Business continuity plan: cos’è e perché averne uno

Business continuity plan: cos’è e perché averne uno. Per le organizzazioni è oggi più che mai determinante garantire la continuità dei servizi, sia per quanto riguarda i processi interni, che per quanto concerne l’erogazione nei confronti dei clienti finali. A tal proposito, la disciplina della business continuity è diventata via via più complessa nel corso degli anni.

Se negli anni Settanta era sufficiente che una linea di produzione funzionasse a dovere, con la trasformazione digitale occorre considerare tantissimi fattori non direttamente riconducibili alle operations, a cominciare dalle normative vigenti in merito alla conservazione e al trattamento dei dati, le cui violazioni possono rendere vano qualsiasi sforzo a livello puramente funzionale.

La business continuity è pertanto diventata una disciplina molto approfondita, che si concretizza nei sistemi di gestione (BCMS – business continuity management system), indispensabili per garantire la continuità operativa soprattutto nel caso in cui si verificassero incidenti a livello IT o altre situazioni impreviste, come i disastri naturali, le pandemie, le crisi globali delle supply chain e i sabotaggi su ampia scala.

L’elemento centrale del business continuity management system è costituito dal Business Continuity Plan, un documento al tempo stesso strategico e operativo indispensabile per offrire le linee guida necessaria a chi si trova in una situazione critica per garantire la continuità operativa delle organizzazioni.

Cos’è un Business Continuity Plan (BCP)

Il business continuity plan (BCP) è un documento che definisce come un’organizzazione deve agire per garantire la continuità operativa nel contesto di un incidente o di una interruzione non pianificata di uno o più servizi potenzialmente critici per la resilienza aziendale. Come vedremo, rispetto al classico piano di disaster recovery, il business continuity plan si pone ad un livello più elevato, comprendendo anche istruzioni utili per affrontare le emergenze per i processi, le risorse umane, gli stakeholder della supply chain e qualsiasi altro elemento potrebbe essere colpito in maniera critica.

A livello operativo, un business continuity plan contiene delle checklist molto pratiche in merito alle macchine, al backup dei dati e all’ubicazione degli storage utilizzati, indicando le procedure da eseguire nel caso in cui dovesse verificarsi una situazione di emergenza.

Nel contesto attuale, la resilienza aziendale è un valore garantito da molteplici fattori, peraltro in continua evoluzione. Rispetto a qualche anno fa, quando questo aspetto era più marginale, attualmente qualsiasi BCP efficiente considera anche gli scenari di incidente tipici della sicurezza informatica, uno dei fattori più critici per la continuità operativa dei sistemi, dato il costante incremento dell’attività cybercriminale, sia a livello quantitativo sia per quanto riguarda la capacità di colpire una varietà di industrie sempre più ampia.

Differenze tra BCP e disaster recovery plan

Il piano di continuità di business (BCP) e il piano di disaster recovery (DRP) costituiscono due dei componenti fondamentali del business continuity management system. In particolare, il DRP include le strategie operative per gestire le interruzioni che possono verificarsi a livello IT su server, reti, PC e dispositivi mobile. Il piano mira a fornire tutti gli elementi necessari per ripristinare la produttività a livello hardware e software in modo da soddisfare tutte le esigenze di business previste, assicurando in ogni caso la continuità anche durante le situazioni di emergenza.

Per capire come pianificare correttamente la gestione della continuità di business possiamo tracciare la seguente sintesi, relativa ai tre componenti fondamentali di un BCMS.

BIA (business impact analysis)

La valutazione degli impatti sul business consiste nella mappatura dei processi aziendali per definirne le rispettive criticità. Uno degli elementi più rilevanti della BIA è costituito dalla tempistica di ripristino da rispettare (RTO), oltre che dall’indispensabile mappa delle risorse necessarie a garantire che ciascun processo funzioni almeno al livello minimo richiesto.

BCP (business continuity plan)

Il piano di continuità di business, per offrire una definizione differente rispetto a quella fornita in apertura, è costituito dall’insieme di procedure formalizzate che guidano le organizzazioni nel rispondere all’incidente, recuperare e ripristinare i processi critici ad un livello di funzionalità accettabile, anche se non ottimale, e soprattutto di farlo entro il tempo di ripristino stabilito (RTO).

DRP (disaster recovery plan)

Il piano di disaster recovery, come il termine stesso suggerisce, si occupa di stabilire le misure necessarie per il recupero dei sistemi informatici in caso di incidente, documentando nel dettaglio le procedure da eseguire per garantire il corretto ripristino di tutte le funzionalità previste. Nelle casistiche di disastro sono contemplate sia quelle causate da una calamità naturale o da un incendio, che quelle causate da minacce di natura informatica, come l’attività cybercriminale.

Caratteristiche del business continuity plan

Il BCP deve integrare in maniera efficace tutti i componenti fondamentali della business continuity. Secondo quanto previsto da IBM sarebbe opportuno considerare:

• Organizzazione: oggetti relativi alla struttura, alle competenze, alle comunicazioni e alle responsabilità dei dipendenti
• Strategia: oggetti relativi alle strategie implementate nei processi di business per completare le attività quotidiane assicurando la continuità operativa
• Dati e applicazioni: oggetti legati al software necessario per abilitare le operazioni di business, oltre alle procedure di high-availability utilizzate per implementare il software stesso
• Processi: oggetti legati al processo di business critico necessario per il funzionamento aziendale, a partire dai processi IT impiegati per assicurare il corretto funzionamento dei sistemi
• Tecnologia: oggetti legati ai sistemi, alla rete e alla tecnologia necessari ad assicurare le operations e i backup continui dei dati e delle applicazioni
• Strutture: oggetti che sono legati alla creazione di un sito di disaster recovery, qualora il sito primario dovesse risultare compromesso.

