Tutte le attività imprenditoriali, industriali o di servizi - piccole o grandi che siano - hanno una vulnerabilità in comune: il fermo operativo dovuto ad eventi eccezionalmente gravi.
Ci riferiamo ad eventi naturali (sismi o alluvioni), ma anche ad eventi quali incendi o allagamenti che devastano i luoghi di lavoro o che ne impediscono il loro regolare utilizzo. Gli stessi effetti possono derivare anche da origini antropiche: sabotaggi o meri errori umani.
In genere, per tutelarci dai danni arrecati da un evento negativo straordinario, pensiamo ad una copertura assicurativa. Tale soluzione, però, risolve solo un aspetto: copre da eventuali perdite economiche dirette ma lascia insoluti tutti gli altri aspetti che, in realtà, sono quelli che determinano e garantiscono l’esistenza stessa dell’azienda.
Uno stop dell’attività aziendale non rappresenta solo un danno di mancato fatturato e di perdita di quote di mercato non recuperabili, bensì porta spesso con sé l’impossibilità di garantire vincoli contrattuali o legali a cui si è soggetti nonché il pagamento di penali; si pensi, ad esempio, ai problemi che ne derivano per chi è parte di una complessa catena di fornitura (c.d. Supply chain). Inoltre un fermo ha, quale effetto collaterale, quello di provocare un crollo dell’immagine aziendale e di creare una reputazione negativa sul mercato e nel mondo creditizio, in quanto si viene percepiti come sprovveduti e poco affidabili.
La Business Continuity è una disciplina, relativamente nuova, di gestione del rischio di impresa, orientata a garantirne l’operatività anche in caso di eventi eccezionalmente critici che colpiscono direttamente o indirettamente l’organizzazione. Non esistono modalità univoche per gestire tali eventi in quanto ogni azienda è diversa dall’altra, ma esistono buone pratiche consolidate e riconosciute a livello internazionale di approccio al problema.
La Business Continuity viene spesso confusa con il Disaster Recovery nato nel mondo IT, del quale rappresenta invece una evoluzione. In entrambi i casi si ipotizza l’insorgenza di un evento “aziendalmente catastrofico”, ma si opera con due approcci diversi: il Disaster Recovery ipotizza che l’attività si possa fermare; di conseguenza, ci si organizza predisponendo un piano e delle infrastrutture utili a ripartire in modo ordinato e in tempi prestabiliti. In questo caso il fermo produttivo c’è ed è stimato a priori.
Con la Business Continuity si opera per impedire il fermo dell’attività per tempi lunghi, predisponendo i processi aziendali e le risorse tecniche, tecnologiche ed umane, affinché si possa garantire, istantaneamente o in brevissimo tempo, l’erogazione delle attività critiche ad un livello accettabile.
Due sono i concetti cardine sottolineati.
- Attività critiche: similmente al corpo umano, che può sopravvivere per lunghi periodi senza camminare e anche vedere ma non può smettere di avere sangue in circolo ed ossigeno nei polmoni, così in ogni organizzazione vi sono attività critiche per la propria sopravvivenza. Quali sono queste “mission critical activities”?
- Livello minimo: sotto quale livello di operatività e di servizio al cliente, il risultato di tali attività non è sufficiente, non è sostenibile? Qual è il livello minimo accettabile?
Rispondere a questi due quesiti costituisce la base per determinare qual è il “perimetro critico” per l’azienda. Molti imprenditori e dirigenti aziendali sono convinti di avere già questa risposta, e potrebbe essere vero.
Ma rischiare il futuro della propria azienda in base alle proprie percezioni, è poco saggio.
Un approccio strutturato di individuazione di tale perimetro permette di selezionare tutti i processi e le attività realmente critici e non quelli “percepiti” come critici.
Processi importanti e di prestigio non necessariamente sono critici al mantenimento dell’operatività aziendale, mentre altri di mero supporto possono rivelarsi fondamentali.
