Blog

Business continuity management: cos'è e perché è importante

7 dicembre 2020

 

Elaborare un approccio efficace alla gestione dei rischi operativi in azienda vuol dire dare vita a un piano di Business Continuity Management. L'espressione può essere tradotta in italiano come “gestione della continuità operativa” e presuppone la predisposizione di un processo gestionale a 360 gradi. Una serie di strumenti e prassi che, puntando alla resilienza dell'organizzazione, individuano le potenziali minacce per l'integrità dell'ecosistema in cui è inserita l'azienda e mappano il possibile impatto sulle attività di business che quelle minacce possono avere manifestandosi attraverso le vulnerabilità non risolte.

 

Cos'è il Business Continuity Management

 

Ma nello specifico, cos'è il Business Continuity Management? Semplificando, si tratta di una metodologia di gestione organizzativa che, nel momento in cui viene implementata coerentemente con le linee guida della norma ISO 22301, consente alle imprese di continuare a fare affidamento sui propri processi, sui propri servizi, sui propri strumenti e sulle proprie risorse umane anche quando si verificano incidenti inaspettati o eventi catastrofici.

In particolare, passando da un approccio reattivo a una postura preventiva, basata sull'analisi dei rischi e sulla simulazione del loro possibile impatto sui processi business, la gestione della continuità operativa implica non solo la diminuzione della probabilità di accadimento di un evento negativo, ma anche la riduzione della forza dei suoi effetti e l’accorciamento dei tempi di ripresa dopo un'eventuale crisi. Generalmente, sono tre le fasi che contraddistinguono una corretta implementazione del Business Continuity Management: la Business impact analysis, la costruzione del Business Continuity Plan vero e proprio e infine lo sviluppo di sessioni di training e awareness per coinvolgere la popolazione aziendale.

 

A cosa serve il Business Continuity Plan

Attraverso un Business Continuity Plan ben strutturato, le organizzazioni sono quindi in grado di identificare le minacce potenziali e costruire contromisure per mitigare il loro impatto sulle operazioni quotidiane.
Un Business Continuity Plan efficace è dunque essenziale per garantire ai propri clienti e agli altri player della filiera un'operatività in linea con gli standard minimi di qualità anche in caso di disastro, aiutandole a preservare la loro reputazione e a mantenere i ricavi.

Questo perché la gestione della continuità operativa consente alle imprese di aggiornare, controllare e distribuire piani coerenti, orientati alla resilienza che tengano conto delle specifiche contingenze e delle effettive capacità organizzative, nonché delle reali esigenze aziendali.

Attraverso un Business Continuity Plan, la continuità operativa può essere personalizzata per aiutare le organizzazioni a prepararsi a qualsiasi tipo di disservizio, tra cui quelli generati da:

 

  • eventi naturali, come terremoti e uragani;
  • disastri causati dall'uomo, come interruzioni stradali e ferroviarie;
  • guasti tecnologici, come file danneggiati o down delle reti ICT;
  • errori umani, come esposizioni o perdite di dati;
  • danni alle infrastrutture, fisiche o logiche;
  • sabotaggi, come il furto di file o il danneggiamento di apparecchiature;
  • attacchi informatici, come il ransomware.

 

La differenza tra Business Continuity Management e Disaster Recovery

Bisogna fin da subito eliminare un qui pro quo che spesso si pone quando si parla di gestione della business continuity: l'approccio non è assolutamente equivalente al concett di Disaster Recovery, che rappresenta solo uno dei componenti – di natura tattica, tra l'altro – di una materia che è fondamentalmente strategica ed estremamente articolata. Fare leva sul Business Continuity Management vuol dire infatti sviluppare la capacità di leggere i processi critici e analizzarne l'impatto in caso di difformità, ma anche prevedere specifici framework per la gestione della crisi e predisporre strumenti a supporto della continuità operativa. Si rivela poi essenziale la cultura del continuous improvement: proprio perché le condizioni esterne cambiano continuamente (e l'emergenza coronavirus ne è purtroppo un esempio molto eloquente), i rischi correlati alle operations devono essere costantemente monitorati e aggiornati, e così i processi stessi, attraverso azioni periodiche di revisione e verifica delle procedure e degli asset.

Per portare sul piano pratico la differenza teorica tra i due concetti, possiamo per esempio pensare al modo in cui un'organizzazione affronta un attacco di tipo DDOS (Distributed Denial of Service). Se l'azienda dispone di strumenti e piani di Disaster Recovery, sarà in grado di riconoscere immediatamente le anomalie dovute a un evento imprevedibile e ripristinare rapidamente il funzionamento della macchina operativa (che si tratti di servizi erogati ai collaboratori e ai clienti o di processi di trasformazione industriale) limitando al minimo i danni derivati dal fermo o dalla perdita di dati grazie a sistemi di backup opportunamente predisposti. Un'impresa che abbia invece costruito nel tempo un corretto approccio al Business Continuity Management, invece, riuscirà, facendo leva su dati storici e serie statistiche opportunamente elaborati, a prevedere con buona probabilità il verificarsi di una minaccia potenziale. Come? Cogliendone con il giusto anticipo i segnali, evidenziati attraverso appositi sistemi di notifica e verificando in tempo reale l'effettivo stato di salute delle piattaforme prese di mira dagli attaccanti. In questo modo non occorre nemmeno arrivare alla fase di Disaster Recovery: con il Business Continuity Management i danni derivanti da un rischio vengono evitati e non solo mitigati.

 

Perché conviene puntare sul Business Continuity Management

In Italia la disciplina è obbligatoria nel settore pubblico, in quello economico-finanziario e in quello delle infrastrutture critiche. Ma approfondirla e soprattutto metterla in pratica rappresenta un'interessante occasione di crescita per qualsiasi impresa, a prescindere dal verticale in cui opera. Non si tratta infatti solo di mitigare gli effetti dei rischi identificati – che comunque comporta un sensibile vantaggio competitivo nel momento in cui si verificano scenari come quello che stiamo vivendo – ma anche di ottimizzare i processi, gli asset e le risorse, ottenendo importanti benefici sul piano dell'efficienza e dell'efficacia delle attività di business anche in regime di ordinaria amministrazione.

 

Le fasi di una corretta gestione della continuità operativa

La progettazione di un piano di Business Continuity Management prevede una serie di passaggi che possono essere riassunti in cinque fasi principali. Cinque macro-aree di intervento che sono tutto fuorché compartimenti stagni: ogni attività è in realtà strettamente collegata con le altre, e la continua revisione del modo in cui si relazionano lungo la catena del valore consente di massimizzare i risultati ottenibili attraverso una corretta gestione della continuità operativa. Le fasi che contraddistinguono il Business Continuity Management sono:

  1. L'analisi dei processi chiave.
  2. L'identificazione degli scenari di rischio.
  3. L'elaborazione di strategie di ripristino.
  4. Lo sviluppo di un piano coerente di continuità operativa.
  5. L'attività di test e audit dell'intera procedura.

 


A queste cinque fasi si può aggiungere una funzione specifica, seppur trasversale a tutti i passaggi: quella che riguarda la gestione della crisi sotto il profilo della comunicazione. Nell'era dei social e dell'informazione che si propaga in rete – spesso in modo incontrollato – a tempi di record è infatti strategico valutare anche l'impatto di un momento di difficoltà sul piano reputazionale e dell'immagine di marca.

New call-to-action

Topic: Business Continuity