Business Continuity: cosa fare per evitare un disastro aziendale

Scritto da Webristle

Feb 4, 2023

Febbraio 4, 2023

Cos’è la Business Continuity? Prima di rispondere a questa domanda è utile premettere che per ogni tipo di azienda o attività, pubblica o privata che sia, l’interruzione del servizio è sempre causa di molti problemi. Questi problemi si possono però evitare nel momento in cui si adottano le misure adeguate a scongiurare i pericolo di interruzione della continuità operativa.

In quest’epoca ormai totalmente digitalizzata, sia nei processi sia nella conservazione di dati, interruzione della continuità operativa e la base di dati di un’organizzazione sono aspetti indissolubilmente legati alla tecnologia adottata: è qui che entra in gioco il concetto di Business Continuity.

 

Cosa si intende per Business Continuity

La Business Continuity è un concetto che si riferisce alla capacità di un’azienda di continuare a operare e a raggiungere i suoi obiettivi anche in situazioni di emergenza o di interruzione imprevista delle attività.

Si tratta di un processo continuo che ha il fine di identificare le possibili minacce a cui un’azienda è esposta, definire le procedure che garantiscono la resilienza di un’organizzazione nel caso si verifichino eventi negativi, allo scopo di assicurare l’operatività, la capacità produttiva, gli obiettivi, gli interessi e la reputazione aziendale.

Più precisamente, parlare di continuità operativa di un’azienda vuol dire anche includere la preparazione per rispondere a eventi come disastri naturali, attacchi informatici, problemi tecnici e altre minacce che potrebbero impedire all’azienda di funzionare normalmente.

La Business Continuity, dunque, comprende anche la creazione di piani di emergenza, la formazione del personale e la preparazione di procedure alternative per garantire la continuità delle attività aziendali.

 

Business continuity plan

Un Business Continuity Plan (BCP) è un documento che delinea come un’organizzazione deve continuare a funzionare durante e dopo un evento dirompente. In genere include le procedure per rispondere alle interruzioni, nonché le strategie per mantenere le operazioni aziendali critiche e ridurre al minimo l’impatto dell’interruzione. Un BCP può riguardare aree quali il disaster recovery, la gestione delle crisi, il backup e il ripristino dei dati e le comunicazioni con dipendenti, clienti e stakeholder. L’obiettivo di un BCP è garantire che un’organizzazione possa riprendere rapidamente le normali attività e ridurre al minimo i potenziali danni alla reputazione, alle finanze o alle operazioni.

 

Business continuity plan: esempio

Un esempio di Business Continuity Plan potrebbe comprendere le seguenti fasi:

  1. Informazioni generali: informazioni sul soggetto aziendale a cui è dedicato il piano e quali sono le persone che si sono occupate della stesura.
  2. Analisi dei rischi: identificare e valutare i possibili eventi che potrebbero interrompere le attività aziendali.
  3. Definizione delle priorità aziendali: determinare quali processi sono critici per la sopravvivenza dell’azienda e devono essere mantenuti in ogni situazione.
  4. Sviluppo di piani di emergenza: creare piani dettagliati per gestire situazioni di emergenza specifiche, come un’interruzione dell’alimentazione elettrica o un attacco informatico.
  5. Downtime: stabilire qual è una tempistica tollerabile di interruzione dell’attività che non causi gravi problemi o disservizi.
  6. Formazione del personale: preparare il personale a rispondere alle situazioni di emergenza e ad attuare i piani di emergenza.
  7. Test e revisione regolari: effettuare regolari test dei piani di emergenza e revisioni per verificare la loro efficacia e apportare eventuali modifiche.
  8. Piano di ripristino: definire come l’azienda può tornare alla normalità il più rapidamente possibile dopo un’interruzione delle attività.
  9. Team di lavoro: i professionisti che devono essere coinvolti, in modo diretto o indiretto, nelle operazioni di continuità operativa.

Questo è solo un esempio di base di un Business Continuity Plan e le fasi e i dettagli specifici possono variare a seconda delle esigenze individuali di ogni azienda.

