La disponibilità delle informazioni è un’area spesso trascurata nel settore della sicurezza IT.
L’istituzione di un forte programma di business continuity, per avere successo richiede l’integrazione stretta tra un’azienda e la sua funzione IT.
Di seguito sono riportati alcuni consigli pratici su come costruire un programma completo di business continuity e disaster recovery.
Lo scenario
Nell’odierna economia globale, ogni aspetto delle operazioni di una società è vulnerabile alle interruzioni, con rischi e costi che si estendono ben al di là della funzione IT.
I programmi di gestione della continuità operativa (BCM – Business Continuity Management) sono molto più complessi di quanto, in realtà, non serva alle aziende. Un programma di BCM globale deve includere un quadro di riferimento completo, nonché la definizione dei processi utili a gestire una risposta coordinata all’eventualità che si verifichi un incidente. Deve, inoltre, massimizzare la protezione dell’organizzazione della società, ridurre il rischio di perdita di dati e, soprattutto, operare come un programma “live” che sia in grado di adattarsi, migliorare e integrare gli insegnamenti tratti dalle esperienze passate.
L’esperienza del mercato mostra che la ragione più comune per il fallimento di un programma di BCM è la mancanza di integrazione con le policy relative alla governance e lo scarso allineamento rispetto alle iniziative di IT disaster recovery (ITDR). Le disparità tra le due strategie possono ostacolare il recupero tempestivo dell’operatività di un’organizzazione dopo un incidente.
Nonostante gli evidenti benefici, la creazione di un programma omnicomprensivo, che istituisca un modello integrato di governance per i programmi di BCM e ITDR, non è un compito semplice.
Secondo l’ultima Global Information Security Survey di Ernst & Young, infatti, il 17% delle imprese intervistate ammette di non avere un programma di questo tipo in atto. Inoltre, tra le aziende che hanno attuato un programma simile, solo il 25% ritiene che questo tipo di soluzione rifletta una leading practice approvata dall’alta direzione, con linee guida e standard precisi, ruoli, responsabilità, tecniche e strumenti definiti.
Nonostante la maggior parte delle organizzazioni abbia attuato un qualche tipo di continuity plan, sono poche quelle che riescono a vantarne uno che non abbia sortito problemi a livello di governance. Per le organizzazioni che non hanno alcun piano in atto, d’altra parte, le statistiche sono allarmanti: gli studi dimostrano che il 40% delle imprese in cui si verifica un disastro chiude nel giro di cinque anni. Per le organizzazioni che rispondono in modo efficace alla gestione di un disastro, un fattore critico di successo è il forte impegno profuso dalla dirigenza, unito alla creazione di un piano BCM e alla definizione di chiari processi di governance.
Il sostegno alle imprese
Ma come possono le aziende mettere in atto dei piani di BCM e ITDR che siano in grado di coinvolgere tutto il business?
La prima condizione per far sì che questi piani rappresentino un’iniziativa strategica è diffondere tra i dirigenti la convinzione che affrontare le sfide che la loro attuazione pone dovrebbe essere una priorità per loro. Implementare una forma di limitazione dei danni “collaterali” di un disastro aiuterà le organizzazioni nel loro complesso a sviluppare una struttura di gestione integrata ed efficace e, di conseguenza, a promuovere una migliore comprensione dell’organizzazione, riducendo i costi, proteggendo meglio reputazione e marchi e sostenendo al meglio le attività vitali.
Non va, poi, dimenticato che i piani di BCM e ITDR devono essere guidati da obiettivi che coinvolgano l’organizzazione nel suo complesso. Solitamente, invece, queste iniziative sono eseguite sulla base di un approccio frammentato, gestite “in silos” a livello di singoli dipartimenti, con priorità spesso disallineate. Un programma di successo deve necessariamente prevedere una governance integrata che promuova una comunicazione efficace tra l’azienda e il suo team IT e tra il gruppo di lavoro del programma di BCM e i dirigenti.
Inoltre, le aziende devono tenere a mente che un programma di BCM è un processo continuo e che i piani messi in atto devono tenere il passo con esigenze aziendali in continua evoluzione. Per questo, dovrebbero tener conto di tutti gli aspetti che ne subiscono le ricadute, dai cambiamenti organizzativi a quelli necessari a livello di infrastruttura IT, ma dovrebbero anche prevedere l’eventuale turnover di esperti in materia di disaster recovery.
Infine, i piani in atto dovrebbero sostenere la transizione rapida che questi cambiamenti richiedono attraverso un processo di change management. Ciò contribuirà a garantire che siano stati identificati i cambiamenti da apportare, che siano stati sottoposti a revisione i rischi possibili e che siano state apportate le modifiche essenziali ai piani di DR esistenti.
Un programma sostenibile dovrà continuamente identificare e gestire i rischi organizzativi attraverso la revisione periodica delle strategie, la rivalutazione continua delle minacce e dei rischi e la messa punto costante di nuovi piani e metriche. La governance deve anche agevolare il trasferimento delle conoscenze e della consapevolezza del problema lungo tutta l’organizzazione e la promozione di una cultura della gestione proattiva del rischio.
