Articoli

Business Continuity

04/12/2011

di Gianfranco Bonfante, Direttore generale Centro Studi per la Sicurezza ItaSForum (www.itasforum.it)

Il piano di Disaster Recovery (DR) (cfr. a&s Italy 10/2011 pag. 38), è intrinsecamente connesso ad un processo più complesso costituito dal Business Continuity (BC). In passato, non solo ne venivano equivocate le rispettive peculiarità, ma venivano delimitate al solo ambito informatico e ciò a causa del mancato approfondimento dello studio ed ambito del rischio e dei fondamentali stadi gestionali. Stadi gestionali che nel loro armonizzarsi danno vita ad una strategia strutturata che vede il Rischio, concetto olistico, suddiviso in macroprocessi interconnessi (elencati in ordine ascendente) concorrenti a rafforzare il concetto guida secondo il quale la sopravvivenza di un'azienda è assicurata dalla sua capacità di creare valore per i suoi stakeholder e sostanzia la filosofia di fondo della "gestione del rischio aziendale".

Purtroppo, in Italia, a differenza dei Paesi anglosassoni, manca la cultura della prevenzione e la consapevolezza che la gestione dei rischi sia chiave del successo imprenditoriale. Il processo evolutivo italiano è stato, invece, caratterizzato dalla lentezza del passaggio dalla copertura assicurativa come unica soluzione possibile di gestione del rischio, all'adozione di tecniche e metodologie che mirino all'individuazione, valutazione, controllo e gestione di tutti i rischi aziendali. Anche attualmente stenta a farsi strada la convinzione che la capacità di gestire i rischi possa rappresentare un fattore chiave per sostenere la crescita del nostro sistema economico. Gli eventi che cadenzano i nostri tempi stanno generando una molteplicità di fenomeni allarmanti che, costrittivamente, modificano la cultura d'impresa permeandola di una realtà sempre più insicura: dalle calamità naturali al terrorismo, dalle ondate di malattie epidemiche alla finanza creativa, dalla crisi energetica alla crescente dipendenza dalla tecnologia.

S'impone, quindi, l'esigenza di una "corporate governance" più efficace ed un più attento monitoraggio delle situazioni di rischio di tipo olistico ed integrato, strettamente legato all'analisi dei processi aziendali, particolarmente delicato e complesso perché deve coniugare l'alta specializzazione con la multidisciplinarietà e supportare tutta la struttura aziendale nella gestione dei rischi. Sintetizzando, il Business Continuity è un processo in grado di generare vantaggi competitivi reali per l'azienda, in virtù dell'omogeneizzazione di tutta una serie di processi destrutturati, in un contesto di metodologie, processi e procedure stabili e ben definite, che permettono di mettere a patrimonio aziendale le competenze di tutti. La convergenza di persone, hardware e software all'interno di un sistema efficiente, che include produzione, servizi e logistica, vitali alla produzione degli utili per l'impresa, devono consentire di operare nella loro essenzialità nella fase di ripresa susseguente a macroevento negativo.

