CONTINUITÀ OPERATIVA COS’È
Continuità Operativa o Business Continuity rappresenta una capacità aziendale fondamentale. Un’organizzazione dimostra questa capacità ogni volta che riesce a continuare a fornire prodotti e servizi entro livelli predefiniti e accettabili, anche dopo aver affrontato eventi imprevisti e potenzialmente dannosi.
La Business Continuity può essere considerata un processo continuo che garantisce l’adozione delle misure necessarie per identificare la gravità delle possibili perdite e mantenere strategie efficaci per il ripristino delle operazioni e la continuità dei servizi.
Queste definizioni evidenziano chiaramente l’obiettivo principale della Business Continuity: consentire a un’organizzazione di continuare a operare e servire i propri clienti anche dopo un evento che potrebbe compromettere significativamente la sua capacità di svolgere le attività abituali. Da queste considerazioni emergono due aspetti cruciali.
Il primo riguarda l’ambito di applicazione della Continuità Operativa, che va ben oltre il settore informatico e interessa l’intera operatività dell’organizzazione.
Il secondo aspetto è evidenziato dalla norma ISO 22301 (lo standard internazionale sulla Business Continuity), che sottolinea la necessità di proseguire le attività a un livello predefinito e ritenuto accettabile dall’azienda, piuttosto che continuare come se nulla fosse accaduto.
Un’altra considerazione importante riguarda fase successiva alla gestione dell’incidente: riprendere le operazioni e riportare le attività a un livello accettabile entro tempi ragionevoli.
Per raggiungere questo obiettivo l’azienda deve valutare e definire i valori relativi ai concetti di “livello accettabile” e “tempi ragionevoli”, come definiti dalla norma ISO 22301.
Il primo valore dipende dalla gravità dell’incidente e dai costi necessari per garantire la continuità operativa. È essenziale stimare le risorse da impiegare per le misure preventive e per il ripristino delle attività in emergenza, confrontandole con i benefici derivanti dalla prosecuzione delle attività.
Per quanto riguarda i “tempi ragionevoli” di ripartenza, questi vengono stimati in base alle perdite economiche che si potrebbero verificare prolungando il periodo di disservizio. Più a lungo dura l’interruzione, maggiori saranno gli effetti negativi e i costi sostenuti.
Sebbene il Disaster Recovery e la Business Continuity siano strettamente collegati, non sono la stessa cosa. La differenza principale risiede nel loro ambito di applicazione: il Disaster Recovery si concentra sul ripristino delle infrastrutture tecnologiche critiche dopo eventi che le compromettono, mentre la Business Continuity mira a garantire il mantenimento delle operazioni aziendali nel loro complesso, riportando l’azienda alla piena operatività dopo una crisi.
Il Disaster Recovery è una componente fondamentale della Business Continuity, poiché l’IT è al centro di gran parte delle operazioni aziendali e riveste quindi un ruolo cruciale nel Business Continuity Management.
L’immagine seguente, una delle più comuni in questo ambito, illustra come il Disaster Recovery, insieme ad altri approcci, metodi e strumenti, sia integrato all’interno della Business Continuity.
Per garantire la continuità operativa, è fondamentale sviluppare un piano di emergenza (Business Continuity Plan o Piano di Continuità Operativa) che guidi l’azienda nella gestione delle minacce, definendo le azioni da intraprendere in varie situazioni di crisi per assicurare la continuità delle operazioni.
Il principale obiettivo di questo piano è massimizzare l’efficacia della risposta all’emergenza, pianificando e dettagliando tutti gli interventi necessari, assegnando responsabilità e identificando le fasi operative (chi deve fare cosa e quando) dopo un evento che ha interrotto i normali processi aziendali.
Il Business Continuity Plan consente all’azienda di affrontare situazioni avverse, coordinare gli sforzi di recupero, riprendere le attività prioritarie e ripristinare le operazioni a livelli predefiniti accettabili. La stesura di questo piano deve essere preceduta da una Business Impact Analysis, che identifica gli impatti operativi e finanziari derivanti dall’interruzione delle funzioni e dei processi aziendali. L’impatto di una funzione o processo interrotto può variare significativamente in base alla durata dell’interruzione. Ad esempio, una breve interruzione dell’alimentazione elettrica può rappresentare solo un piccolo inconveniente, ma una prolungata può causare perdite significative.
Allo stesso modo, un breve impedimento all’accesso a un sito produttivo potrebbe essere tollerabile, mentre un’interruzione di diverse ore può comportare gravi perdite. Il rapporto di Business Impact Analysis documenta i potenziali impatti derivanti dall’interruzione dei processi aziendali. Gli scenari di interruzione significativi vengono valutati in termini di impatto finanziario, e i costi sono confrontati con le strategie di recupero, definendo una lista di priorità.
Il Sistema di Gestione della Continuità Operativa
È evidente che la continuità operativa di un’azienda non può essere improvvisata.
Una risposta efficace alle diverse minacce richiede un approccio pianificato, sistematico e completo.
Il raggiungimento della continuità operativa si ottiene attraverso la progettazione, l’implementazione, il controllo e il miglioramento continuo di un programma adeguato, supportato dalla leadership aziendale e conforme alle normative nazionali e agli standard internazionali.
Per conseguire questi obiettivi, l’impresa deve integrare nel proprio sistema di gestione globale un sistema di gestione specifico per la continuità aziendale, il Business Continuity Management System (BCMS).
Il BCMS è costituito da un insieme di elementi correlati come: persone, politiche, piani, procedure, processi, strutture e risorse, che servono per stabilire, implementare, gestire, monitorare, rivedere, mantenere e migliorare le capacità di continuità aziendale.
