CONTINUITÀ OPERATIVA COS’È
Continuità Operativa o Business Continuity è una capacità aziendale. Un’ organizzazione dimostra di avere questa capacità ogni volta che riesce a continuare a fornire prodotti e servizi entro livelli predefiniti accettabili dopo che si sono verificati incidenti distruttivi.
Si potrebbe definire la business continuity anche come un processo continuo atto a garantire che siano prese le misure necessarie per identificare la severità delle possibili perdite e a mantenere strategie per la ripresa dell’operatività e la continuità dei servizi.
Si comprende, da queste definizioni, la finalità della Business Continuity, ovvero di far sì che un’organizzazione sia in grado di poter continuare a produrre e servire i clienti nonostante abbia subito un evento negativo che ne ha compromesso in maniera più o meno grave la sua capacità di continuare gli affari e le attività al livello abituale.
Da queste definizioni si evidenziano due aspetti importanti della business continuity. Il primo riguarda l’ambito di interessamento della continuità operativa, che chiaramente va oltre il settore informatico, interessa l’intera funzionalità di un’organizzazione. Il secondo aspetto interessante si desume dalla definizione della ISO 22301 (standard internazionale sulla business continuity), che non parla di continuare le attività come se nulla fosse avvenuto, ma di continuare a un livello predefinito ritenuto accettabile.
Pertanto, sebbene il Disaster Recovery e la Business Continuity siano strettamente correlati, in realtà non sono la stessa cosa. La differenza chiave sta nel loro campo di applicazione. Il Disaster Recovery è un processo imprescindibile per preservare la performance aziendale nel caso di eventi che compromettano l’infrastruttura tecnologica a seguito di un’interruzione. La continuità aziendale è il processo per riportare l’intera azienda alla piena funzionalità dopo una crisi.
Possiamo considerare il Disaster Recovery come una componente principale della Business Continuity, visto che l’IT è al centro di quasi tutte le operazioni aziendali e quindi è centrale nella Business Continuity Management.
L’immagine che segue è tra le più note e diffuse che pone il Disaster Recovery, insieme ad altri approcci, metodi e strumenmti, in relazione alla Business Continuity.
L’altro aspetto importante, come precedentemente accennato, riguarda il passo successivo alla gestione dell’incidente, riprendere gli affari e riportare le l’attività a un livello accettabile e in tempi ragionevoli.
Per raggiungere questo obiettivo l’azienda deve valutare e stimare, tra le tante cose, i valori da assegnare ai cosiddetti “livello accettabile” e “tempi ragionevoli” citati dallo standard ISO 22301.
Il primo valore dipende dalla dimensione dell’incidente e dai costi da sostenere per far sì che l’operatività prosegua. Occorre stimare le risorse da impiegare per le misure preventive da adottare e per la ripresa dell’attività in emergenza, e compararle rispetto ai benefici derivanti dal proseguimento delle attività. Riguardo i “tempi ragionevoli” di ripartenza, questi sono stimati sulla base della perdita economica che si verificherebbe al prolungarsi del periodo di disservizio. Più dura il disservizio, maggiori sono gli effetti e quindi i costi subiti.
La Business Impact Analysis e il Business Continuity Plan
La compilazione di questo piano deve essere preceduta da una Business Impact Analysis, che identifica gli impatti operativi e finanziari derivanti dall’interruzione delle funzioni e dei processi aziendali. Il momento in cui una funzione o un processo aziendale viene interrotto può avere un impatto significativo o trascurabile in relazione al tempo e alla durata dell’interruzione, per esempio un’interruzione di corrente che dura alcuni minuti sarebbe un piccolo inconveniente per la maggior parte delle aziende, ma una durata per ore potrebbe comportare perdite significative.
Così come l’impedimento all’accesso di un sito produttivo per pochi minuti potrebbe essere tollerato dall’azienda, ma una durata di ore potrebbe comportare perdite importanti, e cosi via.
Il rapporto di Business Impact Analysis serve dunque a documentare i potenziali impatti derivanti dall’interruzione delle funzioni e dei processi aziendali. Gli scenari che comportano una significativa interruzione dell’attività vengono valutati in termini di impatto finanziario e i costi confrontati con i costi di possibili strategie di recupero, stabilendo in questo modo una lista di priorità.
Il Sistema di Gestione della Continuità Operativa – Business Continuity Management System
Una risposta efficace alle differenti minacce necessita di un approccio pianificato, sistematico e pervasivo.
Il raggiungimento della continuità operativa aziendale si realizza attraverso la progettazione, l’implementazione, il controllo e il miglioramento continuo di un adeguato programma, supportato dal management e definito nel rispetto delle direttive nazionali e in accordo con i principali standard internazionali.
Per raggiungere questi obiettivi occorre che l’impresa integri nel proprio sistema di gestione globale un sistema di gestione per la continuità aziendale, un Business Continuity Management System o BCMS.
