Introduzione

L’emergenza COVID-19 ha messo in luce le debolezze di molte Aziende italiane che, di fronte ad una crisi di portata globale, si sono trovare del tutto impreparate e sprovviste di procedure da adottare per assicurare la continuità delle attività di Business in situazioni disastrose. Le domande che ogni imprenditore dovrebbe porsi in questo momento sono poche e semplici. La mia Azienda è pronta a gestire una situazione di emergenza? In caso di disastro, saprei reagire in modo ordinato ed efficace, sulla base di una strategia chiaramente definita? Sarei pronto a sopravvivere alla comparsa di un nuovo Cigno Nero?

Il concetto di Business Continuity

La Business Continuity è una disciplina organizzativa che consente all’Azienda di migliorare la propria resilienza e la propria capacità di risposta ad eventuali incidenti che potrebbero causare l’interruzione delle attività di Business.

Obiettivo della Business Continuity è quello di prevenire e reagire agli eventi disastrosi che possono pregiudicare la continuità dei processi di business, o mettere a rischio la sopravvivenza dell’Azienda. Gli eventi disastrosi devono essere gestiti al fine di minimizzarne l’impatto sui processi “Business Critical” e garantirne l’erogazione, limitando eventuali danni economici e reputazionali.

Il concetto di Business Continuity non deve essere confuso con quello di Disaster Recovery, che attiene principalmente alla gestione di eventuali eventi disastrosi in ambito informatico. La continuità delle attività di Business ha dunque un campo di applicazione più ampio e prevede l’identificazione delle soluzioni necessarie per fronteggiare l’eventuale indisponibilità di persone, sedi aziendali, forniture essenziali e sistemi informativi necessari per l’operatività dell’azienda.

L’importanza della Business Continuity

Oltre a migliorare la resilienza aziendale e a garantire l’erogazione dei processi “Business Critical”, un approccio strutturato alla Business Continuity consente di migliorare le performances dell’organizzazione limitando eventuali perdite, soddisfacendo i requisiti imposti da obblighi normativi e contrattuali, tutelando la reputazione e la solidità dell’azienda, ecc.

La Business Continuity è inoltre sinonimo di affidabilità: adottare strategie e soluzioni per garantire la continuità delle attività operative contribuisce a migliorare sostanzialmente l’immagine aziendale verso i propri Clienti.

L’applicazione in Azienda

Quali sono, quindi, i principali “Step” che ciascuna Azienda deve seguire per assicurare la continuità delle proprie attività di Business in situazioni disastrose? E’ di fondamentale importanza definire ed applicare un processo logico per la gestione della continuità dell’organizzazione che prevede:

  • Analisi del contesto: ogni Azienda è calata in un contesto di riferimento, composto da diversi attori (es. Partner, Clienti, Fornitori, Governi, ecc.). Il primo passo fondamentale è individuare i soggetti che nutrono verso l’Azienda delle legittime aspettative di continuità (es. un Cliente che acquista un servizio in Outsourcing). Inoltre, occorre individuare i vincoli normativi e contrattuali a cui l’Azienda è sottoposta, sempre per quanto riguarda la Business Continuity (es. un Cliente che richiede la disponibilità di un servizio sulla base di SLA contrattualizzati, ecc.).
  • Coinvolgimento del personale: la Business Continuity è un gioco di squadra che richiede la partecipazione attiva di tutti i membri dell’organizzazione. Se il Management deve dimostrare la propria Leadership definendo politiche di continuità operativa coerenti con gli obiettivi di Business, allocando le giuste risorse e favorendo lo sviluppo di un clima aziendale che dia centralità a questa tematica. Anche gli utenti devono essere consci del loro ruolo e delle procedure da adottare nel caso in cui l’Azienda si trovi ad affrontare eventi disastrosi.
  • Ambito di applicazione: occorre identificare i processi e i servizi critici per il Business (es. servizi in Outsourcing dei quali l’Azienda non potrebbe fare a meno, processi interni “Core”, servizi forniti verso i Clienti, ecc.) che devono essere analizzati al fine di individuare opportune strategie per garantire la continuità operativa degli stessi. Per ciascuno dei processi e dei servizi selezionati occorre individuare le relative dipendenze (es. l’assistenza tecnica verso Clienti non può essere effettuata se il servizio di Help Desk è indisponibile).
  • Scenari di rischio: quali sono i Cigni Neri da cui l’Azienda intende proteggersi? I principali scenari che potrebbero compromettere la continuità del Business sono facilmente intuibili: indisponibilità della sede (o delle sedi) dell’Azienda, mancanza di personale essenziale, assenza di Fornitori critici, malfunzionamento dei sistemi “ICT”, ecc. Occorre però spingersi oltre, cercando di indirizzare altri possibili scenari di crisi. Ad esempio: cosa succederebbe se, ad un certo punto, le persone non fossero libere di circolare? Come fare se tutte le sedi dell’Azienda non fossero raggiungibili?
  • Analisi d’impatto e definizione di obiettivi di ripristino: definiti gli scenari di rischio, occorre identificare i potenziali impatti sul Business nel caso in questi ultimi si realizzino. Un suggerimento è quello di analizzare ciascun processo critico considerando diverse tipologie d’impatto (es. economico, normativo, reputazionale, ecc.) e stimare i danni con riferimento a “intervalli” di indisponibilità del processo predefiniti (es. da 0 a 2 ore, da 2 a 4 ore, ecc.).

