Diritto alla Business Continuity

11/09/2015

Per le piccole e medie imprese italiane, è tempo di considerare  i piani di  Disaster Recovery  o Business Continuity , come parte essenziale della propria strategia di impresa. Cioè la capacita di ripristino dell’attività e del proprio comparto IT in caso di eventi fortemente avversi, assunto come valore.

Laddove consideriamo la Business Continuity come parte della strategia più ampia di Recovery aziendale.
Come sempre poi la specificità italiana, con migliaia di piccole imprese disperse sul territorio, dalle  capacità individuali ridotte, deve anche su questo terreno favorire  l’adozione di servizi esterni e più in generale di includere nel piano aspetti collaborativi, per godere di economia di scala e di competenze altrimenti non usufruibili.

Con il termine BC, abbiam detto,  si intende il ripristino dei processi IT ,  essenziali alla salvaguardia dell’azienda dopo un avvenimento fortemente avverso.

Schematizziamo i luoghi dell’IT su cui intervenite :
  • L’efficienza della infrastruttura
  • La salvaguardia dei dati
  • L’accesso ad applicazioni o particolari hardwareo alla stessa building
Il nostro  piano deve garantire  la protezione e il ripristino di questi asset.
Ma un piano di Business Continuity non è un elenco di fattori, è innanzi tutto una strategia che  nasce dalla definizione dei diversi livelli di priorità degli asset da garantire,  stabilisce le aspettative  e  pianifica  le azioni di ripristino, includendo un dettagliato chi fa osa fra il personale.

Necessariamente il  piano deve  essere aggiornato  costantemente (CRA – Continuity Requirement Analysys ) e allineato con le strategie aziendali, la   evoluzione di tecnologie e la mutazione eventuale dei  processi , ed il personale deve essere coinolto in sessioni  necessarie di training.

Come accade in generale sulle tematiche della sicurezza aziendale, anche  i piani di BC  vengono spesso , una volta redatti , abbandonati.  Fanno parte di un valore aziendale a medio termine, che a breve non da soddisfazione,  non crea leadership interna. Ciò determina mancanze sul piano del coinvolgimento interno che diventa invece essenziale in caso di necessita. E’ quindi compito del board aziendale tenere sempre presente la strategia di DR/BC.

La strategia dovrà  focalizzarsi sugli asset e non sui possibili rischi,  sulla mitigazione dell’impatto anziché sulla analisi dei rischi potenziali che sono di infinita e imprevedibile quasi per definizione, origine.
Identificare, esaminare, selezionare, monitorare, implementare e controllare i rischi correlati alla propria attività e adeguarli alle priorità dell’azienda,  riducendoli nei suoi punti chiave. Questo il compito assegnato.

Il servizio IT delle aziende dipende da molti fattori. Persone facilities, vendors, tecnologie, database, hardware, software applicativi. Non tutte possono essere sempre disponibili.
Identificare in anticipo gli asset critici ci consente di mitigare i danni.
Non dobbiamo poi correre il rischio di considerare tutti gli asset e processi allo stesso modo, perché i tempi di ripristino varieranno solo in  funzione dei processi aziendali.

Un’azienda che sa ripartire dopo casi di avvenimenti fortemente avversi, e che magari dispone anche di piani alternativi di BC, è un’azienda che mostra al mercato una vitalità, una capacita organizzativa e più in generale una qualità che diventa un fattore competitivo vincente, che da garanzie essenziali a clienti e fornitori.

Le Certificazioni ISO 22301, 22313&22317 o la BS 25999 possono inoltre aggiungere  valore al nostro piano rendendolo definitivamente parte del patrimonio aziendale.

Un ruolo decisivo lo possono giocare i Services , gli MSP, che hanno molte deleghe operative  in particolare da parte della media e piccola impresa italiana.

Gli MSP devono essere parte di una strategia di BC, perché possono garantire quel tessuto collaborativo che la singola azienda per ragioni di dimensione o budget forse singolarmente non può  avere.  Ma gli MSP stessi devono a loro volta garantire SLA e continuità operativa.  Il forte sviluppo degli MSP,  può essere elemento trainante dell’attivazione di piani e strategia di Recovery e Business Continuity anche nella media e piccola impresa, attraverso l’assunzione di responsabilità del MSP stesso ed il suo coinvolgimento nella strategia dell’azienda cliente, senza dimenticare i ruoli di servizio immediato che già vengono svolti.  Un controllo remoto efficace può aiuta ad anticipare eventuali crisi del sistema informatico.  (Fonte: Giovanni Zanasca, http://www.bitmat.it/)