La business continuity o continuità operativa è la capacità di un’azienda di continuare a svolgere le proprie attività a un livello accettabile anche in caso di eventi avversi come gli attacchi informatici (ma anche calamità naturali, emergenze sanitarie, guasti sistemici). Si tratta di uno degli strumenti organizzativi più potenti per migliorare i processi aziendali e guadagnare in efficienza, anche in assenza di interruzioni. La definizione e l’applicazione delle pratiche di business continuity sono obbligatorie in Italia, nei settori pubblico, economico-finanziario e delle infrastrutture critiche.
La continuità operativa non è un concetto astratto o arbitrario, tanto è vero che è stato formalizzato nello standard internazionale ISO 22301:2019. Questo standard specifica i requisiti necessari per pianificare, stabilire, realizzare, rendere funzionante, monitorare e migliorare un sistema di gestione che individui le possibili minacce rilevanti per l’azienda, ne riduca il rischio, e, nel caso si verifichino, renda l’impresa preparata e pronta a rispondere efficacemente senza intaccare la propria continuità operativa. L’ISO 22301:2019 si allinea a ISO/IEC 27001:2013, che descrive come implementare un sistema di gestione della sicurezza delle informazioni (Information Security Management System, ISMS).
Perché la business continuity è importante per le aziende
Passando da un approccio reattivo a una postura preventiva, basata sull’analisi dei rischi e sulla simulazione del loro possibile impatto sui processi di business, la gestione della continuità operativa implica non solo la diminuzione della probabilità del verificarsi di un evento negativo, ma anche la riduzione della forza dei suoi effetti e l’accorciamento dei tempi di ripresa dopo un’eventuale crisi.
Secondo IDC, i costi relativi ai downtime imprevisti, calibrati per una company inserita in Fortune 1000, sono di 1,5 – 2,5 milioni di dollari all’anno, di circa 100.000 dollari all’ora per l’infrastruttura, di 500.000 – 1 milione all’ora per l’interruzione di un’applicazione. Per quanto riguarda le PMI, i costi stimati da IDC sono naturalmente inferiori, ma comportano danni che possono arrivare anche a diverse migliaia di euro al minuto.
Minacce alla business continuity: cosa tenere sotto controllo
Tra le principali minacce alla continuità operativa, gli attacchi informatici rappresentano una costante preoccupazione. Con l’avanzare delle tecnologie, i cyber criminali affinano le tecniche d’intrusione, rendendo imperativo per le aziende adottare soluzioni di cyber security sempre all’avanguardia.
Altro fattore critico è la gestione dei dati e la loro integrità. Il rischio di perdita o corruzione dei dati può derivare da malfunzionamenti hardware, errori umani o disastri naturali, situazioni che richiedono un piano di backup e disaster recovery affidabile.
Inoltre, la dipendenza da terze parti impone una valutazione accurata della supply chain, poiché un’interruzione da parte dei fornitori di servizi essenziali può avere ripercussioni dirette sull’operatività aziendale.
Il Business Continuity Management System e il Business Continuity Plan
In pratica, la business continuity si implementa tramite un sistema di gestione (Business Continuity Management System, BCMS) e un piano (Business Continuity Plan, BCP). Per determinare il campo di azione del BCMS, il primo passo è l’analisi del contesto, ovvero conoscere l’organizzazione, i processi e le risorse impiegate, i modi e i tempi di comunicazione all’interno e all’esterno, le normative cui l’azienda deve ottemperare. Bisogna anche identificare i clienti e le modalità di contatto e vendita.
Per un BCMS efficace è importante che il top management ne percepisca l’utilità, così da partecipare ai lavori, assicurare risorse adeguate al processo e nominare tra i responsabili le persone più idonee al compito. Ma anche il coinvolgimento del personale è indispensabile per il successo del BCMS: ciascuno deve essere consapevole del proprio ruolo e del supporto da fornire in caso di necessità.
