Il Business Continuity Plan di un’Azienda
Il Business Continuity Plan, o piano di continuità operativa, in lingua italiana, è il piano di sicurezza alternativo che un’azienda deve possedere per poter continuare la propria operatività in caso di eventi catastrofici dovuti alla natura oppure di eventi provocati dall’uomo che possono minare l’integrità dell’azienda; si tratta insomma di eventi inaspettati di origine esterna che bisogna affrontare in maniera preventiva realizzando un piano di continuità operativa.
Il Business Continuity Plan, di seguito BCP, è il piano di sussistenza generale completato successivamente dal Disaster Recovery di ogni singola unità operativa all’interno dell’azienda, tra le quali assume un’importanza rilevante l’Information Technology.
Il BCP deve essere preceduto da un’attenta valutazione del rischio sulla base di una matrice del rischio costruita su misura in base alle caratteristiche della singola azienda, facendo riferimento alla determinazione quantitativa e qualitativa del rischio associato ad una situazione ben definita in fase preliminare, confrontata con una minaccia potenziale conosciuta come pericolo.
Deve essere messo a punto “a tavolino” quando l’evento non si è ancora verificato ed è possibile pensare, pianificare e costruire un piano efficiente avendo tutto il tempo per meditare sulle procedure e le azioni da mettere in campo per permettere all’azienda di assorbire l’evento, riprendere e ripristinare un livello di attività a seguito di una interruzione.
In pratica è necessario proseguire con il ciclo di vita dell’azienda prevedendo le conseguenze dirette ed indirette impostando processi operativi di supporto e di continuità.
Se la gestione del rischio è stata fatta in maniera onesta e ragionata, come avviene per le principali certificazioni volontarie ISO, è possibile definire la migliore strategia di difesa del patrimonio e dell’immagine aziendale, ed ottimizzare l’efficienza operativa di recupero.
Tra i principali rischi da considerare a tale proposito possiamo citare:
- incendio;
- eventi atmosferici e catastrofe ambientale;
- rischi sociali e vandalici;
- perdita di profitto;
- rischi dovuti a stime espositive.
L’efficacia del sistema della valutazione del rischio alla base di un BCP non può essere copiato da altre aziende, ogni azienda deve partire dalla conoscenza e consapevolezza delle proprie specificità ed esigenze operative, sulla base delle quali è possibile procedere alla realizzazione di azioni per la mitigazione del rischio e per la migliore ripresa delle operazioni di business.
In buona sostanza si tratta di un approccio programmatico integrato BCP e Disaster Recovery, che fissato l’obiettivo di continuità del business, si rivolge ad una coerente strategia prevenzionale capace di arrivare all’obiettivo di continuità seppur nelle condizioni di emergenza proprie delle situazioni di rischio considerate.
I tipi di piani, ovviamente, devono essere influenzati dalla natura, dalle dimensioni e dalla complessità dell’azienda, tenendo conto delle funzioni e dei processi principali. Chiaro che il piano sarà completamente diverso se disegnato per una grande multinazionale piuttosto che per una piccola azienda.
Progettazione, implementazione e convalida sono le fasi imprescindibili per questo genere di processo. Non solo, ma una buona preparazione non può non prevedere delle prove che testino l’efficacia del sistema BCP in condizioni critiche simulate. Queste prove devono essere registrate ed esaminate per verificare l’eventuale rischio residuo non preso in considerazione, cioè il rischio che rimane dopo l’adozione di tutte le misure di sicurezza previste.
A livello strategico è necessario garantire la corretta gestione degli eventi critici, a livello tattico è necessario coordinare le attività e gli sforzi delle funzioni aziendali per garantire la continuità operativa ed a livello operativo definire i passi fondamentali che devono essere messi in atto per pianificare le emergenze, preservare la crescita, il valore e la reputazione aziendale in qualsiasi condizione, dimostrare la diligenza e la sostenibilità in ogni azione, migliorare, se possibile, minimizzando i tempi di interruzione dei processi.
La pianificazione delle emergenze passa anche dalla formazione degli addetti e dei gestori del BCP.
Per la gestione delle emergenze la priorità dei compiti e dei comportamenti da mettere in atto è indispensabile in modo che ognuno possa contribuire in maniera efficace e rapida iniziando dal Responsabile del BCP, il Datore di Lavoro o AD, che “a cascata” deve passare le informazioni al Continuity Manager, che si deve coordinare con il Coordinatore dell’emergenza (figura generalmente ricoperta dal Responsabile IT) che devono attivare il piano di emergenza per arrivare ai vari incaricati che avranno il compito successivamente di attivare il Recovery plan.
In questi momenti, un valido back up dei dati pianificato dal reparto IT e l’affidabilità fornita dal piano è condizione imprescindibile per evitare l’uscita dal mercato ed il fallimento dell’azienda.
La priorità di sopravvivenza dell’azienda deve privilegiare i sistemi IT, in modo tale da consentire il proseguimento dell’attività anche in un luogo qualunque seppur differente dalla sede stessa.