CLOSE
La strategia di Si.Va.F. è di migliorare sempre piu’ la qualità dei propri prodotti e servizi indirizzati ai propri clienti, vendors e partners, in modo da poter continuare ad offrire alle migliori condizioni commerciali, prodotti tecnologicamente avanzati.

Implementazione | Redigere un buon documento di continuità operativa (seconda parte)

In questo nuovo articolo della nostra rubrica “Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti)“: 

alla luce dei risultati ottenuti nelle fasi di Analisi e Progettazione che abbiamo sviscerato negli ultimi articoli, continuiamo la narrazione di come documentare nella pratica il “Piano di Continuità Aziendale”.

A livello pratico le metodologie, gli strumenti e le tecniche per consentire lo sviluppo di un piano di continuità includono:

  • Riunioni e interviste (strutturate e non strutturate)
  • Checklist
  • Laboratori

Il testo delle procedure d’emergenza deve essere conciso e facile da leggere. Come abbiamo già detto, è materiale che viene utilizzato in situazioni di alta pressione, per cui vanno evitate tutte le informazioni superflue o non strettamente necessarie.

Un’altra caratteristica del piano, non obbligatoria ma certamente molto utile, riguarda la sua natura modulare, così che a ogni squadra di risposta possano venir fornite solo le sezioni pertinenti alle loro attività. Se l’approccio adottato è questo, è consigliabile in ogni caso che l’organizzazione si doti di una versione del piano completa, comprensiva di tutte le sezioni.

L’aspetto forse più determinante in assoluto nella fase di stesura del piano è relativo alla necessità di rendere questo sforzo collettivo: chiunque sia stato individuato come figura chiave nell’ambito della business continuity deve essere incentivato a portare il proprio contributo. 

E’ vitale in tal senso che le copie del BCP vengano conservate in luoghi chiave, noti a tutte le parti interessate e quando il piano è conservato digitalmente, va chiaramente verificato che il suo contenuto sia in ogni caso accessibile durante il periodo di crisi.

Un regolamento chiaro (deve essere intelligibile da qualunque risorsa aziendale) e condiviso stimola il morale e la fidelizzazione dei dipendenti verso l’azienda.

I dipendenti sono inclini a cercare la stabilità nel loro impiego, un valido BCP è un modo per il management di dare certezze in maniera trasparente ed esplicita. L’orgoglio di appartenenza ad un’organizzazione efficiente e sicura è una solida motivazione che spinge le persone ad impegnarsi maggiormente e a partecipare attivamente nelle scelte aziendali che li coinvolgono.

L’implementazione è la pratica professionale all’interno del ciclo di vita della gestione della continuità aziendale che implementa le soluzioni concordate in fase di progettazione. L’implementazione si ottiene sviluppando piani di continuità aziendale per soddisfare i requisiti e le soluzioni di continuità aziendale concordati dall’organizzazione identificati nella fase di analisi e progettazione del ciclo di vita. La fase di implementazione include anche lo sviluppo di una struttura di risposta che definisce i ruoli, l’autorità e le competenze necessari per gestire un incidente.

Il termine “piano di continuità operativa” (BCP) suggerisce un unico documento. Tuttavia, può esistere una varietà di piani a qualsiasi livello organizzativo. Il BCP può infatti comprendere diversi documenti. Può coprire un’organizzazione completa o parte di un’organizzazione e può essere strutturata in base alle dimensioni, alla complessità e al tipo, ad esempio, per prodotti, servizi, ubicazioni, divisioni o dipartimenti. I tre livelli di piani sono i seguenti;

  • Piani strategici; Questo è un piano di alto livello che definisce come affrontare e gestire le questioni strategiche derivanti da un incidente. 
  • Piani tattici; Questo piano si concentra sul coordinamento della risposta a un incidente e sulla facilitazione della continuità delle attività prioritarie. 
  • Piani operativi; Questo piano determina i singoli dipartimenti coinvolti nella risposta all’incidente. 

I piani devono essere sufficientemente flessibili da adattarsi all’incidente specifico che si è verificato e alle opportunità che potrebbe aver creato. Tuttavia, in alcune circostanze, i piani specifici degli incidenti sono appropriati per affrontare una minaccia o un rischio significativi, ad esempio un piano di pandemia o un piano di richiamo del prodotto. I piani sviluppati per affrontare una specifica minaccia o rischio sono spesso chiamati piani di emergenza. 

Molte organizzazioni potrebbero disporre di procedure esistenti che affrontano la risposta a vari tipi di interruzione. Ad esempio, piani di evacuazione, salute e sicurezza, continuità del servizio ICT, sicurezza fisica, comunicazione di crisi e sicurezza delle informazioni. 

Un’efficace capacità di risposta organizzativa può essere raggiunta se i professionisti della continuità aziendale collaborano con altri professionisti responsabili della gestione della risposta nelle rispettive discipline di gestione.

