Obiettivi, procedure e testing della business continuity

Una volta definito il concetto di Business continuity e la normativa a livello nazionale e internazionale, risulta opportuno andare a definire quali siano gli obiettivi che persegue effettivamente, quali siano i processi che permettono il raggiungimento degli stessi con la conseguente redazione quindi del Business continuity plan e quali siano le metodologie di valutazione che vengono utilizzate per quanto riguarda la coerenza tra pianificazione e azioni intraprese e l’efficacia delle infrastrutture.

La necessità del processo di business continuity deriva dalla necessità di dare una risposta immediata nei confronti di una emergenza, facilitando il recupero delle operazioni di business per ridurre l’impatto complessivo di un evento e nel contempo riportare in vita le funzioni critiche di ciascun business entro un periodo di tempo che sia ridotto. Tutto ciò comporta quindi la possibilità di minimizzare le perdite derivanti da eventi che comportino una interruzione dell’operatività, fornendo procedure e risorse che assistano il ripristino delle funzioni di processing dei dati, considerate critiche per il supporto delle funzioni di business e delle applicazioni IT17. Sarà importante che ogni procedura venga documentata in modo che ogni soggetto sia pienamente consapevole delle azioni che vengono intraprese e di cosa debba fare per contribuire alla realizzazione del processo, permettendo di evitare risposte confuse durante il periodo di guasto e di addestrare il personale con sufficiente anticipo assieme alla fornitura di linee guida di comportamento da intraprendere durante i guasti in modo da facilitare la rapida ripresa tempestiva dei servizi.

Considerando la business continuity come un progetto, la si può scomporre facilmente in 3 processi chiave quali la pianificazione, l’esecuzione e il controllo.

La pianificazione mira in generale alla creazione del piano e delle strategie da attivare per garantire la continuità operativa. Si può parlare di pianificazione preventiva per ciò che concerne le attività quali la predisposizione di infrastrutture e tecnologie per portare avanti le operazioni di business quando il sistema primario è in stato di fermo. Si determinano quindi le attività che andranno svolte prima di un evento o disastro in modo da limitare i danni. Per quanto riguarda invece la pianificazione reattiva, si tratta della determinazione delle attività

17 _{ISO International Standard,ISO 22301 Business Continuity management systems- requirements, disponibile su} http://www.iso.org/iso/home/store/catalogue_ics.htm, 2012

19

che, invece di essere svolte preliminarmente, vengono svolte in risposta all’evento o disastro18_.

La redazione dei piani di Business continuity e Disaster recovery non è semplice come altri casi. Solitamente si osserva un processo lineare, che segue un filo logico, consequenziale. Nel caso della continuità operativa e del ripristino dai disastri, spesso ci si trova di fronte a situazioni dove inizialmente si segue un andamento lineare degli step, per poi trovarsi di fronte a situazioni più complicate e processi paralleli. Tutto ciò viene a dipendere da vari fattori, tra cui anche la cultura aziendale e la conoscenza dell’azienda stessa da parte del Business continutiy manager, dalle sue relazioni con le business unit, le risorse a disposizione per il raggiungimento degli obiettivi richiesti, il supporto da parte dello sponsor. Nonostante la complessità del processo di creazione di un Business continuity plan, si può sintetizzare lo stesso partendo dal momento in cui l’esecutivo si rende conto della necessità della redazione del piano, che sia perché richiesto dalla normativa o perché necessario a seguito di richiesta mediante report da parte dell’auditor o anche per accadimento di una interruzione operativa che abbia prodotto danni ingenti. Si viene a evidenziare, in questa fase, la figura dello sponsor. È il soggetto preposto per dar credibilità al piano stesso, che sia capace di permettere la miglior collaborazione possibile anche all’esterno del team per la creazione del piano stesso. Proprio per questo, solitamente la funzione dello sponsor viene assunta dal consiglio di amministrazione o dal vice presidente. È inoltre fondamentale, ai fini del conseguimento del maggior risultato possibile, che ci sia da parte dello sponsor stesso la massima convinzione sull’utilità e sulla necessità del piano.

Compito dello sponsor è quello di andar a selezionare chi sarà responsabile dell’andamento del piano stesso, cioè il Business continuity manager. È in sostanza la fase più importante, in quanto si dovrà selezionare un soggetto che abbia esperienze e che conosca o sia capace di apprendere in fretta il funzionamento del sistema aziendale. La fase è così fondamentale che spesso lo sponsor, al fine di effettuare la miglior scelta possibile, si avvale anche dell’apporto di soggetti esterni che assumono la funzione di consulenza per la selezione del manager. Primo compito dello sponsor e del manager sarà quello di andare a definire lo scopo del progetto. In sostanza, lo scopo indica quali siano le attività che andranno svolte e quali no, in quanto è la definizione dei confini di azione del piano stesso. È una fase che richiede molto spesso di avvalersi di linee guida comuni, quali ad esempio la scelta di far rientrare nel progetto tutto ciò che possa comportare perdite maggiori del 5% di un quarto dei propri ricavi.

20

Si definiranno inoltre le scadenze e le aspettative basandosi sull’analisi di fattori quali il budget.

Successivamente il manager andrà a definire il team che collaborerà al progetto. È una fase dove solitamente si parte dal definire un team sottodimensionato, in quanto solo quando necessario si andranno a ricercare nuove risorse. Dalla selezione del team si passa alla pianificazione, per poi andare ad eseguire il piano. L’esecuzione del piano è la fase dove il team lavora e sviluppa il piano stesso per il raggiungimento degli obiettivi definiti dato lo scopo. La pianificazione è basata su una serie di step, almeno inizialmente, in modo da creare uno schema di azione che permetta di poter poi anche verificare al meglio la bontà dell’esecuzione del piano. Infatti, successivamente all’esecuzione, si ha la fase più critica, seconda solo alla fase di selezione del manager: la fase dei test. La criticità è dovuta al fatto che in questa fase ogni azione svolta viene messa in discussione e a dura prova, al fine di evidenziare anche la minima imprecisione che potrebbe portare inefficienza al piano. Mediante il test si può quindi determinare aree di miglioramento, di abbandono, di correzione.19 Tutto ciò andrà poi documentato mediante report, che genera una sorta di dataset storico, al fine di permettere un miglioramento continuo del processo e che eviti ad ogni ripartenza di ripartire da zero. Conoscendo errori, punti di forza, possibili miglioramenti suggeriti, si ha la possibilità nel tempo di incrementare l’efficienza del processo e l’efficacia del piano.