 

Rapporto tra Business Continuity e Disaster Recovery

Com’è facilmente intuibile, il concetto di Business Continuity e quello di Disaster Recovery sono strettamente legati, anzi possiamo dire complementari: entrambi riguardano la capacità di un’azienda di continuare a funzionare in situazioni di emergenza.

La Business Continuity si concentra sulla prevenzione e sulla preparazione per eventi che potrebbero interrompere le attività aziendali, come la creazione di piani di emergenza e la formazione del personale. L’obiettivo è mantenere la continuità delle attività aziendali il più a lungo possibile e riprendere il più rapidamente possibile dopo un’interruzione.

Il Disaster Recovery, d’altra parte, si concentra sulla capacità di recuperare le attività aziendali dopo un evento di interruzione. Ciò include la protezione dei dati e la preparazione di soluzioni alternative per la continuazione delle attività, come il ripristino di sistemi informatici da copie di backup.

In sintesi, il Business Continuity e il Disaster Recovery sono strettamente correlati e lavorano insieme per garantire la continuità delle attività aziendali in situazioni di emergenza. Il Business Continuity si concentra sulla prevenzione e la preparazione, il Disaster Recovery si occupa di recupero e ripresa delle attività aziendali.

 

Business continuity e gestione del rischio

La Business Continuity e la Gestione del Rischio sono strettamente legate, si influenzano a vicenda e condividono molteplici caratteristiche e interessi comuni. Partendo dagli obiettivi, entrambe aiutano le aziende a dare la percezione di tutela e a creare valore per tutti gli attori in gioco, stakeholder, dipendenti, clienti, utenti, fornitori.

Il risk management, in alcuni contesti, riguarda una visione più ampia rispetto alla business continuity e questo implica il fatto che quest’ultima deve adeguarsi al quadro complessivo dei rischi. Questo si può realizzare nel momento in cui gestione dei rischi e business continuity si distinguano a livello di terminologia e di contenuti: la business continuity, di fatto, deve focalizzarsi, nella fase di analisi delle minacce, sull’individuazione delle vulnerabilità aziendali rispetto al valore che supportano e quale impatto può causare l’interruzione di queste attività.

Ecco che, dunque, la business continuity non è solo individuare, valutare e segnalare il singolo rischio né è semplice assegnazione delle probabilità di manifestazione degli eventi. Il risk management individua le minacce che si trovano fuori il controllo dell’azienda, mentre la business continuity definisce come ridurre l’impatto di queste minacce se si dovessero realizzare.

L’analisi dei rischi che viene effettuata concretamente in un piano di business continuity ha un carattere prettamente “operativo”, poiché concerne lo stop di queste attività. Questa analisi può costituire un’integrazione del piano di gestione dei rischi, ecco perché è fondamentale che le due discipline siano alimentate in modo complementare, questo aiuta l’azienda a potenziare la sua resilienza.

 

 

Business Continuity e crisis management

La gestione delle crisi è il processo con cui un’organizzazione affronta un evento imprevedibile di grande portata che minaccia di danneggiare l’organizzazione, i suoi stakeholder o il pubblico in generale. Questi eventi non implicano necessariamente la possibilità l’interruzione delle attività aziendali, una crisi può anche essere causata da una notizia che può danneggiare la reputazione dell’organizzazione. Ugualmente, però, la gestione di crisi può essere collegata alla Business Continuity poiché entrambe richiedono conoscenze e competenze specialistiche simili.

Gli obiettivi principali della gestione delle crisi, di fatto, riguardano la protezione delle persone, la riduzione al minimo di danni all’organizzazione e il ripristino delle normali operazioni il più rapidamente possibile. La pianificazione della gestione delle crisi deve, dunque, integrare il programma di Business Continuity, ma deve anche prevedere lo sviluppo di un team dedicato in grado di occuparsi delle crisi che vanno ad intaccare l’aspetto operativo. Ma in ogni caso, coordinare le attività di crisis management a livello strategico pertiene al sistema di gestione di Business Continuity.

 

Business continuity management

Il Business Continuity Management (BCM) è, dunque, un processo aziendale che mira a garantire la continuità delle attività aziendali in situazioni di emergenza o di interruzione imprevista. Il BCM comprende una serie di attività e iniziative progettate per prevenire o minimizzare gli effetti negativi degli eventi imprevisti e garantire che l’azienda possa continuare a operare in modo efficiente.

