Il 2021 sarà l’anno della Business Continuity & dell’Operational Resilience
Scenario
Il 2020 è stato un annus horribilis. Ovviamente, la pandemia è stato il peggiore agente sovversivo che si potesse immaginare, ma non dimentichiamo altri fattori che hanno impattato sull’operatività delle organizzazioni e, precisamente: il numero delle catastrofi naturali che, secondo quanto rivelano diversi report statistici, a livello globale, è aumentato da 375 nel 2016 a 409 nel 2019; le perdite dovute a disastri naturali che, nel 2019, sono ammontate a circa 234 milioni di dollari; gli attacchi informatici durante la pandemia, tutti fattori che sono aumentati esponenzialmente.
Uno scenario del genere che ha costretto le imprese a cambiare il proprio modus operandi, ovvero a effettuare, per sopravvivere, un cambiamento completo nelle operazioni aziendali quotidiane, ad accettare la necessità di avvalersi del cloud, ad adottare una maggiore mobilità e nuove tecnologie digitali. Allo stesso tempo, l’agilità aziendale è diventata quasi sinonimo di trasformazione digitale, ovvero il processo di impiego di nuove tecnologie per modernizzare o addirittura rivoluzionare il modo in cui un’organizzazione opera. Di fatto, nuovi metodi di lavoro e l’adozione di un’infrastruttura di rete IT più performante si sono rivelati maggiormente efficaci ed efficienti rispetto a metodi tradizionali. Ne consegue che, per mantenere la continuità aziendale, sarà sempre più necessario dotarsi di un efficiente Business Continuity Plan (BCP – Piano di Continuità Operativa) e garantire l’Operational Resilience (Resilienza Operativa). La preparazione di un BCP costituisce una leva strategica fondamentale per qualsiasi azienda, grande o piccola che sia, oggi più che mai.
L’importanza del Business Continuity Plan (BCP)
Il Business Continuity Plan (BCP – Piano di Continuità Operativa) può essere definito come un protocollo di prevenzione e ripristino da minacce potenzialmente gravi alla continuità aziendale dell’azienda. Tale piano mira a soddisfare la necessità di norme aziendali aggiornate e standard operativi da adottare in circostanze imprevedibili come disastri naturali, violazioni/esposizioni dei dati, guasti di sistema su larga scala, ecc…
È interessante notare come dal report di Mercer “2020 Mercer Covid-19 Global Survey Coronavirus Impact to Global Market”, si evince che il 51% delle organizzazioni a livello mondiale non disponeva di un BCP, confermando come i principi della ISO 22301 di riferimento non siano ancora sufficientemente diffusi tra le organizzazioni.
La rilevanza del BCP è aumentata considerevolmente dopo il proliferare della pandemia, dato che si è rivelato essere un ottimo banco di prova per le organizzazioni – soprattutto per quelle che ne erano dotate – dimostrando di essere in grado di far fronte a queste circostanze rispetto a chi non aveva tali piani.
I piani di continuità aziendale riducono, di fatto, gli effetti negativi dell’emergenza o del disastro, contribuiscono a ridurre le perdite finanziarie e a mantenere i rapporti con i fornitori e con altre partnership commerciali. Il BCP distingue tra funzioni aziendali critiche e non critiche in quanto le funzioni aziendali critiche sono attività o processi che devono essere ripristinati per proteggere le risorse aziendali, soddisfare le normative e le esigenze dell’organizzazione. Ne consegue che, l’indisponibilità di funzioni aziendali critiche può influire sulle operazioni aziendali, il che, a sua volta, si ripercuote sulla capacità dell’organizzazione di servire i propri clienti e altre parti interessate e, grazie al BCP si delineano i requisiti di ripristino per ciascuna funzione critica e si comprendono, altresì, il periodo di tempo per la ripresa dell’operazione e i requisiti tecnici e commerciali per il ripristino.
Quali caratteristiche deve avere un BCP?
Un BCP deve avere le seguenti caratteristiche fondamentali:
- Essere completo: è necessario pianificare ogni possibile incidente o interruzione, riesaminando e rielaborando più volte il BCP considerando anche eventuali piani di riserva in modo tale da contemplare tutti i fattori che potrebbero dare luogo a “empasse”.