I seguenti sono elementi della fase di attuazione; 

Struttura della risposta 

Questo processo ha istituito sistemi di comando, controllo e comunicazione per garantire che l’organizzazione disponga di un meccanismo chiaramente documentato e ben compreso per rispondere a un incidente, indipendentemente dalla sua causa. 

Sviluppo e gestione di piani 

È possibile creare piani di continuità aziendale per soddisfare i requisiti strategici, tattici e operativi dell’organizzazione. I piani dovrebbero essere determinati dalla struttura di risposta e dalle soluzioni di continuità aziendale concordate in fase di progettazione. 

SCRITTURA DEL PIANO DI CONTINUITÀ AZIENDALE

Dopo aver eseguito i primi tre passaggi sopra menzionati, si è ora pronti a compilare e documentare le attività di pianificazione della continuità operativa nel Piano di continuità operativa, modificandolo ai fini della finalizzazione dopo il test e l’audit. Fondamentalmente, tutto ciò che hai eseguito in BCM sarà documentato in The Plan.

A seconda della natura dell’attività, il piano può avere caratteristiche speciali o parti aggiuntive. Ma in generale, un piano di continuità ha le seguenti sezioni:

1. Amministrazione del programma

Di solito, ciò si presenta sotto forma di una dichiarazione di missione che contiene quanto segue:

  • Lo scopo del piano, dichiarato a beneficio e coinvolge l’organizzazione nel suo insieme e non in parti
  • L’ambito, gli scopi e gli obiettivi del BCP aziendale
  • I metodi di valutazione che verranno impiegati
  • Il budget, in particolare i costi previsti e previsti che saranno richiesti
  • Altri requisiti di risorse Cronologia
  • anticipata dello svolgimento della BCP
  • conformità con qualsiasi legge e / o requisiti normativi

2. Governance

Questo dettaglio descriverà la formazione del team di continuità aziendale. L’accento deve essere posto sulle seguenti informazioni:

  • i membri del team, i loro titoli o designazioni, nonché i loro ruoli e responsabilità come membri del team BCP. Includi i loro dettagli di contatto.
  • Le linee di autorità e la successione della gestione, dimostrando chiaramente la delega di autorità e responsabilità.
  • Entità esterne o organizzazioni con cui l’azienda interagirà nella condotta di BCP. Includono venditori, distributori, appaltatori, fornitori e simili.

La presentazione di questa sezione è rafforzata includendo un diagramma organizzativo o funzionale che mostra le linee e le interconnessioni tra i membri del team e le parti esterne.

3. Analisi dell’impatto sul business

Documenta tutti i risultati del BIA condotti dal team. Ancora una volta, sii il più dettagliato possibile.

Dovrebbero essere inclusi i risultati di eventuali precedenti procedure di valutazione del rischio intraprese dalla società, in quanto comporteranno un ruolo importante nella condotta della BIA. Identificando le vulnerabilità dell’azienda e il loro potenziale impatto sulle sue operazioni, la società sarà in grado di determinare il suo stato di prontezza e reattività nel caso in cui si verifichi un disastro che possa causare interruzioni.

Altri punti che devono essere evidenziati in questa sezione sono:

  • Recovery Time Objectives (RTO) per i processi e le funzioni aziendali, in caso di interruzione. Questa è fondamentalmente la stima della durata massima o del periodo di tempo in cui i processi e le funzioni interrotti devono essere recuperati o ripristinati, prima che la continuità aziendale sia seriamente minacciata.
  • Recovery Point Objective (RPO) per il ripristino dei dati. Questo è il periodo di tempo massimo durante il quale i dati nell’ infrastruttura IT o nel database di un’azienda potrebbero essere persi o inaccessibili a causa di un’emergenza o di un disastro. Quando i progettisti di sistema e gli analisti vengono chiamati a lavorare sul recupero o il ripristino dei dati, sapranno quanto tempo viene loro concesso per raggiungere questo obiettivo.

4. Strategie e requisiti di continuità operativa

Tutti i piani, le misure, le procedure e gli accordi, nonché le risorse e altri requisiti per implementarli, devono essere documentati in questa sezione, in modo dettagliato.

Si noti che BCM è un processo in corso, il che significa pianificare strategie che verranno utilizzate prima, durante e dopo un evento dirompente.

Esempi sono le strategie dettagliate e i requisiti di risorse per:

