Business continuity management: cos’è e perché è importante
Elaborare un approccio efficace alla gestione dei rischi operativi in azienda vuol dire dare vita a un piano di Business continuity management. L’espressione può essere tradotta in italiano come “gestione della continuità operativa” e presuppone la predisposizione di un processo gestionale a 360 gradi. Una serie di strumenti e prassi che, puntando alla resilienza dell’organizzazione, individuano le potenziali minacce per l’integrità dell’ecosistema in cui è inserita l’azienda e mappano il possibile impatto sulle attività di business che quelle minacce possono avere manifestandosi attraverso le vulnerabilità non risolte.
Semplificando, quindi, il Business continuity management è una metodologia di gestione organizzativa che, se implementata coerentemente con le linee guida della norma ISO 22301, consente alle imprese di continuare a fare affidamento sui propri processi, sui propri servizi, sui propri strumenti e sulle proprie risorse umane anche quando si verificano incidenti inaspettati o eventi catastrofici. In particolare, la gestione della continuità operativa implica la diminuzione della probabilità di accadimento di un evento negativo, la riduzione della forza dell’impatto sui processi aziendali e l’accorciamento dei tempi di ripresa dopo la crisi.
La differenza tra Business continuity management e disaster recovery
Bisogna fin da subito eliminare un qui pro quo che spesso si pone quando si parla di gestione della business continuity: l’approccio non è assolutamente equivalente al concetto di disaster recovery, che rappresenta solo uno dei componenti – di natura tattica, tra l’altro – di una materia che è fondamentalmente strategica ed estremamente articolata. Fare leva sul Business continuity management vuol dire infatti sviluppare la capacità di leggere i processi critici e analizzarne l’impatto in caso di difformità, ma anche prevedere specifici framework per la gestione della crisi e predisporre strumenti a supporto della continuità operativa. Si rivela poi essenziale la cultura del continuous improvement: proprio perché le condizioni esterne cambiano continuamente (e l’emergenza coronavirus ne è purtroppo un esempio molto eloquente), i rischi correlati alle operations devono essere costantemente monitorati e aggiornati, e così i processi stessi, attraverso azioni periodiche di revisione e verifica delle procedure e degli asset.
Per portare sul piano pratico la differenza teorica tra i due concetti, possiamo per esempio pensare al modo in cui un’organizzazione affronta un attacco di tipo DDOS (Distributed Denial of Service). Se l’azienda dispone di strumenti e piani di disaster recovery, sarà in grado di riconoscere immediatamente le anomalie dovute a un evento imprevedibile e ripristinare rapidamente il funzionamento della macchina operativa (che si tratti di servizi erogati ai collaboratori e ai clienti o di processi di trasformazione industriale) limitando al minimo i danni derivati dal fermo o dalla perdita di dati grazie a sistemi di backup opportunamente predisposti. Un’impresa che abbia invece costruito nel tempo un corretto approccio al business continuity management, invece, riuscirà, facendo leva su dati storici e serie statistiche opportunamente elaborati, a prevedere con buona probabilità il verificarsi di una minaccia potenziale. Come? Cogliendone con il giusto anticipo i segnali, evidenziati attraverso appositi sistemi di notifica e verificando in tempo reale l’effettivo stato di salute delle piattaforme prese di mira dagli attaccanti. In questo modo non occorre nemmeno arrivare alla fase di disaster recovery: con il business continuity management i danni derivanti da un rischio vengono evitati e non solo mitigati.
Perché conviene puntare sul Business continuity management
In Italia la disciplina è obbligatoria nel settore pubblico, in quello economico-finanziario e in quello delle infrastrutture critiche. Ma approfondirla e soprattutto metterla in pratica rappresenta un’interessante occasione di crescita per qualsiasi impresa, a prescindere dal verticale in cui opera. Non si tratta infatti solo di mitigare gli effetti dei rischi identificati – che comunque comporta un sensibile vantaggio competitivo nel momento in cui si verificano scenari come quello che stiamo vivendo – ma anche di ottimizzare i processi, gli asset e le risorse, ottenendo importanti benefici sul piano dell’efficienza e dell’efficacia delle attività di business anche in regime di ordinaria amministrazione.
Le fasi di una corretta gestione della continuità operativa
La progettazione di un piano di Business Continuity Management prevede una serie di passaggi che possono essere riassunti in cinque fasi principali. Cinque macro-aree di intervento che sono tutto fuorché compartimenti stagni: ogni attività è in realtà strettamente collegata con le altre, e la continua revisione del modo in cui si relazionano lungo la catena del valore consente di massimizzare i risultati ottenibili attraverso una corretta gestione della continuità operativa. Le fasi che contraddistinguono il Business Continuity Management sono:
- l’analisi dei processi chiave
- l’identificazione degli scenari di rischio
- l’elaborazione di strategie di ripristino
- lo sviluppo di un piano coerente di continuità operativa
- l’attività di test e audit dell’intera procedura
A queste cinque fasi si può aggiungere una funzione specifica, seppur trasversale a tutti i passaggi: quella che riguarda la gestione della crisi sotto il profilo della comunicazione. Nell’era dei social e dell’informazione che si propaga in rete – spesso in modo incontrollato – a tempi di record è infatti strategico valutare anche l’impatto di un momento di difficoltà sul piano reputazionale e dell’immagine di marca.