BUSINESS

CONTINUITY PLAN

Finalità del business continuity plan

Si tratta di un piano logistico finalizzato a documentare il modo in cui un'organizzazione può far tornare operative le sue funzioni critiche entro un predeterminato periodo di tempo dopo un disastro o un grave danno. In altri termini il BCP costituisce lo strumento attraverso cui una organizzazione si prepara per futuri incidenti che possono minacciare le sue funzioni vitali e la sua sopravvivenza a lungo termine. Gli incidenti da prevedere sono svariati, tra essi gli incendi, i terremoti o anche malattie epidemiche.

Il BPC può essere parte del processo organizzativo attraverso cui si cerca di ridurre il rischio operativo e può essere integrato nelle attività di miglioramento della sicurezza informatica e della gestione del rischio. Nelle grandi organizzazioni i processi di gestione della continuità operativa comprendono anche il cosiddetto disaster recovery (che normalmente è riferito soprattutto al ripristino delle funzionalità dei sistemi informatici) e la gestione delle crisi (che riguarda invece ogni tipo di crisi).

Redigere un BCP consente di:

• Reagire per assicurare il ripristino della situazione ottimale, in caso di processi critici
• Guidare le scelte in caso di crisi
• Stabilire le procedure alternative per garantire l'operatività.
• Minimizzare il tempo di interruzione dei processi aziendali critici.
• Garantire l'efficacia delle procedure di ripristino.

Efficacia del business continuity plan

L'efficacia di un BCP si basa sull'accettazione del fatto che esista sempre un elemento di rischio e sul modo di reagire allo stesso, valutandolo, stimandone gli effetti e stabilendo se e come assumerselo. Tutte queste operazioni permettono di garantire la continuità operativa, analizzando e definendo processi essenziali e di supporto, per stabilire un piano di continuità.

Nel mondo degli affari lo scenario è molto competitivo e ciò influenza continuamente il business, con fattori endogeni (riassetto organizzativo) ed esogeni (reazioni a cambiamenti del mercato). Pertanto, il BCP è valido solo fino a quando i suoi elementi non cambiano. Detto ciò, si comprende che un piano di continuità nasce dell'esigenza di affidabilità dei sistemi, sia come risposta a problemi IT, sia come disponibilità dei sistemi a supporto dei processi di business.

un piano di continuità aziendale dev'essere continuamente testato ed aggiornato per ottenere la massima aderenza alle esigenze del business. Una soluzione di BC non aggiornata è completamente inutile, in quanto basta una piccola variazione di un qualsiasi componente base del processo per far crollare tutto il piano.

La garanzia di successo di un BCP dipende da alcuni fattori connessi tra loro, tra i quali:

• Tempo
• Aggiornamento continuo delle soluzioni
• Valutazione continua del rapporto tra costo/complessità della soluzione e tra valore/priorità del business e normativa del processo protetto.
• Costi complessivi
• Ampiezza dell'impatto tra le funzioni coinvolte.

Il maggior elemento di criticità, invece, è costituito dal seguire di pari passo l'evoluzione della tecnologia, del mercati e della clientela, tutti fattori in la cui velocità di cambiamento è impressionante. L'unica maniera per ridurre la complessità portandola ad una dimensione gestibile ed efficace, mantenendo costi controllati, è la gradualità nella soluzione sia come numero di processi considerati, sia come profondità e dettaglio dell'analisi. L'aumento tout-court del numero di risorse dedicate (sia interne, che esterne) e del budget economico ha un andamento inferiore rispetto al volume di soluzioni prodotte, in quanto la fruibilità delle soluzioni (condizione necessaria per essere effettivamente tale) rischierebbe di scontrarsi con una struttura non pronta a recepirle e ad attuarle in caso di necessità.

Standard di riferimento del business continuity plan

Nel dicembre 2006 è stato pubblicata dal British Standards Institute una nuova norma standard, la BS 25999. Prima della sua pubblicazione si faceva riferimento prevalentemente allo standard per la sicurezza informatica BS 7799 che trattava la continuità operativa solo in modo sommario in funzione esclusivamente della gestione della sicurezza informatica. Lo standard BS 25999 si applica a tutte le organizzazioni indipendentemente dal tipo, dimensione e settore di appartenenza, private o pubbliche.

Contenuti del piano del business continuity plan

Il piano include:

• la descrizione del response team, le responsabilità e l’organizzazione;
• definizione dello staff di supporto e di coordinamento;
• individuazione della sede ed equipaggiamento del Centro di emergenza (crisi)

Il BCP può essere anche costituito da più piani dipartimentali integrati tra loro; occorre quindi stabilire meccanismi di manutenzione e integrazione dei vari piani, allocando i vari task e le responsabilità, identificando contatti, fornitori, risorse, canali di comunicazione interna ed esterna.

Il piano contiene le procedure di continuità, in particolare i processi mission critical e le funzioni vitali dell’organizzazione, quali sono le risorse disponibili e come devono essere utilizzate per assicurare la continuità.

Si indicheranno:

• l'uso e la locazione e protezione di informazioni critiche;
• gli strumenti di telecomunicazione;
• i requisiti del personale necessari per garantire il livello prefissato di servizio

Struttura di un piano tipo del business continuity plan

Il BCP ha una struttura del tipo:

• Introduzione
  • Obiettivi
  • Responsabilità
  • Esercitazione e manutenzione
• Attivazione del piano
  • Dichiarazione di disastro o di incidente
  • Valutazione del danno
  • Procedure di azione e continuità
  • Organizzazione del team e responsabilità
  • Centro di Emergenza o Crisi
• Comunicazioni
  • Soggetti da informare
  • Contatti
  • Messaggi
• Fornitori
  • Lista dei fornitori di recovery
  • Dettagli dei contratti

Il documento deve essere costantemente aggiornato con la gestione dei processi secondo la logica del Ciclo di Deming.