La pianificazione della Business continuity (BC), anche chiamata continuità operativa, rappresenta un metodo sistematico per valutare come i processi di business vengono amministrati, in particolare alla luce degli obiettivi di business dell’azienda.
Cos’è la business continuity: plan e management della continuità operativa
I business continuity plan e il business continuity management sono considerati dalla direzione come un vero test del modo in cui la società viene gestita. E, soprattutto, contribuiscono a individuare le aree che necessitano di un miglioramento.
Se pensate di creare un audit per la vostra strategia di business continuity, considerate che il processo può richiedere molto tempo, soprattutto in termini di pianificazione. Difatti, un’efficace revisione della business continuity richiede un quadro strutturato di controllo e l’impiego di uno staff qualificato per risultati di qualità.
In questo articolo, proponiamo un framework basato sul British Standards Institution BS 25999, Parte 2, e le più rilevanti attività di supporto per un audit di successo. I programmi di audit della business continuity, e i piani a loro associati, e la documentazione inerente un parametro misurabile assicurano che il programma sia coerente con le prassi e i controlli caratteristici dal settore.
Come fare business continuity: le operazioni di audit
Un programma interno di audit effettua le seguenti operazioni:
- delinea le attività da eseguire,
- fornisce i riferimenti per il lavoro (le informazioni utilizzate nel corso della revisione, come per esempio i documenti di pianificazione e i risultati delle attività),
- identifica la persona che ha effettuato l’audit e che l’ha approvato
- comprende una sintesi delle note necessarie per eventuali chiarimenti.
Quale guida generica di un audit, si può utilizzare una tabella o un foglio di calcolo, come quelli disponibili in Microsoft Word o Excel. Nella colonna sinistra della tabella del vostro documento di analisi, definite gli step individuali dell’audit. Nelle altre colonne inserite le iniziali dell’auditor o di chi effettua le approvazioni e tutte le note di sintesi, dando così origine a una matrice o a una struttura tabellare che comprenda tutte le attività del vostro programma.
I passi di un business continuity plan nel dettaglio
L’audit della business continuity dovrebbe seguire il flusso e la metodologia del tipico approccio all’audit interno basato sul rischio. In termini di metodologia, la maggior parte degli audit interni segue una serie di passi iterativi inerenti i seguenti temi:
- Comprendere e documentare i processi e le procedure della funzione o dell’area sottoposta all’audit.
- Definire gli obiettivi dell’area o della funzione che deve essere sottoposta a audit.
- Definire i rischi o le minacce per il conseguimento di tali obiettivi.
- Comprendere i controlli in atto per ricondurre i rischi a un livello accettabile.
- Testare i controlli per una progettazione e un’efficienza operativa adeguate e/o quantificare l’impatto delle carenze nei controlli o di eventuali lacune.
- Creare dei report dei risultati e fornire raccomandazioni per il controllo e/o i miglioramenti nell’efficienza operativa.
- Controllare e segnalare le iniziative di mitigazione operabili dal management nei confronti delle carenze nei controlli identificate e che sorpassano il livello di tolleranza di gestione del rischio.
Le 4 fasi del processo interno di audit
Queste attività rientrano generalmente in una delle quattro fasi tipicamente associate al processo interno di audit. La pianificazione, la ricerca sul campo, il reporting e il follow-up. Allineando le attività del programma di audit della business continuity con queste categorie e step si assicura di portare a compimento con successo il processo di audit.
Le attività e i test eseguiti nel corso di un audit della business continuity possono discostarsi dal piano originale, basato sui risultati del proprio lavoro di audit. In questo senso, non abbiate paura a modificare le attività correnti fino a quando non saranno coerenti con gli obiettivi di controllo globale dell’audit. E comunicate sempre le attività al management.
Esempio concreto su come fare un audit di business continuity plan e garantire continuità del business
Per aiutarvi a condurre un audit di business continuity significativo, la seguente tabella fornisce esempi di attività chiave di audit. La tabella è stato adattato da BS 259.990, Parte 2, che è ampiamente considerato come un utile strumento di controllo.
Business Continuity Management System (BCMS)
- Sviluppare, implementare, manutenere, migliorare e documentare un BCMS
- Individuare i prodotti e i servizi inerenti il BCMS
- Garantire il supporto al management per la gestione della business continuity attraverso la creazione di policy
- Individuare e garantire le risorse necessarie per il BCMS
- Identificare e documentare i ruoli, le responsabilità e le competenze necessarie al BCM
- Designare una persona che supervisioni il programma di BCMS
La Business Continuity nella cultura dell’organizzazione
- Definire le attività di sensibilizzazione nei confronti del programma di business continuity
Documentazione inerente il BCMS
- Documentare i piani, le politiche, la Business Impact Analysis (BIA), l’analisi dei rischi e le altre informazioni pertinenti
Implementazione e funzionamento del BCMS
- Condurre una BIA per identificare le attività aziendali più critiche, le potenziali minacce, l’impatto finanziario, operativo e competitivo di un incidente e come la società dovrebbe affrontare le minacce
- Effettuare una valutazione dei rischi per individuare e comprendere le minacce e le vulnerabilità.