- Essere adattabile: – il fatto di rendere il BCP adattabile permette, all’occorrenza, di declinarlo e modificarlo in base alle circostanze contingenti. Ne consegue che diventi fondamentale mantenerlo e aggiornarlo continuamente.
- Essere realistico: è fondamentale e strategico rendere il BCP facilmente implementabile e realistico per essere prontamente attuato in caso di disastro.
- Essere efficiente: facilitare un’esecuzione efficiente del BCP permette di ridurre i livelli di stress del sistema e delle risorse umane durante un incidente/disastro facilitando, così, l’esecuzione dei compiti, nonostante l’ansia e la pressione aggiuntivi del momento contingente.
Differenza tra il Business Continuity Plan (BCP) e Disaster Recovery Plan (DRP)
Il BCP viene spesso confuso con Il Disaster Recovery Plan (DRP) che, invece, è principalmente incentrato sul ripristino dei sistemi e dell’infrastruttura IT. Il BCP, invece, contempla tutte le aree e le funzioni dell’organizzazione, comprese le funzioni delle risorse umane, del marketing e delle vendite e tutte le altre funzioni di supporto. Il concetto alla base del BCP è che i sistemi IT difficilmente possono funzionare in silos; pertanto, anche altri reparti devono essere ripristinati per soddisfare il cliente o per soddisfare le esigenze aziendali. Ovvero: un DRP si concentra esclusivamente sul ripristino dell’infrastruttura IT di un’organizzazione riducendo al minimo la perdita di dati; mentre il BCP fornisce le indicazioni su come continuare la missione aziendale e le operazioni business-critical durante un periodo di interruzione non pianificata, i.e. sia che si tratti di disastri naturali, pandemie o attacchi cyber.
I principali vantaggi di avere un BCP
- Continuare le operazioni aziendali durante una crisi e aiutare a ridurre le perdite finanziarie, dimostrando alle parti interessate – inclusi dipendenti e clienti – la stabilità dell’organizzazione. Ne consegue che la comunicazione in tutta l’organizzazione ricopre un ruolo fondamentale per mantenere tutti gli attori coinvolti informati e aggiornati. Inoltre, in un contesto globalizzato e con molti dipendenti che lavorano in remoto, è indispensabile avvalersi di soluzioni tecnologiche di Emergency Communication che facilitino la comunicazione in tempo reale e senza sforzo.
- Migliorare la fiducia dei clienti e degli stakeholder dato che si investe in processi e politiche di gestione degli incidenti efficaci atti a migliorare la fiducia e la resilienza dei clienti e delle parti interessate.
- Salvaguardare il proprio brand e la reputazione in quanto capaci di gestire la crisi in modo efficace e preparare l’organizzazione ad affrontare qualsiasi evento. La fiducia nel proprio marchio e il rafforzamento della reputazione saranno garantiti grazie alla capacità dell’organizzazione di superare con efficienza e coerenza situazioni avverse.
- Garantire un vantaggio competitivo dal momento che il BCP diventa una capacità di risposta alle avversità e si converte in una leva preziosa per creare fiducia nel brand da parte dei clienti attuali e, altresì, per mostrare ai potenziali clienti la propria affidabilità, convertendosi in un’opportunità di vantaggio competitivo, dal momento che l’organizzazione dimostra di saper reagire rapidamente e con decisione durante una crisi.
- Ridurre il rischio finanziario grazie all’attuazione di azioni repentine e decisive durante una crisi che riducono anche i tempi di inattività dell’organizzazione. Tutti sappiamo come tempi di inattività più lunghi possono significare maggiori perdite finanziarie; pertanto, ripristinando la funzionalità il più rapidamente possibile, si ridurranno al minimo le perdite e si mostrerà affidabilità al sistema creditizio ed assicurativo.
- Protegge la supply chain dal momento che l’organizzazione sarà in grado di soddisfare la resilienza della fornitura distribuendo il rischio tra diversi fornitori, riducendo così la mancanza di forniture o materie prime.
