Introduzione

Il concetto di business continuity presenta una serie di interrogativi, relativamente al suo ambito.

Di cosa si tratta?

È un problema interno aziendale oppure può interessare anche  gli stakeholders, dai clienti, ai fornitori, agli azionisti, ai dipendenti, alle parti sociali?

Quali le relazioni fra business continuity e i servizi informatici aziendali, interni o terziarizzati?

È opportuno conseguire una certificazione rilasciata da terze parti del sistema di business continuity aziendale tramite la Norma ISO 22301?

È necessario definire un business continuity plan aziendale?

Quale la sua diffusione in Italia rispetto all’estero?

Nei contatti che una società di consulenza come Sernet ha con il mercato, questi interrogativi sono all’ordine del giorno. La parola ai nostri senior consultant che hanno sviluppato da anni progetti legati a questo tema.

Obiettivi e ambito della business continuity

Carlo Guastone, qualche anno fa, ha realizzato un intervento di advisory per un importante player di mercato nel settore del software applicativo. La prima domanda che il management gli ha rivolto è stata: “Mi spiega bene di cosa si tratta? Abbiamo già un disaster recovery aziendale, non è sufficiente?”. A seguire: “Quale la diffusione della business continuity presso i nostri competitors?”.

Per business continuity si intende una “continuità operativa dei processi di business” per la erogazione dei prodotti/servizi  verso il mercato e per lo svolgimento di processi interni vitali, quali ad esempio la gestione finanziaria dell’azienda o la gestione della rete commerciale e dei fornitori.

Per fare una facile metafora se la saracinesca del negoziante è abbassata o se il sito di eCommerce non funziona non si vende.

Ma  cosa può condizionare la continuità operativa?

Per rispondere al quesito ci vengono in aiuto le norme internazionali dedicate fra le quali la ISO 22301:2012 (Business Continuity Managment System). Per assicurare la continuità operativa in caso di disastri o gravi interruzioni dei servizi aziendali è necessario:

  • disporre di servizi informatici funzionanti;
  • delle persone che assicurino la erogazione dei prodotti/servizi aziendali vs il mercato e verso le funzioni interne;
  • delle sedi di lavoro in cui le persone operano;
  • delle tecnologie non informatiche necessarie per la erogazione dei servizi (un supermercato, non può operare senza i sistemi di raffreddamento dei prodotti congelati);
  • dei dati aziendali necessari per erogare i servizi che non siano accessibili tramite i servizi informatici aziendali.

La business continuity non è pertanto un sinonimo del disaster recovery ICT ma lo comprende perché ormai le aziende  non possono operare senza il funzionamento dei servizi informatici. E non deve essere garantito solo il funzionamento delle reti di comunicazione e dei server centralizzati, ma anche dei dispositivi dislocati negli uffici (i PC per capirci) o utilizzati in mobilità (ad esempo i tablet sempre più utilizzati dalle reti commerciali per la raccolta degli ordini).

Uno dei problemi dell’attacco del 2001 alle Torri Gemelle fu il fatto che i dati archiviati sui PC non erano stati opportunamente aggiornati sui server centrali delle aziende e quindi il ripristino della operatività di alcune aziende finanziarie  che avevano sede proprio al World Trade Center fu gravemente compromessa.

Abbiamo però trascurato finora alcuni elementi fondamentali che devono essere considerati nei progetti di Business Continuity. Ci riferiamo al salvataggio dei dati informatici (il back up), al tempo di ripristino dei servizi aziendali critici e alle modalità di ripristino degli stessi. Per il back up non occorre dilungarci, è ovvio che i dati del sistema informativo aziendale devono essere sempre duplicati, con copie dislocate all’esterno dei Data center aziendale o presso fornitori. Tale prassi è ormai divenuta uno standard di compliance, richiamato anche dal Regolamento EU 679/2016-GDPR. Al riguardo si sta sempre più diffondendo la prassi di gestire le copie di back tramite servizi cloud adottando opportune tecniche di cifratura.

BIA, RTO e RPO

La  BIA-Business impact analysis è una delle attività fondamentali della business continuity. Nell’ambito della BIA si identificano i processi aziendali critici da considerare nel business continuity plan, l’impatto economico in caso di interruzione dei processi ipotizzando le possibili durate delle interruzione e il rischio drivante dalla assenza o carenza di soluzioni di emergenza.

