Continuità operativa in 5 mosse
Al giorno d’oggi, assicurare la continuità operativa è fondamentale per ogni azienda che voglia tutelare il proprio business, perché gli imprevisti possono accadere in qualsiasi momento.
Le aziende di oggi sono strutture complesse e, affinché possano prosperare, tutte le loro componenti devono funzionare alla perfezione. Ma cosa succede quando qualcosa va storto? Basta un incidente banale, come un’interruzione alla connessione in fibra ottica, o un dipendente che apre una e-mail contenente un ransomware per ritrovarsi l’azienda bloccata per ore o giorni.
Business Continuity Plan per la continuità operativa
Aver stipulato delle assicurazioni certamente aiuta ma la cosa migliore è aver previsto in anticipo i possibili problemi e aver pianificato le attività necessarie per ridurre al minimo la “disruption”, tornando nel più breve tempo possibile ai normali livelli di operatività.
Queste attività prendono il nome di Business Continuity Plan (BCP), e sono metaforicamente la “polizza di assicurazione” più importante per un’azienda. Ma come si costruisce un BCP? Come si gestisce il relativo Business Continuity Management System (BCMS)? O in altre parole, come possiamo assicurarci di garantire la continuità operativa della nostra azienda?
Continuità operativa, cosa dice la legge?
Prima ancora di cominciare, è utile andare sul sito dell’ISO e scaricare i documenti riguardanti la norma UNI EN ISO 22301:2019, aggiornata alla fine dello scorso anno, relativa alla continuità operativa. Come si legge sul sito dell’ISO, “La norma specifica i requisiti per attuare, mantenere e migliorare un sistema di gestione per proteggere l’organizzazione, ridurre la probabilità che si verifichino, prepararsi, rispondere e riprendersi dalle interruzioni quando si verificano, cioè un efficace sistema di gestione per la continuità operativa BCMS (Business Continuity Management System).”.
Già da questa spiegazione molto sintetica e un po’ criptica si capisce che creare un Business Continuity Management System (BCMS) può apparire difficilissimo perché le cose di cui tenere conto sono tante e tutte importanti.
Il segreto è procedere con metodo e organizzazione, magari facendosi assistere da specialisti che possono portare la loro esperienza. Insomma, un grosso problema può essere scomposto in tanti problemi più piccoli, più facili da attaccare e risolvere.
Continuità operativa in 5 mosse
Vediamo come si può organizzare il lavoro di preparazione in 5 fasi distinte.
1. Valutare i rischi:
Per prima cosa bisogna valutare i rischi per la continuità operativa che l’azienda corre e i costi/danni associati a ciascun rischio, concentrandosi sugli eventi che possono impedire all’azienda di servire i suoi clienti. Siete in zona sismica? Lo stabilimento è in riva al fiume? C’è una sola linea di connessione digitale in fibra ottica? Sono tutte condizioni che possono mettere a rischio il vostro business. Individuati i rischi, vanno stimati i danni potenziali (economici, di immagine, ecc.).
2. Identificare le soluzioni di continuità operativa:
Il secondo passo è valutare le possibili contromisure ai vari eventi avversi. L’idea è di immaginare modi alternativi di mantenere la continuità operativa operativi: per esempio, se si guasta un macchinario chiave su una linea di produzione, è possibile supplire al blocco aumentando la produzione su altre linee o stabilimenti? Se un attacco DDOS paralizza la connettività, possiamo spostare le nostre applicazioni su server facenti capo ad altri indirizzi IP non interessati dal blocco?
3. Lista di soggetti da contattare:
Terza cosa importante è creare un elenco di persone che è necessario contattare in caso di disastro: dipendenti, responsabili, manutentori, soccorritori, fornitori di tecnologie. Questo aspetto cruciale è spesso trascurato nei piani “fai da te” che descrivono le operazioni senza indicare chi le deve portare a termine. Nel marasma di un down time del sistema informativo aziendale, avvenuto il sabato notte in seguito ad un attacco malware, avere sottomano il cellulare del Chief Security Officer del vostro fornitore dei servizi di Cyber Security e dei vostri operatori IT sarà molto più utile che avere un manuale ben stampato con la procedura di ripristino dei server in 40 passi.
Un suggerimento: anche chi compila con attenzione la lista dei contatti spesso dimentica una figura fondamentale, ovvero la persona che avrà l’incarico di avvertire tempestivamente i clienti che c’è stato un problema, che l’avete individuato e contenuto, che sarete nuovamente operativi in un certo numero di ore/giorni e di spiegare cosa state facendo per ridurre al minimo i disagi della clientela.
4. Identificare le priorità per la continuità operativa:
La quarta cosa importante da fare è capire quali sono i prodotti o servizi sui quali l’azienda fa i maggiori guadagni. Essi dovranno essere in cima alle priorità per la ripartenza del business, le prime cose che dovranno tornare disponibili ai clienti. Ricordiamoci che gli incidenti hanno un costo e quindi l’azienda deve essere messa al più presto nelle condizioni di guadagnare per recuperare le spese impreviste.
5. Mettere alla prova il Business Continuity Management System
E per finire, la quinta cosa da fare è mettere alla prova il piano di continuità operativa. Per cominciare, bisogna diffondere il piano a tutti i dipendenti per raccogliere pareri e suggerimenti, assicurandosi di non aver dimenticato nulla di importante. E successivamente, fare simulazioni ed esercitazioni, proprio come si fa per vedere in quanto tempo gli impiegati riuscirebbero ad uscire dall’edificio in fiamme. Testare, provare, mettere in pratica ciò che si è teorizzato nel BCMS è fondamentale per non avere brutte sorprese nel momento della crisi. Ricordatevi quello che diceva Peter “Yogi” Berra: “La differenza tra teoria e pratica è che in teoria non dovrebbe esserci nessuna differenza, ma in pratica c’è”.