Dare forma alla resilienza | Trovare le azioni concrete di risposta a ciascuna fonte di rischio. (prima parte)

In questo nuovo articolo della nostra rubrica “Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti)“: come identificare e selezionare soluzioni più appropriate per raggiungere l’obiettivo di continuità operativa desiderato dall’azienda.

Nell’ultimo articolo abbiamo capito come usare al meglio di strumenti di Risk Assessment e Business Impact Analysis. È proprio sulla base dei risultati del BIA che il team definirà le effettive strategie di risposta e recupero, nonché le procedure per affrontare gli effetti di un’interruzione della produzione.

Stiamo parlando della fase di Progettazione (o Design).

Per ogni funzione, processo, servizio o prodotto critico, dovrebbero venir così pianificate adeguate misure di risposta, meglio se comprensive delle stime dei costi di ciascuna soluzione. 

Lo scopo della progettazione di strategie e tattiche di recupero sta nello stabilire precisamente quali siano le tempistiche di recupero, oltre ai mezzi necessari per completare tali attività rispettando le scadenze.

Nel corso di questo processo sono tre gli ambiti organizzativi da affrontare:

• Livello Strategico: prodotti e servizi
• Livello Tattico: infrastruttura dei processi di lavoro
• Livello Operativo: tutte le attività necessarie a fornire i prodotti e servizi alla clientela

I principi generali

Se, come abbiamo visto nella scorsa puntata, è nella fase di Analisi che si fissa la tolleranza massima di interruzione di un prodotto o servizio vitale (MTPD), è nella Progettazione che si stabilisce mette a punto il:

• Recovery time objective (RTO)

Definizione ISO:
“Il periodo di tempo  successivo ad un incidente, entro il quale un prodotto, servizio, un’attività o una risorsa deve essere ripristinato”

Idealmente, l’RTO per ogni prodotto o servizio critico dovrebbe essere impostato ad un valore inferiore al suo MTPD. 

Particolare cura deve essere riposta nell’assicurarsi che l’aggregazione degli RTO di tutti i processi e le attività (ed in cascata di tutti i servizi da essi dipendenti) non ecceda l’MTPD complessivo di tutti i processi. Ciò garantirà che l’interruzione individuale non minacci la sopravvivenza complessiva dell’organizzazione.

In un mondo ideale il budget non sarebbe un problema e il recupero sarebbe praticamente immediato, ma nella pratica è evidente che si debba sempre scendere a qualche compromesso. La chiave sta nel trovare il miglior equilibrio tra i costi e la velocità del recupero.

Nella maggior parte delle situazioni più l’RTO è breve,  maggiore è il costo per l’organizzazione, al contrario più si dilata più la soluzione adottata è conveniente.

Dobbiamo a questo punto introdurre anche il concetto di:

• Recovery point objective (RPO)

Definizione ISO:
“Il punto in cui le informazioni devono essere ripristinate per consentire all’attività interrotta di tornare operativa”

Solitamente, RTO più rilassati aumentano le probabilità che il recupero non venga effettuato dalla soglia MTPD, mentre un RPO più alto riduce le possibilità di successo delle operazioni di recupero.

Di conseguenza, ribadiamo, è molto importante trovare il giusto bilanciamento tra gli obiettivi di continuità operativa e il costo per raggiungerli.

Strategie e tecniche utili per dar corpo alla resilienza aziendale

Strategie

Esistono numerose strategie per raggiungere l’obiettivo di continuità operativa prefissato:

• diversificazione
• replicazione
• standby
• acquisizione post incidente
• non fare nulla
• subappalto

A prescindere da ciò, va comunque prevista un’assicurazione per compensare finanziariamente tutte le perdite economiche e le interruzioni subite dall’azienda. 

Tattiche

La pianificazione della continuità aziendale richiede di individuare delle tattiche da mettere in campo in casi di perdita delle risorse:

• persone (abilità e conoscenza)
• locali (edifici e strutture)
• risorse (IT, attrezzature, materiali, ecc.)
• fornitori (prodotti e servizi forniti da terzi parti)

Tutte le tattiche predisposte devono poter essere eseguite autonomamente (ad esempio, se la perdita è relativa ad un sistema informatico o una singola linea di produzione), ma devono anche poter interagire le une con le altre, in qualsiasi ordine o configurazione (per esempio, quando un edificio è distrutto da una catastrofe assieme a tutte le risorse in esso contenute, impedendo al personale di operare.

Nella prossima puntata

Nel prossimo articolo intitolato:

Progettazione | Dare forma alla resilienza parte seconda

entreremo nel dettaglio delle strategie e delle tecniche. Potremo quindi selezionare le soluzioni e le tattiche appropriate per raggiungere il livello ideale di resilienza.

A presto sul nostro blog, ma anche sui nostri canali social, per la prosecuzione del nostro viaggio nel mondo della Business Continuity!

Indice della Rubrica

Articoli

1. Presentazione | Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti) Un percorso formativo sulla Business Continuity

2. Introduzione | I fondamentali della Business Continuity 
   [prima parte] [seconda parte]

3. Preparazione | Creare un team per raggiungere l’obiettivo: non fermarsi mai
   [prima parte] [seconda parte]

4. Integrazione | Seminare la cultura della resilienza

5. Analisi | Gli strumenti di conoscenza: Valutazione del Rischio & Analisi dell’Impatto sul Business

6. Progettazione | Dare forma alla resilienza [prima parte] [seconda parte]

7. Implementazione | Redigere un buon documento di continuità operativa [prima parte] [seconda parte]

8. Validazione | Un processo continuo di miglioramento

9. Disaster Recovery | L’ancora di salvezza

Appendici

1. Catalogo ISO Business Continuity (prossimamente)

2. La genesi della Business Continuity