CIRCOLARE N. 162 - Framinia S.r.l.

CIRCOLARE N. 162: COSA È LA BUSINESS CONTINUITY E PERCHÉ È IMPORTANTE PER LE AZIENDE

Gentile Cliente,

In qualsiasi attività, che sia nel settore pubblico o nel settore privato, l’interruzione del servizio erogato è sempre problematica. Ma è anche possibile evitare tale negativa eventualità adottando le giuste contromisure.

Nell’era dei processi digitalizzati e dei documenti digitali, l’operatività e il patrimonio di conoscenze delle aziende sono legate a doppio filo con la tecnologia impiegata. A questa riflessione è legato il concetto di Business Continuity. Un termine tradotto nella nostra lingua con Continuità Operativa o Aziendale.

DEFINIZIONE: Processo atto a individuare le potenziali minacce alle quali è esposta una data organizzazione e a definire i processi necessari per assicurare la resilienza della struttura a seguito del verificarsi delle condizioni avverse, per porre al sicuro l’operatività, la capacità produttiva, gli interessi e l’immagine dell’azienda.

Sintetizzando, lo scopo della Business Continuity è fare in modo che, in caso di problemi o incidenti, l’azienda possa continuare a erogare i propri servizi e a svolgere le proprie attività normalmente o, quanto meno, con una riduzione minima e controllata.

Lo scopo di un servizio di gestione della continuità operativa si realizza progettando un sistema che analizzi nel dettaglio il funzionamento dei processi aziendali, individui quelli critici a cui attribuire una priorità rispetto alla continuità dei servizi erogati e pianifichi una serie di misure tecniche e organizzative da attuare per supportare l’operatività di tali processi anche in situazioni straordinarie

Al fine di concretizzare una strategia di Business Continuity, le organizzazioni si avvalgono di diversi strumenti come ad esempio il Business Continuity Plan (BCP), la Business Impact Analysis (BIA) e il Disaster Recovery Plan.

Il Business Continuity Plan (BCP) è un “manuale” delle minacce e delle soluzioni fondamentale per la prevenzione dei rischi e dell’intervento nei casi di concretizzazione degli eventi avversi.

Non è facile individuare cosa debba essere contenuto in un Business Continuity Plan, poiché ogni BCP deve necessariamente essere cucito addosso alla realtà aziendale per cui viene redatto.

Tuttavia, possono essere individuati degli elementi che, di certo, non possono mancare nella redazione di questo importantissimo documento:

Informazione Generali e Team di Lavoro – Informazioni sulla tipologia di business, sugli attori principali che lo compongono e sulle persone che hanno redatto il piano. Chiara indicazione di quali professionalità devono essere, direttamente o indirettamente, coinvolte nelle operazioni di business continuity;
Aree e funzioni critiche – Sarà necessario e imprescindibile individuare ed elencare nella maniera più precisa e dettagliata possibile quali sono le aree e le funzioni vitali per l’azienda, quelle cioè, che devono essere assolutamente protette. Una volta individuate, sarà molto importante stabilire un ordine di priorità delle stesse;
Possibili criticità – Andrà quindi fatta un’approfondita analisi su quali possano essere le criticità alle quali, le aree funzionali individuate possano essere esposte;
Fasi e procedure di recupero – Individuate quali sono le aree e le funzioni vitali, stabilire, quindi, quali sono le attività specifiche da mettere in atto per garantire la continuità operativa in caso di problemi;
Downtime – fondamentale sarà stabilire un accettabile tempo in cui le attività possano fermarsi senza arrecare nessun danno o disservizio permanente all’azienda;

La Business Impact Analysis (BIA) è il processo di valutazione formale e documentato relativo agli impatti dell’interruzione delle attività che supportano la fornitura dei prodotti/servizi dell’Azienda. A seconda del livello di dettaglio e delle finalità alla base dell’analisi dei processi aziendali la BIA può essere, come riportato dalla “Good Practies Guidelines” – Edizione 2018 Business Continuity Institute:

Iniziale;
Di Prodotti e servizi;
Di Processo;
Per Attività.

