Iscriviti a ZeroUno Club
Se sei gia iscritto ... USER PASS
Hai perso la password?
  Ricerca avanzata  
03 September 2010
ESPERIENZE UTENTI
PROGETTI SPECIALI
EVENTI ZEROUNO
APPROFONDIMENTI
 Informazioni e conoscenza
 Tecnologie di comunicazione
 Ict e competizione
 Ricerca e innovazione
 Universo Pmi
 Risorse umane
 Strategie fornitori
Advertisement
Advertisement
 
Advertisement
 Community_  it governance  
L’impianto della Business Continuity in azienda: problematiche e suggerimenti
 

di Anthony Cecil Wright (1)

La business continuity è una materia tra le più complesse e la relativa “giovinezza” rende più arduo il lavoro di chi ne è responsabile. Il secondo articolo della serie dedicata a queste tematiche, realizzata in collaborazione con Clusit, ne analizza gli aspetti organizzativi (2)

 

 
ZeroUno - 06/04/2007

Nel numero di gennaio-febbraio, abbiamo esaminato la gestione della continuità operativa nelle sue linee generali, ed è stato ampiamente trattato il tema del disaster recovery.
La business continuity, anche chiamata “continuità operativa”, è una materia le cui peculiarità vanno conosciute in modo approfondito, onde evitare di sviluppare un impianto organizzativo che non raggiunga gli scopi prefissati e perda progressivamente di rilevanza, mettendo così a rischio la sicurezza aziendale.
È necessario tener presente, infatti, che la business continuity si occupa del ripristino dei processi vitali e critici alla sopravvivenza dell’azienda, in caso di eventi “estremi”, ossia di quegli eventi disastrosi che hanno una probabilità di accadimento estremamente bassa o addirittura nulla, ma le cui conseguenze possono mettere fuori mercato un’azienda. A fronte di incidenti e catastrofi anche di ampia estensione e durata, la continuità di un’azienda dipende dalla sua capacità di individuare quanto necessario per far ripartire i processi critici in tempi tali da contenere le perdite e si concretizza nella redazione di piani di gestione dell’emergenza; questi devono essere coerenti con i possibili scenari e il livello di accettazione del rischio (cosiddetto “risk appetite”) dell’azienda.