Un’azienda deve sfruttare questi elementi per garantire la continuità delle operazioni, l’erogazione di prodotti e servizi a livelli predefiniti, la protezione delle attività di creazione di valore, e la salvaguardia della reputazione e degli interessi degli stakeholder durante incidenti o crisi.
Continuità Operativa e Norme ISO
La gestione della Business Continuity è regolata da una serie di norme ISO, redatte e rilasciate dall’International Organization for Standardization (ISO).
Le principali sono:
- UNI EN ISO 22301:2019 – Sicurezza e resilienza – Sistemi di gestione per la continuità operativa.
La ISO 22301 è il primo standard realmente accettato a livello internazionale sulla continuità aziendale e stabilisce i requisiti per un efficiente Sistema di Gestione per la Business Continuity (Continuità Operativa).
È una metodologia certificabile costituita da un insieme di pratiche volte al mantenimento della Continuità Operativa in condizioni avverse, minimizzando l’impatto di potenziali incidenti su clienti, stakeholder e sull’intero sistema aziendale. - UNI EN ISO 22313:2015 – Sicurezza della società – Sistemi di gestione per la continuità operativa – Linee guida.
Questa norma contiene le linee guida tecniche e operative per realizzare un Business Continuity Management System perfettamente allineato con le indicazioni riportate nella ISO 22301. - UNI ISO/TS 22317:2019 – Sicurezza e resilienza – Sistemi di gestione per la Continuità Operativa – Linee guida per l’analisi di impatto operativo (Business Impact Analysis – BIA).
Questa specifica tecnica contiene informazioni approfondite e dettagliate per eseguire una Business Impact Analysis (BIA), ovvero una valutazione delle possibili conseguenze derivanti dall’interruzione di un processo aziendale. - UNI ISO/TS 22318:2019 – Sicurezza della società – Sistemi di gestione per la continuità operativa – Linee guida per la continuità della catena di fornitura.
Questa specifica tecnica fornisce linee guida per comprendere e applicare i principi di Business Continuity Management (BCM) alla gestione dei rapporti con i fornitori, in linea con la ISO 22301 e la ISO 22313.
Le norme sopra elencate sono applicabili a tutte le organizzazioni, pubbliche e private, indipendentemente da dimensioni, settore o tipologia, al fine di fornire regole precise per la gestione di un sistema di Continuità Operativa.
La Continuità Operativa come pratica di innovazione.
In linea con le definizioni presenti nella letteratura del settore, l’approccio alla Business Continuity può essere considerato una pratica di innovazione organizzativa.
Il processo di Business Continuity Management è complementare all’innovazione organizzativa e contribuisce al suo successo.
Questo approccio comporta l’introduzione di nuovi elementi – come modelli, procedure e tecnologie – nelle operazioni finalizzate alla garanzia della continuità, con l’obiettivo di migliorare capacità, flessibilità, soddisfazione dei clienti e rapidità nell’analisi dei costi, razionalizzando al contempo i processi operativi e produttivi.
In particolare, il concetto di innovazione di processo diventa ancora più rilevante quando viene analizzato in relazione al cambiamento organizzativo richiesto dall’implementazione del Business Continuity Management.
Di conseguenza, la gestione della continuità operativa rappresenta chiaramente un’innovazione di processo organizzativo, in quanto introduce nuovi modi di organizzare le attività produttive e operative, come il coordinamento del personale e l’adozione di nuovi modelli di lavoro, ad esempio lo smart working in risposta a particolari eventi.
La visione futura della Continuità Operativa
La Business Continuity, intesa come processo strutturato, non è una novità. I primi approcci, sebbene inizialmente limitati all’ambito informatico, risalgono agli anni ’70 e ’80.
Tuttavia, ha ricevuto particolare attenzione a livello globale in seguito a eventi traumatici come gli attentati dell’11 settembre 2001, oltre che a causa di eventi naturali, epidemie e, più recentemente, la pandemia globale che ha segnato l’inizio del nuovo decennio.
Nonostante l’aumento dell’attenzione verso questo tema, soprattutto in seguito a disastri naturali come terremoti, inondazioni, blackout e crisi sanitarie, la Business Continuity rimane ancora sottovalutata da molti manager, spesso percepita come una perdita di tempo o una spesa non necessaria.
Eppure, eventi recenti, inclusa la pandemia da COVID-19, hanno dimostrato che nessuna organizzazione è immune dagli incidenti. Questi possono colpire qualsiasi settore: manifatturiero, terziario, servizi IT, utility pubbliche, finanza, sanità e altri settori produttivi. Gli incidenti possono avere un impatto diretto e significativo su tutti i processi aziendali, mettendo a rischio non solo la continuità operativa, ma anche la reputazione e la stessa sopravvivenza dell’organizzazione.
Per questo motivo, è auspicabile che, in un futuro non troppo lontano, le aziende inizino a considerare la Business Continuity non solo come una misura d’emergenza, ma come un pilastro fondamentale per la salvaguardia della sicurezza aziendale. Ciò implica proteggere tutte le risorse – umane, tecnologiche e materiali – che costituiscono il cuore pulsante di un’azienda.
Implementare una politica efficace e un sistema di gestione adeguato per rispondere alle situazioni avverse diventa essenziale per garantire la continuità operativa e la resilienza del business, assicurando così la sua sostenibilità a lungo termine.
Riferimenti Bibliografici:
– ISO 22301 2012;
– Standard NFPC 1600;
– AGID Agenzia per l’Italia digitale.
Accresci la tua competenza nella gestione dei progetti di continuità operativa con i corsi di formazione in Project Management su UIDOO.
Saremo lieti di supportarti nella creazione di soluzioni su misura per proteggere e far crescere il tuo business.