La Genesi della Business Continuity

Le prime manifestazioni della cosiddetta “Business Continuity” risalgono addirittura agli anni ’70: una grossa preoccupazione di carattere tecnico all’epoca era relativa al raffreddamento a liquido dei voluminosi mainframe, all’interno dei data center. Un problema oggi venuto meno grazie ai moderni sistemi di dissipazione ad aria, ma che all’epoca provocò un cambio di paradigma.

Ci si accorse che si era superato il punto di non ritorno: in caso di malfunzionamento dell’infrastruttura informatica, non c’era alcun modo per ripiegare su processi interamente manuali. Lo scoglio principale era di natura finanziaria: riuscire a giustificare ingenti investimenti per prevenire eventi difficili da stimare anche solo in termini probabilistici (considerando che si trattava di problemi sui quali ci si interrogava per la prima volta nella storia dell’informatica).

L’approccio alla continuità operativa ha subito una metamorfosi nei primi anni ’80, a non esser cambiato è il principio fondante: preservare l’organizzazione in tutte le sue declinazioni; dal business alla forza lavoro, dalla tecnologia impiegata nei processi aziendali alle strutture che ospitano queste attività.

La Gap Analysis (GA), così come il Risk Assessment (RA) hanno una storia di lunghissimo corso, mentre la Business Impact Analysis (BIA) è una disciplina più recente (apparsa sempre nei primi anni ’80). L’attività di protezione e archiviazione degli asset aziendali ha anticipato il Disaster Recovery (DR) che è oggi una delle più rilevanti misure preventive che un’organizzazione può implementare per rimane operativa anche nelle condizione più avverse.

Business Continuity e Disaster Recovery sono la norma, ma ovviamente non è sempre stato così; in passato, gli impiegati seguivano procedure operative pianificate specificamente per le emergenze. Negli Stati Uniti, agli albori, solo le istituzioni finanziarie avevano l’obbligo governativo di documentare protocolli relativi alla protezione dei dati e il loro eventuale recupero a seguito di un evento distruttivo.

Il governo federale statunitense introdusse i primi standard concernenti la Business Continuity negli anni ’90, coniando termini quali Continuity of Operations (COOP) e Continuity of Government (COG). Oggigiorno, tutte le agenzie federali sono obbligate ad avere un COOP Program e molti stati dell’unione hanno requisiti analoghi. In Inghilterra, il British Standard Institution definì il primo standard per la sicurezza informatica (che poi sarebbe culminato nella Norma ISO/IEC 27001:2013 ) dove veniva postulata la necessità di garantire la cosiddetta “disponiblità dei dati”.

Inizialmente, queste embrionali manifestazioni normative venivano solo applicate all’ambito informatico. Solo successivamente, a partire proprio dagli anni ’90, si iniziò a maturare la consapevolezza che fosse necessario un atteggiamento più trasversale: di qui una reinterpretazione olistica della resilienza, ora applicata anche alle risorse umane, così come a processi e asset aziendali a tuttotondo.

Determinanti infine, furono i drastici cambiamenti dei primi anni 2000. Il quadro tragico tratteggiato dagli attacchi terroristici agli Stati Uniti diede ulteriore impulso alla definizione di uno standard riconosciuto internazionalmente ( Norma ISO 22301:2012 ).

Fonti: searchdisasterrecovry.techtarget.com, wikipedia.org