  • implementazione ed esecuzione di strategie di prevenzione e controllo, o le attività che verranno intraprese prima che l’evento abbia luogo. Esempi sono:
    • installazione di strutture, sistemi e misure di protezione fisica, come generatori di emergenza e persiane.
    • Diversificazione dei fornitori di risorse ed espansione della catena di approvvigionamento, magari cercando altri fornitori e venditori alternativi in ​​modo da non dipendere interamente da una singola fonte.
    • Impostazione di strutture off-site come backup o alternative per server, archiviazione e magazzinaggio, tra l’altro
  • Implementazione ed esecuzione di strategie di risposta alle emergenze o attività durante l’evento. Esempi di queste risposte di emergenza sono:
    • Creazione di un centro di comando di risposta agli incidenti
    • Procedure di evacuazione
    • Diffusione delle informazioni ai media e al pubblico
    • Consegna di notifiche e aggiornamenti di stato a fornitori, venditori, distributori e clienti
  • Implementazione ed esecuzione di strategie di recupero attività dopo che l’evento ha avuto luogo e sono stati fatti sforzi per riprendere le operazioni. Le strategie di esempio sono:
    • Trasferimento o trasferimento di operazioni in un’altra area geografica
    • Metodi o processi alternativi, come soluzioni manuali, o metodi temporanei impiegati o utilizzati dall’azienda per facilitare il proseguimento di processi e funzioni critici in assenza di normali sistemi e personale
    • Dati restauro, in particolare quando le unità informatiche della società hanno ricevuto il peso maggiore dell’interruzione

5. Formazione, prove e valutazione

Per quanto riguarda la formazione, il piano dovrebbe includere i seguenti dettagli:

  • programma di formazione o curriculum che saranno seguiti dai membri dell’azienda team di continuità e gli altri membri dell’organizzazione.
  • Cronologia o programma di formazione dei membri del team e di altro personale

Quando si valutano le strategie pianificate, nel Piano devono essere presenti anche:

  • Procedure di test per le strategie di recupero e risposta
  • test o cronologia per lo svolgimento delle procedure
  • Moduli e documenti che verranno utilizzati nei test e nella valutazione
  • descrizione dei dettagli più precisi sugli esercizi che verranno condotti

6. Manutenzione del programma

Il piano servirà anche come record storico o riferimento per tracciare il processo di gestione della continuità aziendale. Pertanto, quando si scrive degli aggiornamenti o delle rettifiche apportate, dovrebbe esserci un riferimento sulle carenze o sui problemi risolti dalle rettifiche o dalle azioni correttive.

Il piano di continuità operativa è essenzialmente la Bibbia dell’azienda durante i periodi di crisi o quando deve far fronte alle conseguenze di un disastro. Di solito, le persone hanno difficoltà a pensare direttamente durante eventi e sconvolgimenti così importanti, e The Plan fungerà da guida che guiderà l’azienda nella giusta direzione.

Quando si redige un piano di continuità operativa, l’accuratezza è di grande importanza, dalle informazioni personali di tutti gli individui e le entità coinvolte ai loro ruoli e responsabilità. Dovrebbe anche rimanere rilevante in ogni momento e ciò può essere ottenuto assicurandosi che sia aggiornato. Infine, quando scrivi The Plan, fallo in modo tale che possa essere facilmente compreso da chiunque lo legga, dal senior management al dipendente più basso dell’organizzazione. Non sarà di alcuna utilità se cercare di dare un senso a ciò che ha scritto su di esso diventa una sofferenza.

Nella prossima puntata

In queste due puntate abbiamo potuto redigere un BCP di forma e sostanza utile e corretto allo scopo per cui è nato. Aiutare le persone in momenti di crisi tramite una guida, a svolgere quelle operazioni utili a ristabilire nel minor tempo e con la maggior efficacia possibile il normale corso degli eventi.

Nel prossimo articolo intitolato:

Validazione | Un processo continuo di miglioramento

leggeremo di come sia migliorata l’efficienza complessiva.

Un BCP consentirà di rispondere in modo rapido e appropriato, mantenendo al minimo perdite e costi, poiché esiste già un piano in atto. La sua pianificazione permetterà di adeguare e migliorare anche situazioni di quotidiana inefficienza e/o di cattiva gestione e organizzazione delle attività.

Indice della Rubrica

Articoli

  1. Presentazione | Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti) Un percorso formativo sulla Business Continuity

  2. Introduzione | I fondamentali della Business Continuity 
    [prima parte] [seconda parte]

  3. Preparazione | Creare un team per raggiungere l’obiettivo: non fermarsi mai
    [prima parte] [seconda parte]

  4. Integrazione | Seminare la cultura della resilienza

  5. Analisi | Gli strumenti di conoscenza: Valutazione del Rischio & Analisi dell’Impatto sul Business

  6. Progettazione | Dare forma alla resilienza [prima parte] [seconda parte]

  7. Implementazione | Redigere un buon documento di continuità operativa [prima parte] [seconda parte]

  8. Validazione | Un processo continuo di miglioramento

  9. Disaster Recovery | L’ancora di salvezza

Appendici

  1. Catalogo ISO Business Continuity (prossimamente)

  2. La genesi della Business Continuity



Ultimi articoli

Vai al blog
Blog | 18 Febbraio 2020

Inizia subito ad utilizzare siSuite

Blog | 17 Febbraio 2020

PROMO 2020

siSuite in offerta promozionale a 20 € utente / mese per 20 mesi. Approfittane subito.

La nostra Newsletter

Seguici per scoprire le ultime novità e gli articoli di approfondimento del nostro blog


ISCRIVITI