E’ il primo obiettivo di una qualsiasi organizzazione: permanere, continuare ad esistere.
Circa due mesi fa un evento catastrofico ha messo fuori uso una parte vitale di un importante scalo aeroportuale internazionale di una capitale di un grande paese europeo. Stiamo parlando dell’aeroporto di Fiumicino e dell’incendio del 7 Maggio 2015. Ad oggi l’aeroporto non ha ancora avuto ripristinata la propria totale efficienza, neppure quella parziale efficienza esplicata precedentemente all’evento. Enormi danni all’economia dell’aeroporto stesso ed all’indotto, con tutto quello che ne consegue relativamente all’immagine e al prestigio nel periodo di grandi movimenti turistici.
Le catastrofi descrivono cambiamenti e passaggi di stato bruschi tra situazioni di stabilità strutturale. La catastrofe è un cambiamento repentino dello stato di un sistema che non tende a tornare alle condizioni iniziali. Le catastrofi sono delle discontinuità nel comportamento di un sistema, che possono nascere in corrispondenza di piccole variazioni continue di parametri come la temperatura, la pressione. La teoria delle catastrofi non è una teoria scientifica. La sua importanza risiede nel progetto di geometrizzare quelle scienze che hanno resistito a lungo ad un’analisi matematica: la biologia e le scienze umane, vale a dire le scienze “inesatte”. Non è cioè una teoria scientifica come lo sono, per esempio, la teoria della gravitazione di Newton, la teoria dell’elettromagnetismo di Maxwell o anche la teoria dell’evoluzione di Darwin. Si tratta di una metodologia che permette di organizzare i dati dell’esperienza nelle condizioni più varie.
Un fenomeno caotico come un cumulo di nuvole è imprevedibile, ma si forma secondo regole ricorrenti, per cui non possiamo prevedere come sarà esattamente, ma possiamo prevedere che se c’è una corrente ascensionale avrà una certa forma, piatta in basso e tondeggiante in alto. Non possiamo prevedere che cosa farà il signor Rossi alla fine della partita, ma sappiamo che la folla che gremiva lo stadio si riverserà nei parcheggi e dopo un po’ intaserà il traffico. Non possiamo prevedere se in Dicembre a Roma nevicherà, ma possiamo essere sicuri che non farà caldo. Quindi non possiamo prevedere micro comportamenti, ma possiamo prevedere macro comportamenti.
Esistono comunque gli strumenti per la Gestione della Continuità Operativa.
I temi della continuità operativa e della capacità di risposta a situazioni di emergenza devono essere affrontati in modo globale coinvolgendo tutte le componenti dell’organizzazione aziendale.
La Gestione della Continuità Operativa prevede anche la predisposizione di un piano di emergenza in grado di assicurare, all’occorrenza, la continuità delle operazioni vitali per l’azienda ed il ritorno in tempi ragionevoli all’operatività normale.
La continuità del business (Business Continuity) è l’insieme di tutte le iniziative volte a ridurre ad un livello ritenuto accettabile i danni conseguenti ad incidenti e catastrofi che colpiscono direttamente o indirettamente un’azienda. La continuità così intesa non può prescindere dalla disponibilità dei fattori critici per il funzionamento dei diversi processi aziendali. Nel funzionamento di una qualsiasi organizzazione aziendale sono critiche, in funzione della tipologia di processo:
• le risorse umane, con le loro competenze specifiche
• le tecnologie dell’informazione e delle telecomunicazioni
• le infrastrutture fisiche
• le aree di lavoro
L’individuazione dei processi critici e delle soluzioni atte a mitigare i rischi deve essere effettuata sulla base di un’analisi costi/benefici tenendo conto delle necessità di contenimento dei costi che ci si trova a fronteggiare. L’analisi deve prendere in considerazione, come scenari di crisi, l’indisponibilità parziale o totale delle principali risorse di un processo: strutture e siti logistici, personale essenziale, sistemi informatici e database, servizi essenziali forniti da terze parti, come ad esempio, l’energia elettrica e le telecomunicazioni.
La Sicurezza e la Business Continuity
costituiscono una questione di competenza dell’Alta Direzione in quanto richiedono di saper conciliare l’efficacia delle misure di mitigazione dei rischi con l’ottimizzazione delle risorse utilizzate. Business Continuity Plan significa redigere un piano con la finalità di permettere all’organizzazione di continuare le operazioni necessarie al mantenimento o all’accrescimento del proprio business in qualsiasi condizione critica. Un progetto di questo genere comprende una ristrutturazione ed ampliamento di tutte le procedure interne, una valutazione dei sistemi aziendali (applicazioni, infrastrutture tecnologiche, assetto organizzativo) e un fase di adeguamento e formazione del personale.
Business Continuity Plan (BCP)
è il termine utilizzato per indicare le attività finalizzate a garantire il proseguo del business dell’azienda a fronte di eventi classificati, ovvero l’insieme delle attività volte a garantire la continuità dei processi aziendali che concorrono al “core business” dell’azienda. Vengono quindi coperti anche quegli aspetti non prettamente informatici, quali, per esempio risorse umane, interfacciamento verso i fornitori, aspetti comunicativi in caso di crisi.
