Business continuity plan

Da Wikipedia, l'enciclopedia libera.

Il Business Continuity Plan (BCP) o Piano di continuità aziendale è il documento principale che contiene le attività, le azioni ed i piani relativi alla continuità operativa (business continuity) di un'azienda.

Finalità[modifica | modifica wikitesto]

Si tratta di un piano logistico finalizzato a documentare il modo in cui un'organizzazione può far tornare operative le sue funzioni critiche entro un predeterminato periodo di tempo dopo un disastro o un grave danno. In altri termini il BCP costituisce lo strumento attraverso cui una organizzazione si prepara per futuri incidenti che possono minacciare le sue funzioni vitali e la sua sopravvivenza a lungo termine. Gli incidenti da prevedere sono svariati, tra essi gli incendi, i terremoti o anche malattie epidemiche.

Il BCP può essere parte del processo organizzativo attraverso cui si cerca di ridurre il rischio operativo e può essere integrato nelle attività di miglioramento della sicurezza informatica e della gestione del rischio. Nelle grandi organizzazioni i processi di gestione della continuità operativa comprendono anche il cosiddetto disaster recovery (che normalmente è riferito soprattutto al ripristino delle funzionalità dei sistemi informatici) e la gestione delle crisi (che riguarda invece ogni tipo di crisi).

Redigere un BCP consente di:

  • Reagire per assicurare il ripristino della situazione ottimale, in caso di processi critici
  • Guidare le scelte in caso di crisi
  • Stabilire le procedure alternative per garantire l'operatività.
  • Minimizzare il tempo di interruzione dei processi aziendali critici.
  • Garantire l'efficacia delle procedure di ripristino.

Efficacia[modifica | modifica wikitesto]

L'efficacia di un BCP si basa sull'accettazione del fatto che esista sempre un elemento di rischio e sul modo di reagire allo stesso, valutandolo, stimandone gli effetti e stabilendo se e come assumerselo. Tutte queste operazioni permettono di garantire la continuità operativa, analizzando e definendo processi essenziali e di supporto, per stabilire un piano di continuità.

Nel mondo degli affari lo scenario è molto competitivo e ciò influenza continuamente il business, con fattori endogeni (riassetto organizzativo) ed esogeni (reazioni a cambiamenti del mercato). Pertanto, il BCP è valido solo fino a quando i suoi elementi non cambiano. Detto ciò, si comprende che un piano di continuità nasce dell'esigenza di affidabilità dei sistemi, sia come risposta a problemi IT, sia come disponibilità dei sistemi a supporto dei processi di business.

Un piano di continuità aziendale dev'essere continuamente testato ed aggiornato per ottenere la massima aderenza alle esigenze del business. Una soluzione di BC non aggiornata è completamente inutile, in quanto basta una piccola variazione di un qualsiasi componente base del processo per far crollare tutto il piano.

La garanzia di successo di un BCP dipende da alcuni fattori connessi tra loro, tra i quali:

  • Tempo
  • Aggiornamento continuo delle soluzioni
  • Valutazione continua del rapporto tra costo/complessità della soluzione e tra valore/priorità del business e normativa del processo protetto.
  • Costi complessivi
  • Ampiezza dell'impatto tra le funzioni coinvolte.

Il maggior elemento di criticità, invece, è costituito dal seguire di pari passo l'evoluzione della tecnologia, del mercati e della clientela, tutti fattori in la cui velocità di cambiamento è impressionante. L'unica maniera per ridurre la complessità portandola ad una dimensione gestibile ed efficace, mantenendo costi controllati, è la gradualità nella soluzione sia come numero di processi considerati, sia come profondità e dettaglio dell'analisi. L'aumento tout-court del numero di risorse dedicate (sia interne, che esterne) e del budget economico ha un andamento inferiore rispetto al volume di soluzioni prodotte, in quanto la fruibilità delle soluzioni (condizione necessaria per essere effettivamente tale) rischierebbe di scontrarsi con una struttura non pronta a recepirle e ad attuarle in caso di necessità.