Per ognuna delle suddette tipologie lo scopo della BIA è quello di valutare gli impatti, nel tempo del mancato svolgimento, dei processi in analisi, determinare in termini temporali le priorità per la ripresa delle attività ai livelli minimi concordati come accettabili dall’Azienda (Downtime accettabile), identificare le dipendenze e le risorse a supporto di tali attività, compresi i fornitori i partner per l’outsourcing e altre parti interessate pertinenti.

Parte integrante di un processo di Business Continuity è anche il Disaster Recovery Plan e cioè le strategia per mettere al sicuro il prezioso patrimonio digitale al quale le organizzazioni sono sempre maggiormente (e non sempre coscientemente) legate. È focalizzato sulle modalità con cui ridondare i dati contenuti nei sistemi informativi per garantire la continuità dei servizi che erogano ripartendo da dove si sono interrotti. Tale piano deve contenere:

Un censimento delle applicazioni aziendali e le relative criticità;
La determina di un tempo massimo in cui l’Azienda può mantenere competitività ed evitare perdite economiche a seguito dell’interruzione del supporto informatico;
Individuazione di fonti di reperimento delle risorse informatiche alternative;

Il Disaster Recovery Plan specifica, quindi, le funzioni da mettere al sicuro e le misure da adottare per raggiungere quest’obiettivo.

La differenza sostanziale tra Business Continuity Plan e Disaster Recovery Plan, è che il Business Continuity Plan rappresenta la strategia più generale, mentre il Disaster Recovery Plan riguarda una parte ben specifica, cioè l’operatività per garantire la continuità di determinate operazioni/attività.

La gestione della Business Continuity è regolata da una serie di norme ISO, stilate a rilasciate dall’International Organization for Standardization (abbreviato, appunto, ISO). Le principali nonché le più importanti a livello internazionale sono queste quattro:

ISO 22301 – Societal security, Business continuity management systems, Requirements (2012). Si tratta di uno standard, riconosciuto a livello internazionale, che indica come pianificare e mettere in atto un efficiente piano di business continuity. Piano che deve prevedere anche sistemi di monitoraggio e mantenimento, così da ridurre al minimo il rischio di interruzione dell’attività o di perdita di dati.
ISO 22313 – Societal security, Business continuity management systems, Guidance (2012). Questo documento contiene le linee guida tecniche e operative per realizzare un business continuity management system che sia perfettamente allineato con le indicazioni riportate in ISO 22301.
ISO 22317 – Societal security, Business continuity management systems, Guidelines for business impact analysis (2015). Si tratta di una specifica di tipo tecnico contenente informazioni e indicazioni molto approfondite e dettagliate per eseguire una Business Impact Analysis (BIA), ovvero una “predizione” delle possibili conseguenze derivanti dell’interruzione di uno dei processi di business.
ISO 22318 – Societal security, Business continuity management systems, Guidelines for supply chain continuity (2015). Questo standard contiene indicazioni specifiche per garantire la continuità operativa anche in una supply chain (o “catena di valore”).

In conclusione, è interessante riflettere sulle definizioni di Business Continuity contenute in una delle norme ISO appena citate. Queste due definizioni riescono a sintetizzare, in poche righe, l’importanza, per qualsiasi organizzazione aziendale, del concetto stesso di Business Continuity.

Il valore di un sistema di Business Continuity (BC) risiede in primo luogo nella sua capacità di aumentare la resilienza aziendale, cioè la “capacità di un’Organizzazione di adattarsi in un contesto complesso e mutevole” [Cit.: ISO 22301].
La gestione della Business Continuity “consiste nella pianificazione, attuazione, gestione, monitoraggio e miglioramento di un sistema documentato che gestisca la protezione, la riduzione della probabilità di accadimento, la preparazione, la risposta e il ripristino di eventi destabilizzanti quando essi si manifestano” [Cit.: ISO 22301].

Il Team Framinia è a Vs disposizione per qualsiasi informazione e approfondimento in merito a quanto discusso.

Roma, 03/06/2020

FRAMINIA SRL

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.