Continuità operativa: materia complessa
Il disaster recovery richiede considerevoli investimenti per la duplicazione dei sistemi Ict e la conservazione dei dati, ed esiste ormai una metodologia di approccio consolidata, dove due parametri essenziali guidano le scelte: la perdita massima accettabile dei dati e il tempo di ripartenza. Da questi ne discende il costo della possibile soluzione. La continuità operativa, invece, è più complessa sia per la relativa novità sia perché basata su aspetti tecnici, organizzativi, di analisi del rischio, quali: la definizione dei possibili scenari di rischio, la previsione di gravi minacce che possono interessare l’azienda, l’identificazione e la rimozione tempestiva di vulnerabilità sfruttabili dalle possibili minacce, la valutazione economica dei danni, e, non ultima, la sensibilità dell’azienda – a tutti i livelli – nei riguardi della pianificazione e gestione delle problematiche di continuità del business.
La business continuity è pertanto una materia tra le più complesse e la relativa “giovinezza” rende più arduo il lavoro di chi ne è responsabile.
In passato, essa veniva confusa con il disaster recovery, e solo in un caso, a mia memoria, vi è stata la redazione di piani di emergenza che hanno interessato anche aspetti non strettamente legati all’Ict: la transizione all’anno 2000. In quel caso fu considerata l’assenza di energia elettrica, comunicazioni, ascensori, ecc. o il blocco – per esempio – di porte di sicurezza; non fu considerata però, come possibile, la perdita di un consistente numero di persone.
L’attenzione alle persone, documenti, infrastrutture, indispensabili per la prosecuzione dei processi critici dell’azienda, ha avuto una svolta in occasione dell’11 settembre, inteso come segnale di allarme per un pericolo terroristico che, diretto all’Occidente, può colpire in maniera spietata l’intera azienda. Un’ulteriore spinta è venuta dalla epidemia Sars in Oriente, dove molte aziende non hanno potuto consegnare i prodotti richiesti, per assenza di personale, avendo alcuni dipendenti contratto l’infezione (vedi il riquadro nelle pagine successive per alcune riflessioni su questa tipologia di scenario).
Se nel caso del disaster recovery si duplicano le reti e i sistemi in modo da riprendere al più presto l’operatività, e ciò a costi piuttosto elevati, nel caso del recovery di processi che vedono coinvolte migliaia di persone, il costo complessivo può assumere valori altissimi. Da non trascurare è, inoltre, l’aspetto umano, sia dal punto di vista dello scetticismo di fronte ad eventi mai accaduti in passato, sia della preoccupazione per il proprio posto di lavoro quando, ad esempio, si sceglie di istruire su un determinato processo operativo il personale residente in un’altra sede o addirittura un outsourcer. Se non ben affrontata, questa possibile soluzione (già attuata da alcune banche) può ingenerare conflittualità interne.
La business continuity, ai fini di un corretto bilanciamento rischi/costi, impone una complessa attività di analisi degli impatti - conseguenti a eventuali disastri - e di individuazione delle soluzioni che riescono a ridurre le conseguenze di tali disastri a livelli accettabili dall’azienda e coerenti con i costi da sostenere.
Per citare l’esperienza nel settore bancario, i cui studi sull’approccio alla business continuity sono iniziati nel 2002, risulta che, fatta cento la spesa complessiva per il rafforzamento della continuità di business post 11 settembre, l’impianto della  business continuity ha rappresentato solo qualche punto percentuale, rimanendo il grosso degli investimenti e costi nell’ambito del disaster recovery.
Questo dato indica che la business continuity può essere implementata e manutenuta a costi estremamente contenuti: ciò nella misura in cui è attuata dopo una corretta ed esauriente attività di pianificazione e un’elevata attenzione, nella fase realizzativa, a tutti i principali fattori, non ultimo, se non per primo, al fattore umano (per maggiori informazioni sui progetti affrontati dal sistema bancario italiano, si veda il riquadro di queste pagine).
Tutto ciò premesso, è chiara la necessità di affrontare e gestire, fin dalla sua impostazione, l’ambito di azione della business continuity, ossia, di decidere - in modo condiviso da tutta l’azienda - su aspetti rilevanti, quali il perimetro orizzontale e verticale di pertinenza e ruoli e responsabilità delle singole funzioni aziendali. L’output finale come sappiamo è la redazione e manutenzione dei piani (si veda il riquadro “La stesura del business continuity plan”).

Gli aspetti organizzativi più importanti
Prima di affrontare, nei prossimi articoli, alcuni degli aspetti metodologici e tecnici più delicati, è importante esaminare gli aspetti organizzativi di maggiore rilevanza.
Immaginiamo la seguente domanda: “se dovessimo scrivere un decalogo per il Business Continuity Manager, che cosa gli suggeriremmo?”. È una domanda impegnativa, proviamo a rispondere:

  1. se già non esiste, richiedere la sponsorizzazione di un referente ad alto livello nell’azienda, possibilmente un membro del Consiglio di Amministrazione;  una “sponsorship” a così alto livello sarebbe coerente con il disegno della BCM (Business Continuity Management) e sarebbe in linea con le “best practces”, che prevedono che il Business Continuity Plan (BCP) e il budget siano approvati dal  CdA (le banche hanno adottato questo modello);

 2. coinvolgere fin dall’inizio i preposti alle funzioni aziendali più utili nella valutazione delle misure di emergenza e recovery in un comitato guida di frequente consultazione; per esempio: Risorse Umane, Rischi, Compliance, e chiaramente, Organizzazione e Sistemi Informativi. È ovvio che stiamo qui immaginando che il BCM sia esterno a uno di tali ambiti organizzativi e posizionato, per esempio, nell’area della Sicurezza (Fisica e Ict) e degli Immobili/Logistica, ovvero, in staff alla Direzione Generale;