Standard di riferimento[modifica | modifica wikitesto]

Nel mese di maggio del 2012 è stata pubblicata dall'International Organization for Standardization la Norma ISO 22301:2012 Societal security -- Business continuity management systems -- Requirements[1], alla quale nel mese di dicembre ha fatto seguito la Norma ISO 22313:2012 Societal security -- Business continuity management systems -- Guidance[2]. Nel mese di dicembre del 2015, invece, sono state emanate le seguenti Technical Specification correlate: ISO TS 22317:2015 Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)[3] e ISO TS 22318:2015 Societal security -- Business continuity management systems -- Guidelines for supply chain continuity[4].

In materia di Crisis Management, invece, nel mese di maggio del 2014 è stato pubblicato dal British Standard Institute la Norma BS 11200:2014 Crisis management -- Guidance and good practice[5].

Inoltre, il Business Continuity Institute nel 2013 ha rilasciato le BCI Good Practice Guidelines[6] - basate sulla Norma ISO 22301:2012 - che ad oggi rappresentano il principale punto di riferimento a livello internazionale dei professionisti di business continuity per la gestione di un Programma di continuità operativa in azienda.

Contenuti del piano[modifica | modifica wikitesto]

Il piano include:

  • la descrizione del response team, le responsabilità e l'organizzazione;
  • definizione dello staff di supporto e di coordinamento;
  • individuazione della sede ed equipaggiamento del Centro di emergenza (crisi)

Il BCP può essere anche costituito da più piani dipartimentali integrati tra loro; occorre quindi stabilire meccanismi di manutenzione e integrazione dei vari piani, allocando i vari task e le responsabilità, identificando contatti, fornitori, risorse, canali di comunicazione interna ed esterna.

Il piano contiene le procedure di continuità, in particolare i processi mission critical e le funzioni vitali dell'organizzazione, quali sono le risorse disponibili e come devono essere utilizzate per assicurare la continuità.

Si indicheranno:

  • l'uso e la locazione e protezione di informazioni critiche;
  • gli strumenti di telecomunicazione;
  • i requisiti del personale necessari per garantire il livello prefissato di servizio

Struttura di un piano tipo[modifica | modifica wikitesto]

Il BCP ha una struttura del tipo:

  • Introduzione
    • Obiettivi
    • Responsabilità
    • Esercitazione e manutenzione
  • Attivazione del piano
    • Dichiarazione di disastro o di incidente
    • Valutazione del danno
    • Procedure di azione e continuità
    • Organizzazione del team e responsabilità
    • Centro di Emergenza o Crisi
  • Comunicazioni
    • Soggetti da informare
    • Contatti
    • Messaggi
  • Fornitori
    • Lista dei fornitori di recovery
    • Dettagli dei contratti

Il documento deve essere costantemente aggiornato con la gestione dei processi secondo la logica del Ciclo di Deming.

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Economia Portale Economia: accedi alle voci di Wikipedia che trattano di economia
  1. ^ (EN) ISO 22301:2012 - Societal security -- Business continuity management systems --- Requirements, su ISO. URL consultato il 21 gennaio 2017.
  2. ^ (EN) ISO 22313:2012 - Societal security -- Business continuity management systems -- Guidance, su ISO. URL consultato il 21 gennaio 2017.
  3. ^ (EN) ISO/TS 22317:2015 - Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA), su ISO. URL consultato il 21 gennaio 2017.
  4. ^ (EN) ISO/TS 22318:2015 - Societal security -- Business continuity management systems -- Guidelines for supply chain continuity, su ISO. URL consultato il 21 gennaio 2017.
  5. ^ BS 11200:2014 Crisis management. Guidance and good practice, su shop.bsigroup.com. URL consultato il 21 gennaio 2017.
  6. ^ (en-gb) Super User, The Good Practice Guidelines, su www.thebci.org. URL consultato il 21 gennaio 2017. Lingua sconosciuta: en-gb (aiuto)