Nel 2021 non solo Business Continuity ma anche Operational Resilience
Lo scenario erratico che stiamo vivendo – estremamente ambiguo, instabile, volatile ed incerto – presuppone, da parte delle organizzazioni, un’ulteriore evoluzione nel modo di affrontare le sfide contingenti e future soprattutto a fronte del processo accelerato di trasformazione digitale ed innovazione in atto. Ne consegue che, è necessario considerare prioritario l’impiego di tutte quelle tecnologie – basate sull’automazione e l’intelligenza artificiale – che sono in grado di offrire alle imprese – indipendentemente dalla loro dimensione – capacità di resilienza, agilità e strumenti per accelerare l’innovazione nell’offerta, nei modelli operativi e di business.
Viviamo in un ambiente in cui è necessario disporre di un quadro olistico, per un migliore processo decisionale; per questo le organizzazioni dovranno concentrarsi maggiormente sull’Operational Resilience, oltre che sulla sicurezza informatica, dal momento che si tratta di anticipare, prevenire, riprendersi da eventi avversi e adattarsi per evitare eventi simili in futuro, il tutto senza interrompere o compromettere la Continuità Aziendale.
L’Operational Resilience è destinata a pervadere l’intera azienda, influenzando persone, processi e sistemi e rappresenta una sfida trans-organizzativa unica, soprattutto perché i confini tra sistemi digitali e fisici si confondono.
Se da un lato abbiamo la Business Contintuity – definita come capacità di un’organizzazione di continuare la fornitura di prodotti o servizi a livelli predefiniti accettabili in seguito a un’interruzione- dall’altro abbiamo il concetto di Operational Resilience concepita come la capacità di un’organizzazione di assorbire e adattarsi in un ambiente in evoluzione per consentire il raggiungimento degli obiettivi, sopravvivere e prosperare. Inoltre, dal momento che i processi aziendali vitali dipendono da reti IT sempre più articolate e basate su tecnologie digitali, la loro resilienza viene definita come la capacità di fornire e mantenere un livello di servizio accettabile di fronte a guasti e sfide al normale funzionamento di una data rete di comunicazione, sulla base di strutture preparate che permetteranno alle aziende di: rispondere rapidamente a qualsiasi circostanza; abilitare nuovi modelli operativi e servizi; integrarsi con i processi IT e salvaguardare i dipendenti, le attività principali, i clienti e il marchio. In questo modo le nostre organizzazioni si dimostreranno agili non solo per riprendersi, ma nel cogliere nuove opportunità, perseguire nuovi mercati, abilitare nuovi servizi e supportare nuovi modelli di business, grazie all’impiego di nuove modalità di automazione e dell’Intelligenza Artificiale, oltre che garantire una resilienza e la cybersecurity maggiore in quattro sfere chiave, i.e. forza lavoro, posto di lavoro, carico di lavoro e operations IT, ovvero:
- Forza lavoro, i.e. fornire ai lavoratori prestazioni sicure e accesso alle loro applicazioni mentre lavorano da casa, dall’ufficio o ovunque si trovino
- Luogo di lavoro, i.e. consentire ai dipendenti di tornare in ufficio in sicurezza con monitoraggio, avvisi e approfondimenti abilitati per Wi-Fi
- Carico di lavoro, i.e. facilitare i modelli di resilienza multi-cloud e proteggere i dati e le applicazioni, ovunque i carichi di lavoro risiedano, sia nei cloud pubblici sia nei data center locali
- Operations IT, i.e. automatizzazione delle politiche di rete end-to-end e della segmentazione e semplificazione delle attività amministrative migliorando la visibilità, riducendo gli avvisi e consentendo una riparazione più rapida.