 3. istituire un comitato per la business continuity di elevato livello a cui riportare gli stati di avanzamento e le proposte del comitato guida, al quale sottoporre le relazioni che successivamente verranno portate in CdA;

 4. adottare un approccio graduale: è meglio proteggere in poco tempo un primo nucleo di processi vitali o altamente critici piuttosto che pianificare il recovery di tutti i processi critici già in una prima fase. Questo anche per una ragione legata al tempo. Infatti, un corretto bilanciamento costi-rischi richiede tempo – necessitando, tra l’altro, dell’accettazione della soluzione proposta da parte delle funzioni aziendali interessate – e nel frattempo, l’esperienza insegna che avvengono dei cambiamenti sia nell’organizzazione che nel sistema informativo, che provocano rallentamenti, distrazione di risorse, ecc.;

 5. decidere quali eventi non coprire con misure preventive;  è chiaro che i costi cambiano a seconda dell’estensione, durata e gravità dei disastri dai quali proteggersi. Una possibile scelta è quella di delegare l’intervento di recovery e dei processi critici, alle procedure di gestione della crisi (cosiddetto ”Crisis Management”, CM). Il rischio residuo va valutato e formalmente approvato dal vertice aziendale. In questi casi un’addizionale misura da valutare è quella di stipulare una polizza assicurativa per la copertura dei danni indiretti (facendo attenzione alla franchigia);

 6. nel caso di un gruppo aziendale, decidere se la BCM è accentrata o decentrata. Ci sono pro e contro abbastanza equivalenti (la questione va valutata attentamente caso per caso);

 7. decidere se nella figura del BC Manager sono incluse le responsabilità del disaster recovery e della gestione della crisi. Anche in questo caso ci sono pro e contro che si equivalgono. Molto dipende dal tipo di organizzazione, dalla storia aziendale, ecc.; salvo eccezioni, personalmente sarei per la coincidenza dei due ruoli;

 8. stabilire fin dall’inizio i ruoli e le responsabilità nella BCM: ciò è molto utile per la fase di design nel progetto per la realizzazione del BCP. Infatti agevola a realizzare la corrispondenza fra il progetto e le funzioni aziendali coinvolte. Non è un’attività semplice, in quanto gli attori coinvolti sono tanti: dalle Business Unit alle Risorse Umane; dall’ICT alla Logistica; dai Rischi Operativi alla Compliance; dal Legale alle Comunicazioni; senza trascurare le terze parti coinvolte (outsourcer, fornitori, ecc.);

 9. dice un adagio neozelandese: “keep it simple”: evitare di creare complicazioni inutili. Qualche esempio: privilegiare le opzioni attuabili con il minor sforzo; limitare l’attività produttiva all’essenziale (ciò consente di ridurre le richieste di recovery in termini di sistemi e persone); affrontare i test con gli utenti con la dovuta gradualità, inclusi quelli congiunti con il disaster recovery, facendo molta attenzione a non produrre danni all’attività produttiva (la raccomandazione è d’obbligo, visti alcuni precedenti);

 10. nella valutazione delle possibili soluzioni di mitigazione del rischio, tenere sempre a mente che ci sono varie opzioni alternative al “fare in casa” (l’outsourcing, stipulare una polizza assicurativa, individuare sinergie con altre aziende, ecc.), fra le quali non ultima è quella di decidere di non far nulla ed accettare (formalmente) il rischio residuo.

Alcuni di questi aspetti li esamineremo nel prossimo articolo, nel quale cercheremo anche di rispondere ad interrogativi relativi alla validazione di criticità di un processo di business e dei suoi requisiti per la continuità; la scelta del sito (o dei siti) di recovery; la stima della probabilità di accadimento di un determinato disastro; il coinvolgimento delle Unità Organizzative; ecc.

(1) Anthony Cecil Wright, specialista nell’area dello sviluppo dei Sistemi Informativi e Sicurezza ICT, è oggi dirigente del Gruppo BNP Paribas dove si occupa di continuità operativa. È autore di testi d’informatica e ha esercitato attività di docenza nella Facoltà di Ingegneria di Roma e nella Scuola di Polizia Tributaria della Guardia di Finanza. È presidente dell’Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria (Anssaif) nonché socio Clusit.