Perché è importante dotarsi di un business continuity plan

Per comprendere il reale valore di un business continuity plan efficace nel garantire la continuità di business dell’organizzazione è sufficiente pensare agli impatti negativi in termini di costi derivanti da downtime imprevisti e altre condizioni che impediscono di erogare correttamente i servizi previsti.

Quando si affronta tale argomento, ci si ritrova spesso al cospetto di uno studio realizzato da IDC, in merito ai costi relativi ai downtime imprevisti, calibrati per una company inserita nei Fortune 1000. Secondo IDC infatti:

•  Il costo medio di un downtime imprevisto varia da 1,5 milione a 2,5 milioni di dollari all’anno
•  Il costo medio orario di un’infrastruttura ammonta a circa 100mila dollari all’ora
•  Il costo medio orario legato all’interruzione di un’applicazione critica varia da 500mila dollari a un milione di dollari.

Per quanto riguarda le PMI i costi stimati da IDC si collocano su una scala inferiore rispetto al livello Fortune 1000, ma comportano danni che possono arrivare anche a diverse migliaia di euro al minuto, secondo parametri molto eterogenei, che dipendono sia dalla tipologia che dalla dimensione del business.

I fattori che incidono nella quantificazione dei costi legati alle interruzioni di servizio del business sono vari e comprendono ad esempio:

• Mancati ricavi
• Risorse inutilizzate
• Stress sul reparto IT
• Insoddisfazione e calo di produttività dei dipendenti
• Insoddisfazione dei clienti e rischio di incremento del churn rate (tasso di abbandono)
• Danno reputazionale per il brand
• Sanzioni e conseguenze legali per violazioni di normative e accordi vigenti

Come definire il proprio BCP

Quando si tratta di definire un business continuity plan è opportuno considerare almeno tre obiettivi fondamentali.

• High availability: occorre prevedere le risorse, i sistemi e le procedure necessarie per garantire l’accesso alle applicazioni anche in presenza di guasti e malfunzionamenti a livello locale, a prescindere che interessino i processi, le location o l’infrastruttura IT (hardware e software).
• Continuità delle operations: occorre prevedere che i sistemi critici per la salvaguardia della funzionalità delle operazioni rimangano attivi anche nel caso di un’interruzione, come nel caso dei backup e dei programmi di manutenzione.
• Recupero dati in emergenza: occorre considerare delle procedure utili a recuperare i dati presso un differente data center, qualora quello primariamente previsto fosse reso inutilizzabile da incidenti o calamità.

Fatta questa doverosa premessa, occorre prevedere le vere e proprie fasi di realizzazione del business continuity plan, a cominciare dalla definizione degli obiettivi, focalizzando e cercando di misurare puntualmente i risultati, per verificare costantemente la rispondenza di quanto previsto dal BCP rispetto alle esigenze di business.

Una volta identificati gli obiettivi, occorre individuare gli stakeholder del piano. Le organizzazioni dovrebbero sempre nominare un business continuity manager, o un ufficio destinato a tale funzione, con almeno un referente per ogni linea di business.

Il business continuity manager deve in primo luogo identificare le necessità e le aree fondamentali per il business, che, in caso di fermo prolungato, rischiano di causare i danni più rilevanti all’azienda. Tale attività non può prescindere dalla valutazione dei rischi finanziari e operativi che possono verificarsi nei casi di emergenza e dei relativi impatti sul business, con l’obiettivo di individuare con accuratezze le conseguenze di ogni avversità.

Una volta definito il quadro analitico e le conseguenti valutazioni si hanno tutti gli elementi necessari per procedere con la redazione del business continuity plan, in cui vengono indicate le strategie per la gestione del rischio e la loro gestione durante il periodo dell’emergenza, con l’obiettivo di garantire il totale ripristino della continuità di business.

Dopo tutto questo si passa alla creazione del piano operativo, il Business Continuity Plan vero e proprio, in cui vengono indicate strategie di prevenzione del rischio e la sua gestione, il superamento dell’emergenza fino al ripristino della continuità del business.

Il piano va continuamente revisionato ed aggiornato, in modo da mantenere coerenti e pertinenti le misure individuate a fronte delle variazioni di business che intervengono in un determinato periodo. Genericamente l’aggiornamento del BCP è previsto su base annuale.

Per realizzare un BCP efficace è possibile avvalersi di vari framework, anche se non esiste un BCP valido per tutte le situazioni ed occorre diffidare delle soluzioni troppo pronte all’uso. Ogni azienda dispone infatti di caratteristiche ed esigenze anche molto specifiche che richiedono competenze o consulenze qualificate e dotate di una comprovabile esperienza sul campo.

In sintesi, il ciclo di vita di un business continuity plan contiene almeno le seguenti fasi:

1. Raccolta e analisi delle informazioni, oltre alla definizione della BIA (analisi impatti business) e del RA (valutazione dei rischi).
2. Pianificazione e sviluppo del piano
3. Implementazione del piano
4. Test del piano
5. Revisione e aggiornamento del piano.