Quando si parla di “continuità operativa” spesso la si associa mentalmente a situazioni catastrofiche come la pandemia COVID, l’inagibilità della sede (es. incendio, allagamento), indisponibilità dei sistemi informatici per ransomware, guasto tecnico (es. l’incendio data center OVH di Strasburgo) e così via.
La continuità operativa ha però un respiro ampio e strategico, è una politica aziendale permanente che ha l’obiettivo di mantenere operativa l’Azienda in tutte le sue funzioni anche in situazioni avverse;
si riflette in tutte le scelte che riguardano elementi critici per le normali operazioni, non solo quelle relative ad eventi disastrosi.
Alcuni esempi:
- collegarsi a due carrier di connettività internet di 500 Mbps anziché uno da 1 Gbps, per parallelizzare il traffico ed in caso di indisponibilità di un carrier continuare ad essere connessi ed operare;- installare le apparecchiature critiche (router, switch, firewall, server critici) in cluster ridondati (High Availability);
- adottare configurazioni Fault-tolerant (es. dischi in RAID5);
- disporre di un piano sistematico di formazione del personale per ricoprire in emergenza mansioni critiche in caso di indisponibilità delle persone titolari;
- scegliere fornitori affidabili e preparare alternative di fornitura;
- ecc.
La normativa standard universalmente adottata è la ISO 22301.
Non tutte le Aziende sono in grado di intraprendere il percorso di certificazione, ma tutte dovrebbero, in misura delle loro risorse, adottare decisioni che ne aumentino la resilienza e predisporre il proprio Piano di Continuità Operativa (BCP).
Anche per il BCP le basi indispensabili sono la gestione dei rischi e l’inventario di informazioni, processi, strumenti e persone.
È importante che l’Azienda definisca il Gruppo permanente responsabile del progetto BCP definendo con chiarezza ruoli e responsabilità, il Fractional CISO ad esempio coordina le attività attinenti la Sicurezza delle Informazioni.
Il Gruppo, con il contributo essenziale degli Esperti dell’Azienda individua i principali scenari di rischio e per ognuno si elabora Business Impact Analysis (BIA) per stabilire e quantificare cosa accadrebbe in termini di danni ed operatività.
In base a quanto emerge si assegnano le priorità agli scenari per determinare l’allocazione delle risorse per predisporre, ove possibile e conveniente, misure di contenimento per ridurre il rischio o l’impatto (es. trasferimento dello stabilimento in una zona con minore rischio di alluvioni oppure installazione di bacini e pompe che contengano l’eventuale allagamento) e il piano di azione per ripristinare le attività operative (es. sede alternativa di emergenza, trasferimento di macchinari, attivazione di un data-center alternativo, disposizione di accessi sicuri per il lavoro da casa dei dipendenti, ecc,)
In caso di “disastro”, per ogni funzione aziendale devono essere definite la criticità per l’Azienda e le dipendenze al fine di stabilire le priorità nelle attività di ripristino (vedi 11. Il Disaster Recovery).
Il successo del BCP nel momento della sua attuazione dipenderà da quanto è stato condiviso e reso “famigliare” con le persone dell‘ Azienda, in particolare quelle che hanno un ruolo operativo nel BCP e da quanto è aggiornato rispetto alla situazione attuale dell’Azienda.