(2) Il primo articolo della serie dedicata alla business continuity e al disaster recovery, realizzata in collaborazione con il Clusit, è disponibile sul sito www.zerounoweb.it nell’area sicurezza.

LA STESURA DEL BUSINESS CONTINUITY PLAN
Come sottolineato nell’articolo pubblicato nel numero di gennaio di ZeroUno, al centro del BCP (Business Continuity Plan) ci sono i processi di business e in particolare quelli critici per l’azienda la cui interruzione può portare a significative riduzioni dell’operatività complessiva.  Per questi processi critici vanno definite delle “strategie di recovery” che permettano di ripristinare l’operatività in termini e modi compatibili con le esigenze dei processi.

L’azienda deve quindi adottare:  

• misure preventive (ad esempio: spazi, scrivanie, computer,

telefoni, fax, ecc. ideonei;  copia dei documenti rilevanti, ecc. tutti  in un altro sito, adeguatamente distante da quello impattato e pronti all’uso), 

• misure di emergenza,

• misure per il ritorno alla normalità.

I piani di continuità, da redigere, devono tenere conto dei possibili scenari, che sono correlati a fattori quali: la dislocazione geografica dell’azienda (zona sismica, alluvionale, vicino al mare, ecc.),  la vicinanza ad insediamenti pericolosi (aeroporti, industrie chimiche, obiettivi sensibili, ecc.), l’attività espletata (per esempio, rischio di atto terroristico),  la dipendenza da terze parti (come outsourcer, principali fornitori, blackout elettrici o delle telecomunicazioni, ecc.), epidemie (come Sars, aviaria, malaria, ecc.), una particolare situazione interna all’azienda (rischio sabotaggi) e così via, senza trascurare casi quali il rischio di: incendio dell’intero edificio o di parti essenziali dello stesso, rottura di condutture idriche, ecc. La conseguenza è l’interruzione prolungata delle attività e l’impossibilità di consegnare un prodotto a causa della indisponibilità del luogo ove si svolge il lavoro, la perdita di dati, la perdita di documenti essenziali, la perdita di persone indispensabili per proseguire l’attività. (A.C.W.)

I PROGETTI DELLE BANCHE ITALIANE
Per quanto riguarda il settore bancario, lo studio teso a comprendere a fondo gli obiettivi e i possibili approcci alla business continuity è iniziato a fine febbraio 2002, con lo stimolo alla creazione di gruppi di lavoro da parte della Banca d’Italia. Nei due anni di preparazione (2002-2004), le banche hanno potuto raccogliere informazioni su quanto realizzato o in corso di realizzazione all’estero, anche grazie all’aiuto dell’ABI;  hanno potuto così ragionare su un approccio comune a questa nuova tematica: ciò ha consentito alle banche di redigere una metodologia comune.
Importanti contributi ai lavori sono provenuti dalle strutture tecniche (uffici sulla sorveglianza dei prodotti e dei mercati finanziari) della Banca d’Italia e dalla CIPA (Convenzione Interbancaria per i Problemi dell’Automazione).
Un ruolo non trascurabile ha avuto Anssaif (Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria) nello scambio di informazioni tra gli addetti ai lavori.
I progetti attuativi sono iniziati a metà 2004 e sono terminati lo scorso mese di dicembre. Ci sono quindi voluti quattro anni per lo studio, la pianificazione e la realizzazione del Business Continuity Plan (BCP). Questo è indicativo della complessità del tema che stiamo trattando, e del perché si siano potuti realizzare piani di continuità a costi estremamente contenuti.
Senz’altro, pur rimanendo ogni Banca sovrana delle sue decisioni, un forte contributo è venuto dalla Banca d’Italia la quale, mediante le Linee Guida emesse il 15 luglio 2004 dopo un congruo periodo di consultazione con le banche, ha dato un indirizzo programmatico, fornendo ampie indicazioni sul possibile approccio alla continuità operativa e gestione dell’emergenza, ma soprattutto enfatizzando e precisando puntualmente il ruolo essenziale del vertice aziendale nella sponsorizzazione di un così innovativo e significativo progetto, nella approvazione dei piani di gestione dell’emergenza, nell’accettazione del rischio residuo, nell’allocazione delle opportune risorse umane, economiche, infrastrutturali, ecc.
Una recente consultazione a livello europeo ha messo in luce non pochi aspetti positivi, se non innovativi, delle istruzioni emesse dalla Banca d’Italia.
Per completezza informativa, sembra che ora, terminata la prima fase, stiano per essere emesse nuove istruzioni più restrittive nei confronti di quegli intermediari che hanno un forte peso nel sistema finanziario italiano. Ciò è coerente con l’approccio graduale adottato dalla nostra Banca Centrale. (A.C.W.)

