In qualsiasi attività, che sia nel settore pubblico o nel settore privato, l’interruzione del servizio erogato è sempre problematica. Ma è anche possibile evitare tale negativa eventualità. Adottando le giuste contromisure.
Nell’era dei processi digitalizzati e dei documenti digitali, l’operatività e il patrimonio di conoscenze delle aziende sono legate a doppio filo con la tecnologia impiegata. A questa riflessione è legato il concetto di business continuity. Un termine tradotto nella nostra lingua con continuità operativa o aziendale.
Temi:
- Definizione
- Business continuity plan
- Business continuity e disaster recovery
- Business continuity management
- Business continuity e ISO
- Il servizio di Bucap
Definizione
Di seguito, una definizione di business continuity che può aiutare a comprendere la portata e l’importanza, per aziende di ogni dimensione, dell’adozione di sistemi di business continuity management.
Processo atto a individuare le potenziali minacce alle quali è esposta una data organizzazione e a definire i processi necessari per assicurare la resilienza della struttura a seguito del verificarsi delle condizioni avverse, per porre al sicuro l’operatività, la capacità produttiva, gli interessi e l’immagine dell’azienda.
Sintetizzando, lo scopo della business continuity è fare in modo che, in caso di problemi o incidenti, l’azienda/ente possa continuare a erogare i propri servizi e a svolgere le proprie attività normalmente o, quanto meno, con una riduzione minima e controllata.
Business continuity plan
Al fine di concretizzare una strategia di continuità operativa, le organizzazioni stilano il business continuity plan: un “manuale” delle minacce e delle soluzioni, fondamentale per la prevenzione dei rischi e dell’intervento nei casi di concretizzazione degli eventi avversi.
Piano di business continuity: un esempio
Cosa deve essere incluso in un piano di business continuity? Non è possibile dare una sola risposta perché un buon plan è stilato in base alle specifiche esigenze di ogni cliente. Alcuni elementi, comunque, sono comuni e possono fornire delle importanti linee guida per dotarsi di tale (imprescindibile) strumento.
| Informazioni generali | Informazioni sul soggetto (azienda o ente) che utilizza il piano e quali sono le persone che lo hanno stilato. |
| Aree e funzioni critiche | Individuare ed elencare, nella maniera più precisa e dettagliata possibile, quali sono le aree e le funzioni vitali per l’azienda o l’ente, quelle che devono essere assolutamente protette. Una volta individuate, è bene che sia stabilito un ordine di priorità. |
| Possibili criticità | Analisi, in base alle specifiche caratteristiche dell’ente o dell’azienda, delle possibili criticità che potrebbero verificarsi nelle aree e nelle funzioni precedentemente individuate. |
| Fasi e procedure di recupero | Individuate quali sono le aree e le funzioni vitali, stabilire quali sono le attività specifiche da mettere in atto per garantire la continuità operativa in caso di problemi. |
| Downtime | Stabilire un accettabile tempo in cui le attività possono fermarsi senza arrecare nessun danno o disservizio. |
| Team di lavoro | Chiara indicazione di quali professionalità devono essere, direttamente o indirettamente, coinvolte nelle operazioni di business continuity. |
Business continuity e disaster recovery
Parte integrante di un business continuity plan è il disaster recovery: fondamentale strategia per mettere al sicuro il prezioso patrimonio digitale al quale le organizzazioni sono sempre maggiormente (e non sempre coscientemente) legate.
Il disaster recovery specifica le funzioni da mettere al sicuro e le misure da adottare per raggiungere quest’obiettivo.
La differenza tra business continuity e disaster recovery, in sostanza, è che la business continuity rappresenta la strategia più generale, mentre il disaster recovery riguarda una parte ben specifica, cioè l’operatività per garantire la continuità di determinate operazioni/attività.
Business continuity management
Il business continuity management è un processo gestionale la cui funzione è identificare le possibili minacce per un’organizzazione, valutare quali potrebbero essere le conseguenze e individuare le contromisure più adeguate per annullare o ridurre al minimo tali conseguenze negative.
Le Good practice guidelines del Business continuity institute, probabilmente il massimo riferimento in tema di business continuity, prevedono che l’ottimale gestione della continuità operativa dovrebbe prevedere sei fasi:
| 1. Policy and Programme Management | La politica aziendale in materia di business continuity e come essa dovrebbe essere implementata. |
| 2. Embedding Business Continuity | Inserire le attività di business continuity come pratiche normali e integrate nella vita dell’azienda/ente. |
| 3. Analysis | Identificare gli obiettivi dell’ente/azienda, come funziona e quali sono i possibili vincoli derivanti dall’ambiente in cui si opera. |
| 4. Design | Identificare e selezionare le soluzioni che permettono di garantire la continuità operativa al verificarsi di un dato disaster. |
| 5. Implementation | Implementazione delle soluzioni individuate in fase di Design, specificando gli step e le competenze/risorse/responsabilità. |
| 6. Validation | La verifica che la politica di business continuity funzioni effettivamente o, se così non fosse, le eventuali migliorie da apportare. |
Business Continuity e PA
La business continuity assume un significato ancor più pregnante quando la sicurezza della continuità operativa e la tutela del patrimonio di dati riguarda una pubblica amministrazione. In quest’ambito, con la trasformazione digitale della pubblica amministrazione, il piano di continuità operativa ICT delle PA è divenuto un’esigenza. A questo proposito si può fare riferimento alla seguente normativa:
- 50 bis CAD;
- Circolare DigitPA 1 dicembre 2011 n° 58.
Business continuity e ISO
La gestione della business continuity è regolata da una serie di norme ISO, stilate a rilasciate dall’International organization for standardization (abbreviato, appunto, ISO). Le principali nonché le più importanti a livello internazionale sono queste quattro:
- ISO 22301 – Societal security, Business continuity management systems, Requirements (2012). Si tratta di uno standard, riconosciuto a livello internazionale, che indica come pianificare e mettere in atto un efficiente piano di business continuity. Piano che deve prevedere anche sistemi di monitoraggio e mantenimento, così da ridurre al minimo il rischio di interruzione dell’attività o di perdita di dati.
- ISO 22313 – Societal security, Business continuity management systems, Guidance (2012). Questo documento contiene le linee guida tecniche e operative per realizzare un business continuity management system che sia perfettamente allineato con le indicazioni riportate in ISO 22301.
- ISO 22317 – Societal security, Business continuity management systems, Guidelines for business impact analysis (2015). Si tratta di una specifica di tipo tecnico contenente informazioni e indicazioni molto approfondite e dettagliate per eseguire una business impact analysis (BIA), ovvero una “predizione” delle possibili conseguenze derivanti dell’interruzione di uno dei processi di business.
- ISO 22318 – Societal security, Business continuity management systems, Guidelines for supply chain continuity (2015). Questo standard contiene indicazioni specifiche per garantire la continuità operativa anche in una supply chain (o “catena di valore”).
Il servizio di Bucap
Bucap, grazie a una lunga esperienza nel settore della gestione dei dati e dei processi informatici, offre un servizio di consulenza e fornitura di strumenti e competenze per implementare strategie di disaster recovery e di business continuity. Strategie che assicurano la massima efficienza, la massima sicurezza e la più completa aderenza alle norme degli standard ISO di riferimento.
