La Continuità operativa: come imparare a gestire l’emergenza
Modelli organizzativi e strumenti operativi
La pandemia causata dal virus COVID19 ha coinvolto tutti i mercati a livello globale e portato in primo piano l’importanza di disporre di strumenti operativi e gestionali per garantire la continuità del business. Aziende di qualsiasi settore e dimensione si sono dovute riorganizzare, ridefinendo i processi, i servizi offerti e le modalità lavorative. In molti il cambiamento ha comportato blocchi produttivi, difficoltà logistiche e infrastrutturali. Si poteva prevedere uno scenario simile?
Approfondiamo queste tematiche analizzando i modelli di gestione sulla Business Continuity.
Cos’è la Business Continuity
La Business Continuity di un’azienda è l’insieme delle procedure, dei processi aziendali e delle risorse di un’organizzazione in grado di garantire la continuità operativa seppur in presenza di una situazione di emergenza e con livelli di produttività inferiori agli standard usuali ma comunque necessari a garantire la sopravvivenza dell’azienda.
I settori che per primi hanno richiesto l’adozione di strategie di Business Continuity sono stati le Pubbliche Amministrazioni e il settore bancario, soprattutto in riferimento alla continuità operativa dei Data Center. Con l’avvento della globalizzazione e la continuità operativa è divenuta una strategia di business indispensabile per poter operare in un mondo sempre più interconnesso.
Quali sono gli scenari di crisi che potrebbero costituire una minaccia per la continuità di business delle aziende?
- Disastri naturali (alluvioni, terremoti, ecc)
- Incidenti che compromettono l’accesso ai locali aziendali (incendio, esplosione, evcc.)
- Connettività
- Emergenza sanitaria, pandemia
- Attacchi informatici
- Interruzioni della catena di fornitura
Un sistema di gestione per la Business Continuity garantisce ai clienti di un’organizzazione la capacità di essere resiliente a fronte di un incidente o di un evento disastroso.
Quali sono le migliori strategie di gestione della continuità operativa
La norma internazionale di riferimento che fornisce le indicazioni per progettare un “Sistema di gestione della continuità operativa” è lo standard ISO 22301 “Business Continuity Management System – BCMS”. La norma è stata aggiornata nel 2019 e come tutti gli altri standard internazionali adotta il layout di “High Level Structure” ed è certificabile da un ente terzo e indipendente.
La sua struttura consente l’integrazione con altri standard aziendali, ad esempio Sistemi di Gestione per la Qualità ISO 9001, Sistemi di gestione per l’Ambiente e Sicurezza ISO 14001, Sistemi di gestione per la Salute e Sicurezza sul lavoro ISO 45001.
Lo standard è acquistabile in lingua inglese nel sito dell’International Standard Organization https://www.iso.org/home.html.
La prima fase dell’implementazione di un piano di continuità operativa consiste nel definire i processi di business strategici per l’azienda in base al contesto in cui opera, gli obiettivi, una policy di Business Continuity contenente le linee guida di indirizzo definite dal Management.
L’individuazione di adeguate risorse è essenziale per garantire l’efficacia del BCMS. A tal fine è necessario costituire un “Comitato di gestione crisi”, ovvero un team di persone con esperienza, competenza e diversi livelli di responsabilità in grado di gestire gli aspetti di continuità operativa correlati alle attività aziendali che potrebbero essere maggiormente esposte alle minacce.
I ruoli che più spesso sono considerati cruciali nella gestione del Piano di Continuità operativa si riferiscono a solitamente a:
- Business Continuity Manager: aggiorna le procedure, coordina le funzioni coinvolte nella gestione della Business Continuity, convoca le riunioni del Team di BCMS;
- HR: gestisce tutti i processi che possono coinvolgere il personale;
- Produzione/Logistica: pianifica la produzione e gestisce la supply chain;
- Servizi Generali: si occupa delle utenze, allarmi, manutenzione degli impianti;
- IT manager: si occupa del monitoraggio dei servizi informativi aziendali e della connettività;
- RSPP: supporto al datore di lavoro nella valutazione dei rischi in materia di Salute e Sicurezza e nella definizione di misure di prevenzione e dei piani di emergenza ed evacuazione.
La pianificazione delle misure necessarie a garantire la resilienza organizzativa nel caso si verifichi uno scenario di crisi sono contenute nel Business Continuity Plan, che comporta:
- analisi dei possibili scenari;
- analisi dell’impatto che influenza la continuità operativa sui processi aziendali, come risultato di danno e probabilità;
- valutazione del livello di rischio collegato a ciascun evento
- risk management.
Per ogni rischio identificato si procede con il business impact analysis, ovvero una valutazione del possibile perdurare dello stato di emergenza e dell’interruzione parziale o totale delle attività associata all’impatto sul business in termini di costi, reputazione, mancati profitti.
Nel complesso gestire con efficacia tutti gli aspetti di Compliance rappresenta di per sé una misura preventiva, che permette di evitare sanzioni e provvedimenti interdittivi che potrebbero compromettere la normale operatività aziendale.
Quali sono gli obiettivi di un piano di business continuity disaster recovery?