Conclusioni e Riflessioni
La pandemia ha messo a dura prova la resilienza delle organizzazioni riunendo in un unico evento l’emergenza sanitaria, lo stress dei mercati e le interruzioni tecnologiche. Di fatto, la ricaduta della pandemia di coronavirus si è dimostrata una prova della resilienza operativa delle organizzazioni evidenziando come sia necessario essere preparati all’inaspettato. Secondo lo scenario che si prospetta (l’anno 2020 si è concluso con il rincrudire della pandemia invece che con la sua sconfitta), anche nel 2021 continueremo ad affrontare l’incertezza di questa e ci troveremo a gestirne l’impatto sull’operatività aziendale. Pertanto, è giunto il momento di adottare misure proattive per garantire efficienza organizzativa, indipendentemente dalle interruzioni future che potrebbero verificarsi, potenziando maggiormente le reti IT e garantendo, così, l’Operational Resilience.
Diventerà strategico e fondamentale garantire un’organizzazione agile ed adattiva in grado di garantire l’Operational Resilience, superando i limiti di un approccio per silos che rende i cambi di paradigma più gravosi e lenti e riprogettando della struttura interna, i.e. il modus operandi e pensandi dell’organizzazione
L’adozione di una cultura del lavoro agile ed adattiva consentirà un ambiente capace di dare la priorità ai processi semplificati, a team più piccoli e a progetti più brevi a fronte di scenari in continua evoluzione. Tuttavia, lo sviluppo di una cultura della trasformazione agile ed adattiva non è un processo facile, dato che richiede una strategia altamente ponderata e supportata da una forte leadership. Solo chi assumerà una visione maggiormente incentrata sul rischio, sulla continuità e la resilienza operativa risulterà vincente, poiché ciò consentirà di prendere decisioni migliori in materia di investimenti e rischi, dal momento che stiamo costruendo una società che si basa sempre più sui dati e, contestualmente, servirà diffondere la cultura della gestione intelligente del dato con un’azione di formazione data-driven importante oltre che di cybersecurity affinché ogni attore coinvolto contribuisca in modo proattivo all’Operational Resilience dei sistemi.
Come afferma Agostino Santoni, AD di Cisco Italia, le reti oggi sono sempre più intuitive, automatizzate, più sicure e performanti e possono supportarci anche nei momenti più complessi, come quello che stiamo vivendo a causa della pandemia.
Rendere tutto questo inclusivo e resiliente significa implementare i principi di Business Continuity e Operational Resilience per fare in modo che le opportunità della tecnologia siano disponibili ovunque e a tutti. Tuttavia, perché esse lo siano, bisogna rendere sempre più accessibili e semplici gli strumenti potenti che oggi abbiamo e, soprattutto, fare in modo che le persone siano protagoniste nell’uso di questi strumenti ed abbiano le competenze per farlo.
Forse ci capiterà anche di non essere in grado di prevedere il futuro e, alla fine, non sapremo mai come sarà la “nuova normalità” o quando la raggiungeremo. È e sarà un momento di gestione di incognite sconosciute in un ambiente “complesso”. Pertanto, se come esperti di Business Continuity e Operational Resilience facciamo bene il nostro lavoro ed acquisiamo la conoscenza profonda delle organizzazioni in cui operiamo, alla fine saremo in grado di “traghettare” le nostre organizzazioni in una situazione semplicemente “complicata” salvaguardandone la continuità e resilienza operativa.
Come affermava il sociologo e scrittore statunitense Alvin Toffer – che sosteneva che la conoscenza, non la forza-lavoro né il possesso delle materie prime, sarebbe diventata la più importante risorsa economica in tutte le società avanzate – “Gli analfabeti del futuro non saranno quelli che non sanno leggere o scrivere, ma quelli che non sanno imparare, disimparare, e imparare di nuovo”.
Articolo a cura di Federica Maria Rita Livelli
Certificata in Risk Management (FERMA/RIMAP certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI UK; CBCP Certification – DRI Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e di sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Academy Training Director presso BEDISRUPTIVE CONSULTING Srl.
Membro de: Comitato Direttivo e Scientifico di ANRA, BCI Italy Chapter Board; Comitato scientifico di CLUSIT ed Comitato tecnico per l’AI di CLUSIT; FERMA Digital Committee; diversi comitati tecnici UNI.
Speaker e moderatrice a convegni nazionali e nazionali è altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.