Perché individuare e concentrarsi solo sui processi critici e non mettere in Continuità Operativa l’intera azienda? La risposta è semplice, perché è costoso e poco pratico strutturare e gestire tutta l’organizzazione per operare in continuità in caso di eventi critici. Sarebbe solo uno spreco di denaro e presumibilmente, data la complessità di gestione, non si raggiungerebbe il vero obiettivo. Ad eventi eccezionali, occorre dare risposte non ordinarie ma efficaci, senza sprechi di risorse.
Il passo successivo è quello di organizzare - in tempo di pace - i processi critici, le attività e le infrastrutture di supporto per gestire eventuali crisi e mantenere comunque, a fronte dell’incidente, quel livello minimo di servizio precedentemente determinato come fondamentale. Questa attività ha il suo culmine nella predisposizione del "Piano di Continuità Operativa" da utilizzare durante l’emergenza.
Benché si speri di non dover mai attivare un Piano di Continuità Operativa è indispensabile disporne, al fine di garantire l’adeguata attuazione delle misure di contenimento dell’evento critico e di ripresa delle attività operative, in quanto l’improvvisazione è spesso foriera di errori catastrofici che peggiorano la situazione e distruggono la reputazione aziendale.
La Continuità Operativa è quindi un “progetto” e, una volta completati i diversi task, ci si può considerare è a posto? Non proprio! Sicuramente la predisposizione di un Piano di Continuità Operativa può essere gestita come un progetto, ma il garantire la sua efficacia e idoneità nel tempo è un “processo”, rientrante nell’alveo dei processi di gestione dei rischi. È un processo vivo, come lo è la stessa azienda in cui esso è inserito.
Come tutelarsi? Anche questo dipende dalle circostanze: a volte basta organizzare un piano di contingenza, a volte basta assicurarsi, a volte serve adeguare la tecnologia. Ogni organizzazione è diversa, il proprio business è particolare, quindi solo un’attenta valutazione del contesto e degli obiettivi aziendali permette di definire il proprio Piano di Continuità Operativa.
Chi ha bisogno di Continuità Operativa? Le aziende manifatturiere, o le aziende operanti sul mercato finanziario? Chi eroga servizi diretti al consumatore finale o chi è parte di una Supply Chain? In realtà tutti noi operiamo già (anche inconsapevolmente) in continuità operativa. Dotarsi di una assicurazione medica, di un paio di chiavi di scorta, di candele per sopperire ai black-out casalinghi, sono tutte misure che cercano di risolvere eventuali problemi operativi permettendoci di proseguire, più o meno efficacemente, con le nostre attività.
In definitiva, quindi, chi ha bisogno di Continuità Operativa? Ogni organizzazione che ha delle attività la cui interruzione prolungata provoca danni (economici, legali, contrattuali, di immagine) difficilmente tollerabili per la sopravvivenza stessa dell’organizzazione. Il tempo è il fattore determinante; se ci si può permettere di fermarsi, allora non c’è necessità; se invece c’è una diretta relazione tra tempo di fermo e impatti sull’organizzazione, allora ci si deve adeguatamente tutelare.
Quale approccio è consigliabile ad un’azienda che voglia capire in che modo affrontare e gestire la continuità delle proprie attività anche in presenza di eventi critici? Da parte di un consulente sembra banale sentirsi dire di rivolgersi a degli specialisti. Tuttavia questa è la via migliore da seguire in quanto - come per tutte le attività connesse alla gestione dei rischi - disporre di una struttura dedicata a queste tematiche risulta molto dispendioso e spesso non così efficace; è pur tuttavia pretenzioso, oltre che rischioso, pensare di poter affrontare una tematica così complessa e importante totalmente al proprio interno.
LA CONVENZIONE
Security Lab Advisory Sagl - società partner di AITI Servizi - rappresenta un centro di competenza, in Ticino, in materia di Continuità Operativa e di Cybersecurity Governance. Essa opera dalla propria sede di Lugano e a stretto contatto con i propri clienti. I suoi titolari - Alberto Redi e Siro Migliavacca - sono a disposizione degli associati AITI, FIT e ATIO per un incontro preliminare di approfondimento, senza alcun impegno. Agli stessi associati, vengono riconosciute ed applicate delle tariffe preferenziali.
Sul sito (www.sec-lab.com) ci sono i riferimenti per il contatto telefonico e un form da compilare per la richiesta di un incontro.