A partire da queste analisi occorre individuare, per ciascun processo critico, i seguenti obiettivi di ripristino:

  • RTO (Recovery Time Objective): entro quanto tempo deve essere ripristinato il processo senza che l’Azienda subisca danni economici, normativi, reputazionali?
    • RPO (Recovery Point Objective):, qual è il livello di aggiornamento  dei dati contenuti all’interno dei sistemi “ICT” e delle applicazioni aziendali necessario per la ripartenza del processo (es. è accettabile ripristinare il processo con i dati aggiornati la sera precedente all’evento disastroso?)
    • MBCO (Minimum Business Continuity Objective): qual è il minimo livello di funzionalità che deve essere garantita al momento del ripristino di un processo?
    • MAO (Maximun Acceptable Outage): quale è limite massimo di tempo superato il quale l’indisponibilità del processo o del servizio potrebbe impedire il raggiungimento degli obiettivi di Business dell’azienda?

Una volta identificati i processi che devono essere ripristinati con priorità in caso di disastro, il passo successivo è la definizione, in via preliminare, delle risorse necessarie per il ripristino (es. persone necessarie per l’erogazione del processo o del servizio in emergenza, locali attrezzati, dispositivi e applicazioni, servizi erogati da Fornitori, ecc.).

Lo svolgimento di un’analisi del rischio mirata consente all’Azienda di individuare eventuali criticità connesse a sedi, risorse, sistemi “ICT” e servizi in Outsourcing al fine di valutare l’adeguatezza delle misure di Business Continuity adottate.

  • Strategie e soluzioni: a partire da risultati delle analisi svolte, l’Azienda deve definire opportune strategie di ripristino dei processi “Business Critical” per ciascuno degli scenari di rischio considerati. In questa fase occorre riflettere attentamente su quali attività devono essere svolte prima, durante e dopo l’interruzione della continuità operativa, al fine di ridurre la durata e gli impatti dell’interruzione. Le strategie di Business Continuity non possono considerarsi complete se non identificano in modo chiaro e puntuale le risorse necessarie per la realizzazione delle stesse, tra cui:
    • Personale e relative competenze;
    • Informazioni e dati personali;
    • Uffici, locali e servizi connessi (es. logistica);
    • infrastrutture ICT e attrezzature di lavoro;
    • Servizi erogati da Partner e Fornitori.
  • Business Continuity Plan: l’Azienda deve formalizzare il proprio Business Continuity Plan (di seguito, “BCP”), il cui obiettivo è fornire al personale le indicazioni necessarie per rispondere ad un eventuale disastro e ripristinare i processi o i servizi critici per il Business in tempi certi, minimizzando gli impatti a carico dell’Azienda. Per essere efficace, un BCP deve definire in modo chiaro e puntuale il ruolo, le responsabilità ed i compiti di ciascuno dei soggetti coinvolti nella gestione di una crisi operativa. Anche in questo caso, alcuni consigli:
    • Considerare ciascuna delle fasi del processo di gestione della crisi (es. inizio dell’emergenza, ripristino dei processi o i servizi “critici”, chiusura dell’emergenza, ripristino della normale operatività, ecc.);
    • Definire una procedura di gestione degli incidenti che consenta la comunicazione tempestiva dello stato di emergenza alle parti interessate, cosi come delle procedure da adottare per la gestione della crisi;
    • Organizzare una struttura di risposta alle crisi di continuità, identificando i Team responsabili per la risposta alle interruzioni del Business, così come i relativi ruoli, responsabilità e relazioni;
    • Definire le azioni che i Team devono intraprendere al fine di ripristinare i servizi critici entro tempi prestabiliti, monitorare l’impatto dell’interruzione e valutare l’efficacia delle risposte dell’organizzazione;
    • Identificare le necessità di comunicazione in relazione a una crisi operativa (es. cosa comunico, quando comunico, come comunico, a chi comunico, ecc.)
  • Formazione e test: avete presente le Leggi di Murphy? Se qualcosa può andar male, quasi sicuramente lo farà. È per questo motivo che le procedure definite dall’Azienda devono essere comunicate ai membri dell’organizzazione (compresi Partner e Fornitori, se necessario) i quali devono essere opportunamente addestrati. Inoltre è fondamentale testare e aggiornare periodicamente i BCP aziendali, al fine di garantire in ogni momento l’adeguatezza e l’efficacia per la gestione di eventuali crisi di Business Continuity.

Conclusioni

La realizzazione di un processo di Business Continuity è complessa a articolata, ma necessaria per garantire la sopravvivenza dell’Azienda in situazioni di emergenza. SERNET S.p.A. grazie alle competenze acquisite in tema di Business Continuity, applicate con successo ad Aziende di diverse dimensioni e settori economici, offre supporto specialistico ai propri Clienti nell’identificazione delle strategie e delle soluzioni più adatta a garantire la continuità delle attività di Business.