- Proteggere la salute dei dipendenti e del personale presente all’interno dell’azienda. Un incidente che coinvolge un numero elevato di persone potrebbe avere come conseguenza la mancata disponibilità delle risorse e delle competenze necessarie a gestire i processi aziendali.
- Nel caso di emergenza sanitaria la gestione del rischio di contagio deve prevedere l’alternanza di personale al fine di poter disporre di squadre differenti composte dalle figure necessarie a intervenire su tutti i processi aziendali.
- Contenere le conseguenze derivanti da un incidente (es. incendio, alluvione, esplosione) al fine di minimizzare i tempi di recupero.
- Recuperare i dati presenti o le funzionalità dei sistemi informativi a seguito di un Data Breach o un incidente di sicurezza informatica.
Un piano di Disaster Recovery è quell’insieme di procedure, soluzioni di business e procedure organizzative in grado di garantire l’operatività nell’emergenza, rendendo quindi possibile:
- accedere agli ambienti di lavoro o in un sito di lavoro alternativo;
- accedere alle informazioni aziendali e alle comunicazioni;
- preservare le infrastrutture e le informazioni aziendali;
- utilizzare le utenze aziendali;
- disporre delle risorse aziendali essenziali per la conduzione dei processi.
Un Security Business Continuity Management è orientato a preservare i sistemi e le informazioni aziendali da minacce informatiche che possano compromettere la disponibilità, l’integrità e la riservatezza dei dati personali e delle informazioni aziendali.
Soprattutto nell’ambito dei sistemi informativi, il piano di Disaster Recovery prevede la possibilità di poter riprendere le attività da un sito alternativo, non essendo accessibile quello primario (ad esempio avendo a disposizione una replica dei server aziendali in un data center secondario separato da quello primario).
L’efficacia di un piano di Disaster Recovery si riferisce agli obiettivi che l’organizzazione ha fissato relativamente al RTO – Recovery Time Objective e al RPO Recovery Point Objective. Il RPO si riferisce alla massima perdita tollerata in relazione al momento in cui è stato effettuato l’ultimo salvataggio di dati. Il RTO si riferisce al tempo necessario per ripristinare i servizi a seguito dell’evento di crisi, correlato al tempo massimo di disservizio ad esempio il “downtime” tollerato dagli accordi contrattuali con i propri clienti.
Per ogni tipologia di evento devono essere predisposte delle procedure in grado di:
- Individuare l’evento con tempestività e comunicarlo alle aree aziendali coinvolte
- Reazione della crisi – mettere in atto le azioni di emergenza previste per ogni specifico scenario
- Gestione della crisi RTO – gestire l’operatività durante il perdurare della crisi
- Ripristino normalità RPO – ripristinare le modalità di lavoro ordinarie.
Alla fine del periodo di crisi, il Business Continuity Manager effettua un’analisi dell’evento valutando eventuali azioni correttive e individuando eventuali opportunità di miglioramento.
Come organizzare il lavoro da remoto e garantire la continuità operativa
A seguito dell’emergenza sanitaria COVID19 molte aziende hanno riconfigurato la loro modalità operativa attivando lo smartworking. Il distanziamento sociale è stato colto come opportunità di trasformazione digitale dell’innovazione imprenditoriale, orientata alla digitalizzazione, dematerializzazione dei documenti cartacei.
Alcune aziende sono riuscite ad adottare immediatamente questa soluzione alternativa, in altri casi è stato più complicato riorganizzarsi. Le aziende che hanno potuto disporre di soluzioni di Cloud Computing sono state avvantaggiate non dovendo attivare VPN o canali diretti con il server aziendale.
Le soluzioni per lavorare da remoto sono molteplici e i maggiori provider di servizi digitali offrono tutti gli strumenti di supporto per il business:
- piattaforme web che consentono di organizzare riunioni in videoconferenza ed erogare formazione a distanza;
- strumenti per la realizzazione di shop on-line;
- servizi di centralino virtuale;
- connessioni VPN;
- spazi di archiviazione digitale;
- sistemi di Digital Transaction Management.
Questo processo di trasformazione sta accrescendo la cultura digitale e imprenditoriale delle imprese, ma non deve tralasciare gli aspetti di sicurezza informatica. Lavorare da remoto, fuori dalle reti e dai sistemi di sicurezza aziendali, potrebbe rappresentare una fonte di pericolo se non si adottano misure logiche e organizzative adeguate.
A tutti i lavoratori in remoto devono essere quindi distribuite delle linee guida chiare su come operare nel rispetto della normativa sulla protezione dei dati personali e garantendo la sicurezza delle informazioni aziendali.
Nel caso non sia possibile fornire dispositivi aziendali ai propri dipendenti è consentito l’utilizzo dei dispositivi privati, ma si raccomanda di definire una policy specifica con le indicazioni di utilizzo in sicurezza dei dispositivi privati.
Una delle fonti di riferimento è sicuramente ENISA, l’European Union Agency For Cybersecurity, che sul sito https://www.enisa.europa.eu/ pubblica periodicamente linee guida, relazioni e documenti sui temi di sicurezza informatica e protezione dati.