Business Continuity e Management

Le minacce che possono interrompere l’operatività dell’azienda nascono internamente o esternamente alla stessa e possono essere di entità molto diversa: interruzione di corrente o di connettività, improvvise assenze di persone chiave, eventi naturali, attacchi cyber, cambiamenti normativi, perdita di clienti, rotture tecniche di rilievo, incendi, pandemie, ecc.

Considerare o non considerare questi rischi e volere investire in modo preventivo su strategie e misure per contrastare gli effetti conseguenti attiene alla propensione al rischio di ogni imprenditore / manager ma non essere consapevoli evidenzia un’importante mancanza dal punto della vista della visione imprenditoriale / manageriale.

Qualche mese fa questo tema poteva apparire “lontano”, legato ad ipotesi specifiche quali la rottura di un server, di un macchinario o all’interruzione della connettività aziendale: tutte situazioni molto chiare e circoscritte. La recente esperienza del Covid-19 ha meglio definito l’ampiezza di questo tema e creato nei più la piena consapevolezza.

Oggi l’attenzione torna in modo prepotente ad un tema non sempre considerato con la dovuta attenzione, in particolare dalle aziende medio piccole: il Business Continuity Management – BCM – un processo strategico-gestionale che mette insieme politiche e piani strettamente correlati da attuare nei momenti in cui si verifica la crisi.

È la Governance dell’azienda che strategicamente decide di sviluppare la propria resilienza attraverso politiche di:

  • Business Continuity
  • Disaster Recovery
  • Emergency Management
  • Crisis Management

A questi punti che costituiscono il “Framework Operativo” per la gestione del BCM si aggiunge un elemento ulteriore che richiede una specifica attenzione, la Cyber Security.

Dal punto di vista metodologico l’applicazione efficace del Business Continuity Management richiede di lavorare in un ciclo continuo: un approccio disciplinato che si occupa delle persone, dei processi della finanza e della tecnologia considerando passo passo le possibili evoluzioni (ottimizzazioni) così come le “way-out” in caso di crisi.

Il punto di partenza è la Business Impact Analysis attività con la quale vengono identificate le minacce e le conseguenze che hanno sul business aziendale; costituiscono una minaccia anche le difficoltà di terze parti quali i fornitori di materiali e i fornitori di servizi, non solo nel caso di un ritardo di una fornitura o di un’interruzione temporanea ma anche nei casi più estremi di chiusura dell’azienda: esiste/è stata individuata nel mercato un’azienda che può sostituire il prodotto/servizio necessario? quali sono i tempi di attivazione? Molte sono le domande che richiedono una risposta. Questo fa capire che i fornitori di prodotti / servizi possono costituire delle criticità ma anche degli alleati strategici: possono offrire nuove e ulteriori capacità anche con un livello di specializzazione elevato superiore agli standard aziendali o possono interamente sostituire parte dei processi dell’azienda. In molti modelli di business l’esternalizzazione si è ampliata per garantire estrema flessibilità oltre che stabilità o soluzione a minacce.

Come anticipato il BCM richiede l’implementazione di politiche che portino a sviluppare la resilienza dell’azienda: vengono predisposti dei piani – business continuity planning  – per operare con lucidità e determinazione nel momento di crisi: si tratta di aver già valutato gli scenari ed identificato le possibili soluzioni. Questo vuol dire aver riconsiderato tanto gli aspetti finanziari, gli spazi operativi, i processi logistici, i processi produttivi, quanto le comunicazioni telefoniche, le connessioni di rete sicure e ogni altra risorsa (interna/esterna, a monte/a valle).

La politica di Disaster Recovery si occupa dei tempi e modi in cui ripristinare sistemi, processi, tecnologie, applicazioni, dati e infrastrutture necessarie all’erogazione di servizi “core business”. Non è un’attività una tantum ma è un processo continuo che richiede aggiornamenti in funzione dell’evoluzione che segue l’azienda.

L’Emergency Management si occupa delle persone prevedendo procedure di emergenza per la sicurezza di dipendenti e collaboratori. Parte dalla preparazione del personale formato su comportamenti e responsabilità da avere chiari nel momento del disastro per garantire la sicurezza delle persone. Si occupa delle fasi di primo intervento e segue la fase di ripristino dell’attività.

La politica di Crisis Management concerne la gestione della comunicazione interna ed esterna. La comunicazione verso i principali stakeholder (dipendenti, collaboratori, clienti, azionisti, comunità di riferimento, ecc.) deve essere pronta a supportare / gestire le situazioni emotive e di stress (anche personale) agendo in modo proattivo, anticipando e tranquillizzando – quando possibile – in riferimento a timori e paure (es. forniture, continuità di servizio, coperture economiche, sicurezza, ripresa delle attività, ecc.).

La cyber security merita un’attenzione a parte anche se le realtà più attente l’hanno inserita nell’intero processo di Business Continuity Management già da diversi anni. Questa tipologia di minaccia in relazione alla continuità del business ha gli stessi effetti deleteri di terremoti e uragani ed una maggiore probabilità di accadimento. Tra le misure preventive opportune oltre all’acquisto di tecnologie (es. antivirus, firewall, intrusion detection system, analizzatori del traffico di rete, vpn, ecc.) e la definizione di specifiche politiche (es. costruzione e gestione delle password, modalità di accesso dall’esterno, limitazioni per gli utenti mobile, ecc.) viene dato un peso rilevante alla formazione di tutto il personale ed in particolare del top management. Recenti provvedimenti normativi quali il GDPR hanno contribuito all’accelerazione del fenomeno di integrazione tra business continuity e cyber security visto che articoli specifici obbligano le organizzazioni (almeno per le informazioni concernenti la privacy) a comunicare entro 72 ore alle autorità competenti dal momento in cui si viene a conoscenza del data breach così come al ripristino tempestivo dei dati.

Dal punto di vista delle normative di riferimento numerose sono le ISO che si occupano sia della cyeber security che di ogni aspetto del BCM dalla Business Impact Analysis alla Crisis Management e al rapporto con i fornitori; per approfondire si veda direttamente la pagina di ricerca ISO utilizzando le keyword business continuity management e cyber security.

La piena consapevolezza di chi guida l’azienda è necessaria per favorire la diffusione di una cultura di resilienza nell’intera organizzazione; consente di valutare gli scenari ed allocare le opportune risorse per la progettazione e implementazione di contromisure; permette di traghettare l’azienda oltre la crisi con piena cognizione nell’attuazione dei piani di disaster recovery ed in particolare nelle politiche di comunicazione dei piani di crisis management.

Come spesso accade la cultura di un’organizzazione parte dall’alto e la preparazione del top management è il punto di forza.

Michele Reali

Ingegnere dell’informazione, Innovation manager certificato RINA
Partner di Strategia&Controllo Srl