Questo piano consente di predisporre quanto necessario per:
1. Reagire per assicurare il ripristino dei processi critici
2. Guidare le scelte in caso di crisi
3. Definire procedure alternative per assicurare l’operatività
4. Ridurre il tempo di interruzione dei processi aziendali critici
5. Assicurare che le procedure di ripristino siano efficaci
Tale documento deve possedere una portata operativa immediata. In sostanza, un Business Continuity Plan efficace si basa sull’accettare come fatto che esiste sempre un elemento di rischio: il punto è localizzarlo, valutarlo, stimarne gli effetti e decidere se e come assumersi il rischio. Tutto ciò che è necessario per la continuità operativa, sia i processi essenziali, sia quelli di supporto, devono essere analizzati e presi in considerazione nella definizione di un piano di continuità. Considerando che lo scenario competitivo che influenza la consistenza del business muta continuamente per effetto di fattori esogeni (reazione a cambiamenti del mercato) ed endogeni (riassetto organizzativo) il piano di continuità può essere paragonato ad una istantanea dell’azienda e pertanto valido fino a quando i suoi elementi portanti non mutano. Da quanto detto si deduce che sicuramente la definizione di un piano di continuità parte da una esigenza di affidabilità dei sistemi intesa non solo come risposta a problemi IT ma soprattutto come Disponibilità dei sistemi a supporto dei Processi di Business. I confini tematici e metodologici del “Business Continuity Plan” hanno subito negli ultimi anni un significativo mutamento, muovendosi da un’interpretazione rivolta essenzialmente al Disaster Recovery, focalizzato univocamente su information technology and system recovery, a tutti gli aspetti del business spaziando, quindi, dai metodi di alta affidabilità dei sistemi, fino alle gestione delle risorse umane: si è maturata nel tempo la coscienza di essere di fronte ad un processo di gestione che deve essere costantemente revisionato, aggiornato e testato al fine di creare massima aderenza alle esigenze di business. Il Disaster Recovey è dunque una disciplina le cui tematiche sono un sottoinsieme di quelle del Business Continuity Plan.
Il tema della continuità operativa (l’espressione “continuità operativa” può essere considerata come la trasposizione italiana delle espressioni disaster recovery e business continuity) riguarda l’insieme dei metodi e degli strumenti finalizzati ad assicurare la continuità dei servizi istituzionali anche in presenza di eventi indesiderati che possono causare il fermo prolungato dei sistemi informatici. Si osserva che le soluzioni per garantire la continuità dei servizi non considerano soltanto le componenti tecnologiche utilizzate ma anche tutte le altre risorse (personale, impianti, ecc.). La continuità operativa considera i mezzi tecnici impiegati nei procedimenti amministrativi come strumenti per l’erogazione dei servizi ed estende la sua sfera di interesse alle tematiche più generali di natura organizzativa.
Per Disaster Recovery
si intende l’insieme di misure tecnologiche e processi organizzativi atti a ripristinare sistemi, dati e infrastrutture necessarie all’erogazione di servizi di business a fronte di gravi emergenze. La continuità operativa è l’insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un’organizzazione o parte di essa, garantendo la continuità delle attività in generale. La sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità di un’organizzazione, ed è pertanto assimilabile all’espressione “business continuity”. La continuità operativa può quindi essere intesa come “l’insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l’obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso”. Essa è essenzialmente il risultato di un processo organizzativo che si avvale, ovviamente, di tecnologie informatiche, che non sono diverse da quelle normalmente utilizzate. Tra i sistemi da adottare rivestono particolare importanza i mezzi hardware e software per le repliche remote dei dati e le reti di comunicazione (quando previste) tra i siti principale e di backup. Il successo nella progettazione ed implementazione di un Business Continuity Plan efficace è dipendente da un insieme di fattori tra loro collegati:
+ Tempo
+ Aggiornamento continuo delle soluzioni
+ Valutazione continua del rapporto fra costo/complessità della soluzione e valore/priorità business e normativa del processo protetto
+Costi complessivi
+Ampiezza dell’impatto fra le funzioni coinvolte (in numero e in impegno di risorse)
Una soluzione di Business Continuity è inutile se non è aggiornata ed è sufficiente una variazione ad una qualunque componente del processo alla base per introdurre un elemento di debolezza che può essere determinante. La velocità dei cambiamenti nelle organizzazioni moderne, unitamente all’evoluzione dei mercati, della clientela e della tecnologia è tale che starne al passo costituisce il maggior elemento di criticità dell’intero progetto. La gradualità nella soluzione, sia in termini di numero di processi considerati che di profondità e dettaglio dell’analisi, è l’unico modo con il quale ridurre la complessità ad una dimensione gestibile ed efficace mantenendo un controllo dei costi. L’aumento tout-court del numero di risorse dedicate (sia interne, che esterne) e del budget economico ha un andamento inferiore rispetto al volume di soluzioni prodotte, in quanto la fruibilità delle soluzioni (condizione necessaria per essere effettivamente tale) rischierebbe di scontrarsi con una struttura non pronta a recepirle e ad attuarle in caso di necessità.
Gli obiettivi portanti di un Business Continuity Plan sono:
*Ripristinare una situazione di normalità, entro un tempo prestabilito, in funzione dei livelli attesi di servizio e di rendere minime le perdite procurate dall’interruzione delle attività.
*Garantire continuità dei principali processi per assicurare l’erogazione dei servizi critici.
La metodologia si basa sul concetto che un piano di Continuità Operativa è efficiente se si focalizza sui principi di:
– Massimizzazione della reattività ad una possibile condizione di emergenza.
– Minimizzazione del danno economico e di immagine
– Minimizzazione del “time to recover” per i processi più critici.
– Comunicazione efficace tra tutte le persone dell’azienda coinvolte nel BCP.
– Procedure che consentono di raggiungere in emergenza il 75% del livello di servizio sulle aree più critiche.
