketing Manager, Communication Manager, ecc.
Business Continuity Plan, un esempio di struttura
Un format suggerito è composto di 6 sezioni + Allegati per semplificare processo di aggiornamento e distribuzione del Piano. Si tratta di fatto di redigere un piano che fornisca una descrizione dei processi e delle procedure che garantiscano:
- Situazione normale: mantenere e aggiornare il perimetro dei processi di BC e la funzionalità delle soluzioni previste.
- Situazione di crisi: dichiarare lo stato di emergenza e attivare le soluzioni di BC per il ripristino della normale operatività.
Ogni sezione conterrà un ruolo specifico nella risposta alle crisi e nel ripristino dei processi danneggiati, oltre a contenere informazioni di sintesi su Ruoli e Responsabilità nella gestione della crisi.
I 6 elementi chiave di un Business Continuity Plan
È doveroso ricordare che un efficiente BCP deve rispondere a 6 elementi chiave:
- Saper rispondere in modo chiaro ed esaustivo alle domande Chi, Cosa, Dove, Come e Quando.
- Essere utile da cima a fondo.
- Indicare cosa dovranno fare persone coinvolte – sia i titolari dei processi critici, sia per tutti gli altri per cui non è stata studiata alcuna strategia.
- Essere elaborato con il coinvolgimento di tutta l’organizzazione.
- Essere “scenario independent” ovvero indipendente da un’ipotesi di scenario dal momento che l’interruzione può avvenire per molteplici ragioni e il piano deve soddisfarle tutte. L’organizzazione, a prescindere dalla causa dell’interruzione, deve essere pronta a prendere decisioni velocemente per mitigare i danni e ripartire.
- Essere sempre esercitato.
Business Continuity e Disaster Recovery: differenze e complementarietà
Le organizzazioni che non conoscono il BCMS fanno fatica a comprendere la differenza tra BC Plan e DR Plan. Di fatto, si tratta di strategie essenziali per salvaguardare le operazioni aziendali, ma differiscono tra loro. Vediamo come.
- Business Continuity Plan
Implica il piano generale per il mantenimento delle operazioni aziendali durante un disastro in tutta l’azienda, comprese persone, luoghi, comunicazioni, catena di approvvigionamento, logistica, ecc. Pertanto, si riferisce alla capacità tattica e strategica delle organizzazioni e delle aziende di rispondere alle interruzioni che possono verificarsi nel corso delle operazioni aziendali.
- Disaster Recovery Plan
È un tema che si concentra sulla tecnologia o sui sistemi informativi compreso il recupero dei dati. Pertanto, la pianificazione del DR comporta la garanzia che i dati vengano archiviati e sottoposti a backup in modo tale che i dipendenti possano accedere a piani, server, posta, file e presentazioni quando lavorano da una posizione esterna.
Metriche del Disaster Recovery Plan
Avere il DRP in atto offre ai responsabili IT e ai leader aziendali la tranquillità che la loro infrastruttura sia protetta 24 ore su 24, 7 giorni su 7. Ogni DRP di successo implementa quattro metriche chiave, quali:
- Failover: trasferisce dati, app e software a un sistema IT secondario, in genere in una posizione diversa tenendo in considerazione incendi, inondazioni, ecc. Ciò significa che è possibile operare in qualche modo, anche se solo su un “sistema scheletro”.
- Failback: restituisce dati, app e software al sistema originale dopo il ripristino. Un processo di failback garantirà che nessun dato venga perso e che le operazioni riprendano senza problemi.
- RTO (Obiettivo del tempo di ripristino): la grande domanda su quanto tempo è possibile continuare senza IT. L’RTO fa riferimento alla quantità di tempi di inattività che la tua azienda può gestire in modo prevedibile.
- RPO (Obiettivo del punto di ripristino): massima perdita di dati. In breve, è il ciclo di aggiornamento impostato sulla soluzione di backup, cioè ogni ora, ogni giorno ecc.
Le misure di controllo DR sono in genere classificate come:
- Misure preventive: volte a impedire che si verifichi la minaccia.
- Misure investigative: tese a rilevare e scoprire la minaccia.
- Misure correttive: mirate a correggere la minaccia se si verifica.
Passaggi chiave per la progettazione di un DRP
Nel momento in cui si progetta un piano di Disaster Recovery, non si può prescindere da alcuni step essenziali. Ecco i principali:
- Valutazioni iniziali del rischio e valutazione dell’impatto aziendale per determinare i punti deboli dell’infrastruttura e le probabili minacce.
- Impostazione di una strategia di DR e pianificazione dettagliata di come far fronte vari livelli di interruzione e ripristinare.
- Formazione del personale nelle procedure di DR.
- Come gestire le relazioni esterne.
- Processo di manutenzione e miglioramento continuo del piano di DR.
Di seguito si fornisce la rappresentazione grafica di un ciclo di vita di evento dirompente e di tutte le attività necessarie per rendere l’organizzazione resiliente.
Fonte immagine – FMRLIVELLI ©copyright 2023
Best practice e soluzioni tecnologiche: i software di Business Continuity Management (BCM)
Un software BCM aiuta le aziende a identificare i rischi, condurre analisi dell’impatto aziendale, migliorare la resilienza organizzativa e implementare politiche e procedure per ridurre al minimo l’impatto di possibili interruzioni.
Queste piattaforme non solo forniscono una soluzione, ma offrono anche un piano d’azione completo che indichi all’organizzazione cosa fare durante eventi dirompenti e come garantire una strutturata orchestrazione della resilienza.
Inoltre, un software di BC, non solo migliora l’efficacia dei piani da implementare, ma ne aumenta anche l’accuratezza attraverso soluzioni basate sui dati. Ecco alcuni altri vantaggi scaturiti dall’utilizzo di una soluzione di BC:
- Consente un approccio consolidato. Il software di Business Continuity facilita la raccolta dei dati e consente un processo automatizzato di approvazioni e revisioni periodiche. Inoltre, avere i piani e le informazioni in un unico posto rende anche facile accedervi in qualsiasi momento e da qualsiasi dispositivo.
- Diminuisce l’esposizione al rischio. L’identificazione proattiva dei rischi potenziali, la creazione di un piano e la verifica della loro efficacia migliorano le possibilità di un’azienda di un’operatività ininterrotta nonostante le minacce di interruzioni.
- Promuove la conformità alle normative . L’utilizzo del software di BC semplifica anche il monitoraggio, l’aggiornamento e la garanzia della conformità agli standard normativi e alle best practice del settore.
Conclusioni
È necessario attuare un vero e proprio salto culturale, che consiste nel considerare la BC come un investimento strategico per beneficiare in toto delle opportunità dell’industria 4.0 e 5.0 e, al contempo, tutelare l’esistenza stessa delle organizzazioni sul mercato globale. Ovvero, si tratta di anticipare, di prevenire, di riprendersi da eventi avversi e di adattarsi per evitare eventi simili in futuro, il tutto senza interrompere o compromettere la continuità aziendale.
Si tratta di “anticipare l’inaspettato” attraverso la conoscenza dei contesti interni ed esterni per giungere alla consapevolezza dei rischi e dei punti di cedimento ed avviare il percorso sine die verso la resilienza