- Determinare in che modo l’azienda può affrontare i rischi identificati. Per esempio: li può accettare li deve ignorare e/o deve avere un’assicurazione
Strategie di business continuity
- Definire delle strategie di recovery e in risposta agli eventi che incidono sul business, di intervento in caso di emergenza, per la gestione dei rapporti esterni ed interni, per la gestione dei fornitori e il supply chain management
Business continuity e piani correlati
- Sviluppare ed elaborare i processi a livello di pianificazione per il recovery dagli incidenti individuati; garantire che i piani abbiano dettagliati elenchi di contatti; supportare gli obiettivi di business; stabilire chiaramente i ruoli e le responsabilità e individuare le sedi di recovery primario e alternativo
- Sviluppare e documentare i piani di gestione delle emergenze, i piani di risposta a un incidente, i piani di facility management e altri documenti a livello di processo
L’esercizio, la manutenzione e la revisione
- Garantire che il programma di business continuity e dei documenti associati sia attivo attraverso aggiornamenti, revisioni e auditing periodici.
Controllo da parte del management
- Garantire che i senior manager abbiano possibilità di rivedere e approvare il programma di business continuity
- Istituire un processo per aggiornare e migliorare il programma e i progetti ad esso associati attraverso il change management o altre tecniche approvate
- Dar vita a un programma di azioni correttive e di miglioramento continuo per i progetti
La creazione di un programma di audit della business continuity di alta qualità richiede pratica e pazienza. Tuttavia, se si seguono le linee guida e i consigli riportati in questo articolo, ci si troverà in una zona molto avanzata della curva di conoscenza e in un’ottima posizione per condurre un audit di successo.
Disaster recovery e business continuity, spiegazione sintetica di 2 aspetti imprescindibili per il buon funzionamento delle aziende
Se, come abbiamo visto nel dettaglio, la definizione di business continuity fa riferimento alla capacità di mantenere la funzionalità operativa nel caso si verifichino eventi che la minaccino, con Disaster recovery si intende riprendendo la definizione di Wikipedia “… l’insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare sistemi, dati e infrastrutture necessarie all’erogazione di servizi di business per imprese, associazioni o enti, a fronte di gravi emergenze che ne intacchino la regolare attività”.
Business continuity e un piano di disaster recovery sono quindi un esempio di due aspetti correlati e importantissimi per tutte le aziende.
Il ruolo dell’edge computing nella continuità operativa
Tra i vantaggi generati dall’adozione di una soluzione di edge computing (in sintesi: sfruttare i dati raccolti dai sistemi IIoT, l’incremento delle possibilità di controllo e monitoraggio, ridurre drasticamente i problemi di latenza e creare opportunità per offrire nuovi servizi a valore) vi è anche quello di migliorare l’affidabilità della infrastruttura e, quindi, le prestazioni aziendali.
In particolare, grazie alla tecnologia edge computing è possibile aumentare l’efficienza mediante le analisi in tempo reale dell’infrastruttura che individuano immediatamente situazioni anomale per garantire il più possibile continuità operativa. Non solo, intendendo con business continuity la capacità di mantenere l’esecuzione dei processi core in situazioni di crisi limitando i disservizi, un’infrastruttura IT basata su edge computing rappresenta una opportunità interessante. Una infrastruttura distribuita, infatti, consente, da un lato, distribuzione dei rischi e, dall’altro, di evitare paralisi delle attività.
Gli UPS: alla base della business continuity
Tra le infrastrutture di riferimento per assicurare business continuity vi sono gli UPS (Uninterruptible Power Supply). Essi sono dei device che garantiscono alimentazione elettrica di riserva e supplementare nel caso si verifichino disservizi nella rete o addirittura blackout.
Guardando in particolare ai data center, è sufficiente un calo di tensione dell’elettricità per determinare danni alle apparecchiature e mettere in pericolo i dati immagazzinati. L’utilità degli UPS è dunque evidente.
Qual è il costo della business continuity
È molto difficile stimare il costo della business continuity, essendo tantissime le variabili da considerare.
Il processo di valutazione delle spese necessarie per garantire continuità operativa parte dalla business impact analysis. Questa poi deve condurre al disegno del piano di business continuity. E quindi a stabilire gli elementi di cui si ha bisogno per attuarlo, rendendo efficace la propria strategia in quest’ambito.