AVIARIA: CHE “C’AZZECCA” CON L’ICT?
La prima reazione a questa parola è senz’altro: “ci risiamo! Ma se tutti sanno che è un’invenzione!”. Non ci pronunciamo al riguardo, ma citiamo solo il caso - apparso su uno dei più letti quotidiani nazionali - della messa in quarantena di un intero blocco di palazzi (circa 2.000 persone), a Bucarest, perché si era registrato un possibile caso di H5N1.
Non siamo in Romania, d’accordo, ma poniamoci una questione: mettiamo il caso che un vostro collega, al ritorno da un periodo trascorso in Indonesia o in Turchia o in Egitto, dia  segni di influenza aviaria e la ASL vi mandi tutti a casa per un congruo periodo (i colleghi che condividevano la stanza li manda all’ospedale). Chi farà le consegne dei prodotti? Chi emetterà gli ordini? Chi gestirà i clienti e i fornitori?  Lo ritenete un rischio accettabile? Per quanti giorni? L’azienda può permettersi di rimanere ferma per una settimana? Con quali costi? E se fosse  per quaranta giorni?
Il Joint Forum del Comitato di Basilea ha recentemente ricordato l’esperienza acquisita ad Hong Kong nel 2003 in occasione della diffusione della Sars. Le persone ammalate furono circa 1700 e i morti 300. Tante aziende dovettero chiudere i locali per la disinfestazione e molti dipendenti furono ospedalizzati per settimane. I danni furono elevati.
Come ci ha ricordato recentemente, in un convegno del Clusit, il prof. Antonio Borghesi, il 40% delle aziende fallisce nei due anni successivi a un evento disastroso. Molti di noi non ci pensano. Qualora dovesse scoppiare un’epidemia - la Organizzazione Mondiale della Sanità segnala casi mortali di Ebola, Tubercolosi, Malaria, Aviaria -, l’assenza di un piano richiederebbe l’adozione di misure di emergenza da improntare al momento. Quanto costa stendere un piano da mettere in pratica in caso di accadimento? Costo quasi nullo (consulenza e costi interni). Realizzare un piano di continuità in caso di epidemia aviaria, vuol dire sapere in anticipo quale misure di emergenza adottare nel caso si verificasse un’epidemia grave. Vuol dire però anche ragionare sulla situazione attuale delle risorse umane impegnate in aree critiche o vitali per la sopravvivenza dell’azienda.
Vuol dire, per esempio,  domandarsi: se Mr. X e Mr. Y che stanno nella stessa stanza e sono gli unici a consentire di produrre “K” si dovessero ammalare, che faccio?
La business continuity vuol dire anche porsi le dovute domande e individuare la o le risposte possibili. Mettere in atto quindi le azioni opportune.
Nel caso dell’esempio citato, l’azienda può non prendere provvedimenti, oppure suddividere le persone “chiave” in ambienti distinti, oppure farli affiancare, anche sporadicamente, da una terza persona ai fini di creare un backup, e così via.
L’importante è averci ragionato sopra e che il Consiglio di Amministrazione sia d’accordo sul rischio accettato e sul rischio residuo. (A.C.W.)

  PDF formato pdf Stampa stampa E-mail invia ad un amico
Advertisement
Advertisement
Advertisement
Advertisement
Chi siamo
La redazione
Contattaci
Pubblicità
Credits
X
X