Il risultato della BIA/Risk condiziona tutti gli sviluppi successivi del progetto e deve essere approvato da vertice aziendale che rappresenta l’azienda verso i suoi stakeholders i quali, per rispondere alla domanda retorica fatta in apertura, a vario titolo sono interessati dalle soluzioni di business continuity che, se non attuate,  potrebbero condizionare la presenza dell’azienda sul mercato in caso di disastri o gravi incidenti.

Il risultato della BIA è fondamentale per definire la strategia di recovery dell’azienda, sia per le componenti tecnologiche/infrastrutturali (repliche sincrone, asincrone, miste), che per quelle organizzative (es. sedi alternative, disponibilità fornitori etc.).

Il criterio di decisione della strategia di business continuity è basato sulla ricerca del bilanciamento dei seguenti elementi:

  • costo globale del piano di continuità
  • copertura dei rischi (rischi residui)
  • velocità di ripartenza
  • completezza dei salvataggi.

Tali elementi sono tra di loro in conflitto e s’influenzano a vicenda. Tutti concorrono a determinare il costo globale del piano di continuità.

Il ripristino dei processi aziendali

Per quanto riguarda il tempo e le modalità di ripristino dei processi aziendali critici anche qui ci vengono in aiuto le norme internazionali, come la ISO 22301, che definisce due concetti base: il tempo obiettivo di rispristino (RTO – Recovery time objective) e le modalità obiettivo di ripristino (RPO – Recovery process objective), che sono strettamente collegate alla frequenza dei back up dei dati. I  valori di RTO e RPO sono definiti nell’ambito della BIA.

Un accenno ad un importante requisito di compliance per il settore bancario italiano relativo alla Business Continuity.  Bankit, nella Circolare 285 del 17 dicembre 2013 «Disposizioni di Vigilanza per le banche», ha definito per i processi critici di servizio alla clientela un valore di RTO fra 2 e 4 ore in relazione alla rilevanza nazionale delle singole banche.

L’esperienza Sernet

Mariangela Fagnani e Giulio Cantù, del team Sernet,hanno realizzato progetti di business continuity per leader di mercato nei settori Telco e dei Servizi alle persone, adottando la Norma ISO 22301 nella realizzazione dei Progetti, uno dei quali certificato da Terze parti.

Parliamo di aziende con migliaia di dipendenti e sedi aziendali distribuite sul territorio nazionale, con soluzioni tecnologiche complesse e ampio ricorso a servizi esterni ICT e di fornitori appartenenti ad altri settori (es. contact center, servizi logistici, etc).

Quali le loro esperienze? I fattori determinanti per favorire il successo di questi progetti sono:

  1. la costituzione di un Team di progetto interdisciplinari, con la presenza attiva e responsabile dei Process Owner aziendali;
  2. lo svolgimento accurato delle valutazioni di impatto (la BIA già citata);
  3. la stesura di business continuity plan con individuazione di ruoli e responsabilità per la segnalazione e gestione della emergenza, fra cui la costituzione di un Comitato di crisi a diretto riporto del Vertice aziendale, la stesura di semplici ed efficaci procedure  per la gestione della emergenza e il successivo ritorno alla normalità.

Ma tutto ciò non basta se non è assicurata una continua formazione delle persone coinvolte nella gestione della emergenza, un chiaro rapporto contrattuale con i fornitori esterni coinvolti nei servizi critici per il business aziendale (che a loro volta devono assicurare la predisposizione dei loro piani di continuità operativa), un costante aggiornamento dei piani di business continuity aziendali per assicurare il loro allineamento alla inevitabile evoluzione dei processi aziendali.

Ma il vero fattore di successo, la cartina di tornasole, è lo svolgimento costante e sistematico di test delle soluzioni di emergenza individuate. Per fare un semplice esempio se un fornitore di Contact center non è in grado di operare è necessario utilizzare un fornitore alternativo con un contratto predefinito e in grado di dare un completo supporto ai clienti che richiedono servizi al Contact Center tramite  tecnologie idonee (es. banche dati che documentano le precedenti chiamate dei clienti).