Una volta definito il campo d’azione, si passa all’identificazione delle aree e delle funzioni aziendali più vulnerabili, in ordine di priorità. Vengono individuati i rischi relativi all’implementazione del BCMS, si stabiliscono gli obiettivi a breve e medio termine e i criteri di monitoraggio.
Viene quindi analizzato l’impatto di ogni possibile evento avverso nel tempo, per prepararsi a rispondere allo scenario peggiore possibile: le procedure per evitare o ridurre la probabilità di incidenti descritte in fase di pianificazione saranno integrate con eventuali altri eventi avvenuti nel tempo. Sono quindi pianificate non solo la gestione dell’emergenza ma le operazioni e i tempi necessari al ritorno alla normale attività. In particolare, è definito il downtime, l’intervallo di tempo in cui le attività possono fermarsi senza arrecare disservizio. Inoltre sono definiti i team coinvolti nelle diverse fasi.
Le fasi di implementazione del BCP includono diverse attività cruciali per garantire la continuità operativa e la gestione delle crisi. Queste fasi sono la formalizzazione delle strategie e delle tattiche, lo sviluppo dei piani di continuità aziendale, la definizione dei documenti del BCP, l’identificazione delle risorse chiave, lo sviluppo di una struttura di risposta.
Business continuity e disaster recovery
Il disaster recovery è compreso nel BCMS, relativamente alla parte IT dell’azienda, ed è l’insieme delle strategie e delle azioni necessarie per il ripristino dell’infrastruttura IT aziendale, in seguito a eventi dannosi come attacchi informatici, guasti di sistema, calamità naturali. Il piano di disaster recovery identifica le possibili minacce a sistemi e applicazioni IT, valutandone la vulnerabilità e stabilendo le priorità da proteggere per la continuità del business.
Per rendere più evidente la differenza teorica tra business continuity e disaster recovery, possiamo prendere a esempio un’azienda che subisce un attacco DDoS (Distributed Denial of Service). Se l’impresa dispone di strumenti e piani di disaster recovery, sarà in grado di riconoscere immediatamente le anomalie dovute a un evento di questo tipo e ripristinare rapidamente l’operatività, limitando i danni derivati dal fermo o dalla perdita di dati grazie a un backup. Un’impresa che abbia invece costruito nel tempo un corretto approccio al Business Continuity Management, riuscirà – grazie a dati storici, statistiche, sistemi di notifica, monitoraggio in tempo reale – a prevedere con buona probabilità il verificarsi di una minaccia potenziale. In questo modo non occorre nemmeno arrivare alla fase di disaster recovery: con il Business Continuity Management i danni derivanti da un rischio non sono solo mitigati ma sono proprio evitati.
In ogni caso, esistono diversi metodi di disaster recovery:
- Il backup, che permette di salvare i dati in un sistema separato di archiviazione
- Il cold site, ovvero una seconda sede dotata di un’infrastruttura di base da usare dopo l’emergenza
- L’hot site, che possiede copie aggiornate di tutti i dati
- Il Disaster Recovery-as-a-Service, che sposta la computazione aziendale sul cloud
- Il Backup-as-a-Service, che sposta il backup dei dati sul cloud
- Il disaster recovery del data center stesso, per esempio grazie a una sorgente di alimentazione di riserva (UPS) o a strumenti di contenimento degli incendi
- La virtualizzazione, che trasferisce il backup o l’infrastruttura su macchine virtuali off site
- Le copie off site point-in-time del database in un determinato momento
Un piano di disaster recovery contiene sia un obiettivo di punto di ripristino (Recovery Point Objective, RPO) sia un obiettivo di tempo di ripristino (Recovery Time Objective, RTO). Più in dettaglio, l’RPO è l’intervallo di tempo tra la produzione del dato e la sua messa in sicurezza, mentre l’RTO è il downtime, cioè il lasso di tempo entro cui i servizi possono essere offline senza che si verifichino danni irreparabili per l’organizzazione.