Il BCM include la identificazione dei rischi, la definizione delle priorità aziendali, la creazione di piani di emergenza, la formazione del personale, la verifica e la revisione regolare dei piani, e la definizione di soluzioni per il ripristino delle attività.

Il Business Continuity Institute ha definito una serie di best practice che definiscono delle fasi in cui la gestione della continuità operativa dovrebbe dividersi:

  1. Policy and Programme Management: la politica aziendale in tema di continuità operativa e le modalità di implementazione.
  2. Embedding Business Continuity: l’integrazione delle attività di business continuity all’interno delle normali procedure aziendali.
  3. Analysis: identificazione degli obiettivi dell’azienda, il suo funzionamento, gli eventuali vincoli collegati al contesto in cui opera.
  4. Design: individuazione delle soluzioni che possono garantire la business contintuity nel momento in cui si verifica un determinato disastro.
  5. Implementation: integrazione delle soluzioni identificate della fase precedente, specificandone step, competenze necessarie, risorse umane chiamate in causa, responabilità.
  6. Validation: test e verifiche sul funzionamento del piano di continuità operativa ed eventuali miglioramenti da implementare

Il BCM è un processo continuo che richiede un impegno costante da parte di tutti i dipartimenti dell’azienda e la partecipazione attiva delle figure chiave. Il BCM è un fattore importante per la sopravvivenza e il successo a lungo termine di un’azienda e aiuta a ridurre i rischi per la reputazione, i clienti e le finanze dell’azienda.

 

Business Continuity e pubblica a amministrazione

La Business Continuity è un concetto che assume ancora più importanza quando si riferisce alla pubblica amministrazione, ovvero alle istituzioni e agli enti pubblici che forniscono servizi ai cittadini e alle imprese.

In questo contesto, la continuità delle attività aziendali significa garantire che i servizi pubblici siano disponibili e accessibili ai cittadini anche in situazioni di emergenza o di interruzione imprevista.

Con la trasformazione digitale, garantire la continuità dei servizi della PA è diventata una vera e propria esigenza, ecco perché a tal proposito esistono delle normative che regolano il Business Continuity Plan della Pubblica Amministrazione, come la 50 bis CAD e la Circolare DigitPA 1° Dicembre 2011 n° 58.

La pubblica amministrazione deve prepararsi per eventi come disastri naturali, pandemie, attacchi informatici e altre situazioni di emergenza che possono interrompere i servizi pubblici. Ciò include la identificazione dei rischi, la creazione di piani di emergenza, la formazione del personale e la definizione di soluzioni per il ripristino delle attività.

Il Business Continuity è un fattore importante per la sicurezza e la protezione dei cittadini e delle imprese, e la pubblica amministrazione deve impegnarsi attivamente per garantire la continuità dei servizi pubblici in situazioni di emergenza.

 

Business Continuity e ISO

La gestione della continuità operativa è regolata da alcune norme ISO (International Organization for Standardization), ecco di seguito le più importanti.

  • L’ISO 22301-Societal security, Business continuity management systems, Requirements (2012) dà indicazioni sulla gestione della continuità aziendale e fornisce le linee guida per la prevenzione, la preparazione e la ripresa dalle interruzioni aziendali. Questo standard è stato sviluppato per aiutare le aziende a identificare i rischi, a creare piani di emergenza e a mantenere la continuità delle attività aziendali in situazioni di emergenza. L’adozione dell’ISO 22301 è volontaria, ma aiuta le aziende a dimostrare la loro capacità di gestire situazioni di emergenza e a garantire la continuità delle attività aziendali. L’ottenimento di un certificato ISO 22301 è un segnale per i clienti, i fornitori e gli stakeholder che l’azienda è preparata per affrontare le situazioni di emergenza.
  • L’ISO 22313-Societal security, Business continuity management systems, Guidance (2012) include le guidelines tecniche e pratiche per realizzare un sistema di gestione della Business Continuity che sia totalmente compliance alle indicazioni contenute nella ISO 22301.
  • L’ISO 22317 – Societal security, Business continuity management systems, Guidelines for business impact analysis (2015) è una specifica tecnica che contiene suggerimenti molto specifici e approfonditi per eseguire una BIA, ossia Business Impact Analysys, cioè una stima del probabile impatto che potrebbe avere un disservizio operativo.
  • L’ISO 22318 – Societal security, Business continuity management systems, Guidelines for supply chain continuity (2015), comprende i dettagli di un sistema di gestione della business continuity in una supply chain.

