Business Continuity Plan: i 3 motivi per averlo
A cosa serve un Business Continuity Plan? In sostanza, questo documento descrive le azioni che l’azienda deve implementare in caso di eventi avversi. Tuttavia, quando si va a parlare con un’azienda della necessità di averne uno, capita che ci rispondano “Ma il nostro reparto IT ha già un piano di Disaster Recovery”.
Business continuity e Disaster recovery
Quindi, prima di entrare nei dettagli, è opportuno chiarire un fondamento: i piani di Business Continuity e di Disaster Recovery sono due cose diverse.
Più precisamente, il piano di Disaster Recovery è una parte, un sottoinsieme del più generale piano di Business Continuity. Questo perché il Disaster Recovery Plan (DRP) si occupa di definire le azioni da compiere per far tornare in linea il sistema informativo aziendale in caso di compromissione, per esempio per un guasto, un attacco hacker o un incendio. Il Business Continuity Plan (BCP) è qualcosa di molto più ampio: contiene le regole, le azioni, le best practice che consentono a un’azienda di continuare e soprattutto di riprendere a operare in caso di eventi avversi di qualsiasi tipo.
Come si presenta un Business Continuity Plan
Nella sua forma più semplice, assolutamente basica, il Business Continuity Plan potrebbe assumere la forma di una checklist di azioni prioritarie che specifiche persone devono intraprendere per ridurre i rischi di blocco dell’azienda, mitigare il danno nel caso accada un evento avverso e far ripartire le operazioni nel più breve tempo possibile. Insomma, il mantra della Business Continuity si potrebbe riassumere in: evitare i problemi, mitigare il danno, ripartire al più presto.
Ma attenzione, un BCP per essere realmente efficace deve essere qualcosa di più di una semplice lista di cose da far eseguire in ordine. Il Business Continuity Plan deve essere visto più come un processo in divenire e sempre attivo nel ricordarci le buone pratiche da mettere in atto per prevenire i problemi – un concetto simile a quello che i CIO applicano ai processi di sicurezza informatica ben progettati.
L’efficacia di un piano di Business Continuity
La reale efficacia di un Business Continuity Plan dipende naturalmente dal numero e dall’ampiezza degli scenari previsti e dalla precisione e dal tempismo con cui il piano viene eseguito dal personale dell’azienda. Un piano ben congegnato dovrebbe prevedere, per esempio, le azioni da compiere in caso di disastri naturali (dallo straripamento di un fiume ai terremoti), incidenti alla struttura (incendi, attentati), blocchi dei servizi tecnologici essenziali (black-out, guasti), problemi alla catena di approvvigionamento, blocchi o attacchi hacker al sistema informativo, e in generale qualsiasi tipo di evento che potrebbe portare al blocco di un servizio essenziale trasformandosi prima o poi in blocco totale dell’azienda.
Perché avere un Business Continuity Plan?
Ora che abbiamo chiarito meglio cosa sia un piano di Business Continuity, possiamo pensare a tanti validi motivi per prepararne uno per la nostra azienda. Ne citiamo qui tre, ma ce ne sono molti altri.
1. Il BCP rende l’azienda più forte
Dotarsi di un piano di Business Continuity rende l’azienda più forte, più resiliente e ne riduce i punti di debolezza. In una parola, la rende più adatta ad affrontare il mercato. Questo perché tipicamente la preparazione di un BCP inizia da una fase di studio che prevede una valutazione dei rischi (o un’analisi dei fattori che impattano sul business). Questo lavoro di studio sonda in profondità la struttura aziendale, sia dal punto di vista delle facility sia delle risorse umane, e permette di mettere in luce i punti deboli, le procedure a rischio, gli impianti critici, insomma tutta una serie di fattori che potrebbero produrre problemi potenzialmente in grado di bloccare l’attività. Solo una volta effettuata l’analisi si potrà cominciare a definire il Business Continuity Plan, che avrà come primo obiettivo quello di ridurre i fattori critici appena individuati, per poi mettere sotto controllo i punti deboli ineliminabili e, infine, stabilire le procedure per risolvere nel modo migliore i problemi che dovessero presentarsi.
2. Il Business Continuity Plan fa risparmiare
Il costo di implementazione e di mantenimento di un buon piano di Business Continuity è davvero minimo rispetto ai danni, economici e di immagine, che l’azienda può subire nel caso si venga colpiti da un incidente di cui non si riescano a controllare le conseguenze, per la mancanza di un apposito piano d’azione.
Possiamo vedere il Business Continuity Plan come una sorta di assicurazione, che ci mette al sicuro da eventuali danni, ma in realtà è molto di più. Perché un’assicurazione agisce a disastro avvenuto, coprendo i danni diretti (capannone incendiato, macchinari distrutti, mancata produzione di sei mesi); ma nessuna assicurazione può coprire danni indiretti come quello all’immagine del marchio, o quello dovuto alla perdita della clientela che, nel nostro periodo di inattività, sarà passata alla concorrenza.
3. Backup e Business Continuity
Una volta ci si accontentava di avere un backup dei propri dati, in qualunque forma. Ma avere una copia chiusa in qualche armadio non è sufficiente per garantire la Business Continuity. Siete sicuri che il backup sia in un posto sicuro? In caso di disastro la copia di sicurezza sarà ancora disponibile? E se lo sarà, quanto tempo impiegherò per effettuare il restore? E che età hanno i dati che ricarico? O se preferite, quanti dati dovranno essere reinseriti a mano prima di riprendere le normali operazioni, perché l’ultimo backup valido era magari di una settimana o peggio un mese prima? Un Business Continuity Plan deve considerare questo tipo di problematiche, stabilendo per esempio modalità di backup più attuali, non limitate ai dati ma estese a tutta l’infrastruttura per esempio con l’uso di server virtuali, di sistemi multicloud in grado di assorbire facilmente i carichi di lavoro di eventuali server on premise danneggiati da un disastro naturale; e di storage diversificati che prevedano magari sia backup fuori linea sia snapshot che “congelino” i dati a un determinato momento, senza rendere inaccessibili i sistemi per lunghe procedure di copia e restore. E tutto questo sempre all’interno di una logica applicata anche alle altre infrastrutture aziendali. Perché è inutile avere il data center perfettamente operativo se lo stabilimento è sotto due metri d’acqua.