Calandoci nel particolare, si è cercato di evidenziare nel seguente schema gli step fondamentali per realizzare il processo di Business Continuity. A quanto sinteticamente esposto occorre associare alcuni concetti fondamentali: 1) il BC è, soprattutto, un processo logistico finalizzato alla pianificazione puntuale in base alla quale un'impresa può recuperare l'operatività delle sue funzioni fondamentali: efficienza del sistema informatico, riallocazione delle risorse umane, dell'approvvigionamento, della produzione, della pianificazione e controllo, dell'organizzazione, dell'amministrazione e finanza, della logistica, della ricerca e sviluppo, del marketing e della commercializzazione prodotti; 2) il BC subentra al processo di Disaster Recovery che s'instaura per evento negativo d'imponente magnitudo d'impatto, con un valore di RTO (Recovery Time Objective) e di downtime temporalmente molto circoscritto; 3) il progetto di BC è molto più ampio e articolato di un progetto di Disaster Recovery e la crescente complessità delle infrastrutture generali ed IT rende necessario un approccio uniforme fra il Disaster Recovery e la Business Continuity; 4) il BC deve avere il commitment del Top aziendale e la condivisione degli obiettivi, aver raccolto tutti i dati propedeutici al progetto per procedere allo startup e disporre di una struttura di gestione per sviluppare e realizzare il piano; 5) il piano di BC poggia sull'indispensabile valutazione dei rischi e deve essere ratificato a frequenza prestabilita, dal TOP dell'impresa. Anche il d.lgs. n.231/2001 ribadisce la centralità dei processi d'identificazione e valutazione dei rischi finalizzati ai modelli di controllo che devono rispondere ad una logica di risk assessment; 6) le infrastrutture di backup, necessariamente esterne e ragionevolmente distanti dalla sede abituale d'impresa, richiedono un indispensabile Service Level Agreement (SLA - Accordo sul livello del servizio), strumento contrattuale efficace, giuridicamente valido, facilmente fruibile, nel quale vengono definiti i parametri di servizio, su più livelli, che devono essere rispettate da un fornitore di servizi. In un mercato competitivo che opera in regime di libera concorrenza, gli accordi sui livelli di servizio sono diventati uno strumento indispensabile per misurare efficacemente i servizi e, pertanto, lo SLA si concretizza in una serie di contratti che assicurano alla società fruitrice la fornitura dei servizi prenegoziati, e prevede il pagamento di penalità in caso di mancata o scadente fornitura; 7) il BC deve possedere in misura eminente le caratteristiche della "resilienza", capacità di processo alla continuità di funzionamento a fronte di occasionali, significative perturbazioni e di resistenza all'usura, in modo da garantire la disponibilità dei servizi programmati; 8) è requisito fondamentale per qualsiasi organizzazione fare riferimento specifico alla norma BS 25999, la prima norma al mondo per la gestione del Business Continuity (BCM), progettata per mantenere la continuità d'impresa anche nelle circostanze più problematiche e impreviste, salvaguardando il personale, la reputation dell'azienda e permettendo di continuare a produrre e a vendere.

La BS 25999 è stata sviluppata da un ampio gruppo di esperti mondali, in rappresentanza dei principali settori industriali e della pubblica amministrazione, per stabilire il processo, i principi, la terminologia della gestione del Business Continuity ed assicurare fiducia nello svolgimento delle operazioni B2B e B2C. Contiene inoltre una vasta serie di controlli basati sulle best practice BCM. È particolarmente raccomandabile per le organizzazioni che operano in contesti ad alto rischio, quali la finanza, le telecomunicazioni, il trasporto e la PA, dove la capacità di assicurare la continuità delle operazioni è fondamentale per l'organizzazione, per i clienti e per le parti interessate. La BS 25999 è articolata in due parti: a) la Parte 1, il Code of Practice, fornisce raccomandazioni relative alle prassi da attuare. Occorre sottolineare che questo è solo un documento guida; b) la Parte 2, la Specifica, fornisce i requisiti per un sistema di gestione della business continuity (BCMS), basato sulle buone prassi BCM. E' la parte della norma da utilizzare per dimostrare la conformità, mediante il processo di valutazione e certificazione anche a fini assicurativi. Il conseguimento della certificazione indipendente a fronte della BS 25999 Parte 2, ottenuta da una terza parte indipendente, costituisce la migliore garanzia che si è operato in conformità alle migliori prassi di gestione del Business Continuity; 9) occorre infine rammentare la realtà del "Business Continuity Institute Italia", capitolo italiano del Business Continuity Institute (BCI), organizzazione internazionale che rappresenta il punto di riferimento riconosciuto in tutto il mondo per la continuità operativa e tra i principali contributori all'ideazione e implementazione degli standard universalmente adottati; 10) inoltre, il DigitPA (Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione), l'ABI ed altri Enti hanno emanato in tempi diverse linee guida per la continuità operativa in diversi ambiti. Tali indicazioni traggono origine dalle norme 25999-1:2006 ed in quella più specifica BS 25777:2008, e sono finalizzate a fornire un supporto più esaustivo possibile dopo il terremoto de L'Aquila dell'aprile 2009. Sgomenta la tassonomia dei processi in ambito bancario tipo calcolati da ABI Lab (650), suddivisi in sei macro ambiti: processi direzionali, processi di marketing, commerciali, customer service, di operations e di supporto che viene colpita da un evento disastroso del genere. Anche se occorre rammentare che al di là degli eventi disastrosi ci sono quelli più "normali", dai blackout elettrici, agli allagamenti, agli incendi ecc. Uno scenario da blade runner che Banca d'Italia e gli altri enti citati vogliono assolutamente evitare; 11) il Business Continuity deve essere pianificato secondo il Ciclo di Deming o Deming Cycle (PDCA - plan–do–check–act), modello studiato per la permanente ottimizzazione della qualità in ottica capillare e temporalmente penetrante dei processi e dell'utilizzo ottimale delle risorse.


pagina precedente