 

Business Continuity e attacchi informatici

Le cause di un’interruzione della continuità operativa possono essere diverse, tra le più temute sicuramente c’è l’attacco informatico, che può essere scagliato contro un’organizzazione da qualsiasi parte del mondo.

Immagina di arrivare un lunedì mattina in azienda e accorgerti che i sistemi son stati violati: i file sul server sono spariti, la posta elettronica è inaccessibile, non puoi più comunicare con fornitori e clienti, peggio ancora il tuo e-commerce risulta inaccessibile a causa di un attacco DdoS.

In termini economici è un danno enorme, se non riesci a erogare i tuoi servizi e i clienti si rivolgeranno altrove, e nel giro di pochi giorni il fatturato crollerà e ci vorranno moltissimo prima che tutto ritorni alla normalità.

Dopo la valutazione del rischio, è opportuno creare un solido ecosistema di partner tecnologici che, al bisogno, possano intervenire per aggirare il disservizio, garantendo così la Business Continuity.

Quando si tratta di eventi simili, è di vitale importanza affidare a esperti la gestione della cybersecurity dell’azienda, conservando i dati su server dedicati che ci consentono tramite una VPS l’accesso a questi da qualsiasi parte del mondo, protetti da un firewall specifico studiato da sistemisti ad alte prestazioni.

È importante rivedere, testare e aggiornare di continuo i propri sistemi. Dopo aver sviluppato un’infrastruttura informatica adagiarsi su quello che si è fatto è l’errore più grande che si possa fare. La minaccia più grande è l’immobilismo perché le tecnologie progrediscono così come i sistemi per violarle.

Noi valutiamo i rischi mettendo alla prova l’intera infrastruttura, individuando e risolvendo le vulnerabilità che potrebbero essere sfruttate in un attacco informatico.

L’interesse della tua azienda sarà quello di evitare che si verifichi un disservizio, ma nel caso questo accada il modello di Business Continuity deve essere solido. Deve metterti nelle condizioni, nel giro di pochi minuti, di ripristinare l’operatività dell’azienda evitando la perdita di clienti e di conseguenza di fatturato.

Webristle è specializzato nella costruzione di soluzioni personalizzate per mantenere operativa la tua attività, con una squadra dedicata alla ricerca delle vulnerabilità e di messa in protezione di ogni tuo dato.

Se non vuoi ritrovarti da un giorno all’altro a dover affrontare da solo una catastrofe informatica all’interno della tua azienda, agisci per tempo: contattaci  e saremo felici di fornirti il supporto necessario.

Articoli correlati

Cyber Insurance: cos’è e perché è fondamentale

Cosa è la cyber insurance La cyber insurance, nota anche come assicurazione cibernetica o assicurazione informatica, è un tipo di polizza assicurativa progettata per proteggere le organizzazioni dai rischi legati alle minacce e agli incidenti informatici. Queste...

Spear phishing: cos’è e come proteggersi

Spear phishing: cos’è e come proteggersi

Lo spear phishing rappresenta una minaccia sempre più sofisticata nel panorama della sicurezza informatica. Questa forma di attacco mirato va oltre le tecniche tradizionali di phishing, concentrandosi su individui specifici o aziende con un livello di precisione...

Teabot: cos’è e come difendersi dal banking trojan

Teabot: cos’è e come difendersi dal banking trojan

Aveva fatto la sua comparsa nel maggio 2021 e un anno dopo è tornato a colpire; stiamo parlando di Teabot, un trojan bancario in grado di rubare i dati di accesso ai conti degli utenti. Nascosto in app all'apparenza non pericolose, il malware Teabot aveva creato già...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!