Un sistema composto da un insieme di elementi correlati quali: persone,
politiche, piani, procedure, processi, strutture e risorse da utilizzare per stabilire, implementare, gestire, monitorare, rivedere, mantenere e migliorare le proprie capacità di continuità aziendale.
Una azienda deve dunque servirsi di questi elementi per garantire che le operazioni continuino e che i prodotti e servizi siano erogati a livelli predefiniti e le attività di creazione di valore siano protette e la reputazione e gli interessi degli stakeholder siano salvaguardati ogni volta che si verificano incidenti.
Business Continuity e ISO
La gestione della business continuity è regolata da una serie di norme ISO, redatte e rilasciate dall’International organization for Standardization (ISO).
Le principali sono:
UNI EN ISO 22301:2019 – Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti
La ISO 22301 è stato il primo standard realmente accettato a livello internazionale sulla continuità aziendale e stabilisce i requisiti per un efficiente Sistema di Gestione per la Business Continuity (Continuità Operativa).
Si tratta di una metodologia certificabile costituita da un insieme di prassi volte al mantenimento della Continuità Operativa sotto avverse condizioni, minimizzando l’impatto di potenziali incidenti su clienti, stakeholder e sull’intero sistema aziendale.
UNI EN ISO 22313:2015 – Sicurezza della società – Sistemi di gestione per la continuità operativa – Linee guida.
Questa norma contiene le linee guida tecniche e operative per realizzare un business continuity management system perfettamente allineato con le indicazioni riportate in ISO 22301
UNI ISO/TS 22317:2019 – Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Linee guida per l’analisi di impatto operativo (Business Impact Analysis – BIA)
Si tratta di una specifica di tipo tecnico contenente informazioni e indicazioni molto approfondite e dettagliate per eseguire una business impact analysis (BIA), ovvero una previsione delle possibili conseguenze derivanti dell’interruzione di uno dei processi di business.
UNI ISO/TS 22318:2019 – Sicurezza della società – Sistemi di gestione per la continuità operativa – Linee guida per la continuità della catena di fornitura.
La specifica tecnica che fornisce le linee guida sui metodi per la comprensione e l’estensione dei principi di BCM contenuti nella ISO 22301 e nella ISO 22313 alla gestione dei rapporti con i fornitori.
Le succitate norme sono indirizzate a tutte le organizzazioni, private e pubbliche, indipendentemente dalla dimensione, settore e tipologia al fine di fornire delle regole precise per gestire un sistema della continuità operativa (business continuity).
La Continuità Operativa come pratica di innovazione.
In linea con le definizioni e considerazioni presenti nella letteratura del settore, consideriamo l’approccio alla business continuity una pratica di innovazione organizzativa. Il processo di Business Continuity Management è un processo complementare all’innovazione organizzativa e ne assicura il successo. Infatti questo vede l’introduzione di nuovi elementi (modelli, procedure, tecnologia, ecc.) nelle operazioni dirette alla realizzazione di un servizio (la continuità), allo scopo di creare o migliorare capacità, flessibilità, soddisfazione nei clienti, rapidità di analisi dei costi per razionalizzare i processi operativi e produttivi.
Nello specifico potremmo sostenere che il concetto di innovazione di processo acquisisce in tal caso un peso ancor più rilevante se la si analizza in associazione al cambiamento organizzativo che viene reso necessario dall’ introduzione della Business Continuity Management in azienda.
Dunque la gestione della continuità operativa è una chiara innovazione di processo organizzativo, poiché prevede nuovi modi di organizzare le attività produttive/operative, che riguardano il coordinamento del personale e nuovi modelli di organizzazione del lavoro, come ad esempio lo smart working in presenza di particolari eventi.
La visione futura della Continuità Operativa.
La Business Continuity come processo non è nuova. I primi approcci, anche se inerenti solo all’ambito informatico, risalgono agli anni 70-80 per poi ricevere una particolare attenzione con gli attentati dell’11 settembre 2001 e con gli eventi naturali ed epidemici verificatosi inizio secolo.
Anche se l’attenzione a questo argomento è aumentato a seguito di eventi naturali (terremoti, inondazioni, black-out) è ancora una pratica poco recepita dal management in quanto considerata una perdita di tempo.
Eppure i vari avvenimenti hanno dimostrato che nessuna organizzazione è immune da incidenti, questi possono verificarsi sia nel settore manifatturiero che terziario, nelle società che operano nei servizi IT, nelle public utility, nella finanza, nella sanità, in generale in tutti i settori produttivi e avere un diretto impatto su tutti i processi aziendali.
Per questo sia auspica che per il futuro prossimo le aziende inizino a considerare la Business Continuity come misura di salvaguardia della sicurezza aziendale, o meglio di tutte le risorse che costituiscono quella che è la vita aziendale, e studiare un’adeguata politica e un idoneo sistema di gestione per rispondere a situazioni avverse e garantire la continuità operativa del proprio business.
Riferimenti bibliografici:
– ISO 22301 2012;
– Standard NFPC 1600;
– AGID Agenzia per l’Italia digitale.