Nell’ipotesi fatta il Test deve prevedere anche il collaudo della soluzione di emergenza presso il fornitore alternativo. Stesso scenario in caso di utilizzo di una nuova sede di lavoro (altra sede aziendale, oppure ricorso a spazi ufficio reperiti sul mercato, etc). Nella nuova sede le tecnologie devono essere accessibili come nella sede abituale.

Qualche notazione aggiuntiva derivata da esperienze sul campo del team Sernet

Grazie all’esperienza accumulata da Mariangela Fagnani e Giulio Cantù in questi anni, relativamente alle soluzioni di emergenza per indisponibilità degli Uffici aziendali, la evoluzione delle tecnologie di rete e la prassi di smart working, è possibile ipotizzare per i dipendenti aziendali  soluzioni di teleworking. Per quanto riguarda i servizi informatici, è opportuno adottare misure di sicurezza anche nelle situazioni di emergenza (controlli A17 della Norma ISO 27001)  e fare riferimento anche alla Norma ISO 27031 dedicata al disaster recovery.

Per quanto riguarda i progetti di business continuity  è importante definire con il Vertice aziendale gli scenari di crisi  da considerare, quali tipi di incidenti sono inclusi, se solo incidenti disastrosi oppure anche quelli gravi come ad esempio un attacco hacker con denial of service oppure un guasto grave ad impianti critici come il condizionamento dei data center, etc.  In altre parole è necessario decidere se è compresa nel progetto anche la redundancy per garantire gli obiettivi di disponibilità dei servizi informatici a fronte di gravi anomalie, oppure se tale tematica è affrontata con il Responsabile dei Servizi informatici aziendali in un altro ambito progettuale.

Le tendenze di mercato

Per chiudere, facciamo un rapido accenno ai vantaggi della certificazione e allo scenario di mercato, delineato con il supporto di Carlo Guastone, Vice Presidente Business Development e Business Uiti Manager per l’area ICT Secutiry.

La cultura manageriale italiana, fatta eccezione per i settori regolamentati come Banche e Assicurazioni,  e del settore Telco,  non ha finora dato la giusta priorità ai progetti di business continuity. Il Manager italiano nelle aziende medie  affronta con logica pragmatica l’esigenza di dare continuità operativa ai servizi richiesti dal mercato, ma rifugge dalla adozione di metodologie formali: in sintesi progetti di business continuity nelle PMI sono rari e motivati da ragioni contingenti, ad esempio la richiesta formale di clienti internazionali fatta all’azienda fornitrice relativamente alla disponibilità di Piani di emergenza che, a volte, le aziende internazionali sottopongono a audit formali.

Tale scenario è anche confermato dal limitato numero nelle aziende italiane di sistemi di business continuity certificati ISO 22301 (nel 2016 poche decine a fronte di un numero molto superiore, dell’ordine delle centinaia, nei principali paesi europei). Qualche segnale di cambiamento si sta registrando, favorito dalla pressione delle aziende dei settori regolamentati  verso i fornitori, dalla evoluzione del quadro normativo europeo relativo alla Privacy (la disponibilità dei dati personali è uno dei requisiti di GDPR), dalla normativa relativa  alle infrastrutture critiche (es. ospedali, trasporti, telco, etc) che devono adottare soluzioni di business continuity, dalla crescente consapevolezza dei manager italiani più giovani e innovativi,  e, non ultimo, dalla pressione che la PA sta esercitando sui fornitori di servizi informatici, cui è formalmente richiesta la predisposizione di soluzioni di Disaster recovery.

Tale requisito è espressamente richiesto dalla recente normativa relativa ai Servizi Cloud per la PA, in vigore dal gennaio 2019. Quale il futuro delle certificazioni ISO 22301? Alcuni Enti di certificazione sono ottimisti, si registra un’inversione di tendenza,  la certificazione ISO 22301 inizia ad essere considerata una soluzione efficace e anche efficiente, poiché consente di affrontare in modo sistematico e controllato un problema che le aziende già affrontano episodicamente  senza considerare i rischi che la mancata definizione dei piani di business  continuity  può comportare per il loro business.