Adattarsi e rispondere ai rischi con un piano di business continuity (BCP)

Un piano di business continuity (BCP) è un documento che delinea come un'azienda potrà continuare ad operare durante un'interruzione non pianificata del servizio. È più completo di un piano di disaster recovery e comprende piani di emergenza per i processi aziendali, gli asset, le risorse umane e i partner commerciali; ogni aspetto del business che potrebbe essere colpito.

I piani tipicamente prevedono una checklist che include le forniture e le apparecchiature, il backup dei dati e le ubicazioni del sito di backup. I piani possono anche contenere i dati identificativi degli amministratori del piano e i contatti per i soccorritori di emergenza, il personale specializzato e i provider dei siti di backup. I piani possono fornire strategie dettagliate su come salvaguardare le operazioni commerciali dalle interruzioni sia a breve che a lungo termine.

Un componente chiave di un piano di business continuity (BCP) è un piano di disaster recovery che contenga strategie per gestire le interruzioni IT di reti, server, personal computer e dispositivi mobili. Il piano riguarda la possibilità di ristabilire la produttività degli uffici e il software aziendale in modo che le esigenze aziendali principali possano essere soddisfatte. Nel piano è necessario delineare i workaround manuali richiesti per far sì che le operazioni possano continuare fino al ripristino dei sistemi informatici.

In un piano di business continuity esistono tre aspetti principali per le applicazioni e i processi fondamentali:

• Disponibilità elevata: predisporre la capacità e i processi affinché un'azienda abbia accesso alle applicazioni, indipendentemente dai guasti locali. Questi guasti possono presentarsi nei processi aziendali, nelle strutture fisiche o nell'hardware o software IT.
• Operatività continua: salvaguardare la capacità di mantenere l'operatività durante un'interruzione, così come durante le operazioni d'interruzione pianificate, ad esempio i backup o la manutenzione programmati.
• Disaster recovery: stabilire un modo per ripristinare un data center in un sito diverso, nel caso in cui un evento dannoso dovesse distruggere il sito principale o renderlo inagibile.

Evoluzione dei piani di business continuity

La pianificazione di business continuity nasce dalla pianificazione per i disaster recovery nei primi anni '70. Le organizzazioni finanziarie, come le banche e le compagnie di assicurazione, hanno investito in siti alternativi. I nastri di backup erano conservati in siti protetti lontano dai computer. Gli sforzi di recupero sono stati quasi sempre innescati a seguito di un incendio, un'inondazione, una tempesta o altre devastazioni. Gli anni '80 hanno visto la crescita di siti commerciali di recupero che offrivano servizi informatici su base condivisa, ma la priorità era ancora solo il recupero informatico.

Gli anni '90 hanno portato a un forte aumento della globalizzazione aziendale e alla pervasività dell'accesso ai dati. Le aziende hanno cominciato a pensare oltre al disaster recovery e in modo più olistico all'intero processo della business continuity. Le aziende si sono rese conto che senza un accurato piano di business continuity avrebbero potuto perdere clienti e il loro vantaggio competitivo. Allo stesso tempo, la pianificazione della business continuity stava diventando più complessa, in quanto doveva tenere in considerazione architetture applicative come applicazioni distribuiti, elaborazione distribuita e dati distribuiti e ambienti informatici ibridi.

Le organizzazioni oggi sono sempre più consapevoli della loro vulnerabilità nei confronti degli attacchi informaticiche possono paralizzare un business o distruggere i suoi sistemi IT in modo permanente. Inoltre, la trasformazione digitale e l'iperconvergenza creano porte d'accesso involontarie a rischi, vulnerabilità, attacchi e fallimenti. I piani di business continuity devono includere una strategia di resilienza informatica che può aiutare un'azienda a resistere a incidenti informatici dirompenti. I piani tipicamente includono modi per difendersi da questi rischi, proteggere le applicazioni e i dati critici e riprendersi da una violazione o da un fallimento in un modo controllato e misurabile.

Esiste anche un problema relativo ai volumi di dati in rapida crescita. Applicazioni come il supporto decisionale, il data warehousing, il data mining e la gestione delle risorse dei clienti possono richiedere investimenti notevoli nello storage online.

Il ripristino dei dati non si presta più a un approccio unidimensionale. La complessa infrastruttura IT della maggior parte delle installazioni ha superato la capacità della maggior parte dei negozi di rispondere nel modo in cui lo facevano solo pochi anni fa. Alcuni studi hanno dimostrato che senza un'adeguata pianificazione, le aziende che nell'immediato si sono riprese a seguito di un evento dannoso, spesso non sono sopravvissute nel medio periodo.

Perché è importante un piano di business continuity? 

È importante avere pronto un piano di business continuity per identificare e affrontare la sincronizzazione tra i processi, le applicazioni e l'infrastruttura IT dell'azienda. Secondo IDC, in media, un guasto dell'infrastruttura può costare 100.000 dollari all'ora e un guasto critico di applicazione può costare da 500.000 a 1 milione di dollari all'ora. 

Per resistere e prosperare di fronte a queste molteplici minacce, le aziende hanno capito che devono fare di più che creare un'infrastruttura affidabile che supporti la crescita e protegga i dati. Le aziende stanno ora sviluppando piani olistici di business continuity che possono mantenere il business attivo e funzionante, proteggere i dati, salvaguardare il marchio, mantenere i clienti - e infine aiutare a ridurre i costi operativi totali a lungo termine. Avere un piano di business continuity in atto può ridurre al minimo i tempi di inattività e ottenere miglioramenti sostenibili nella business continuity, nel disaster recovery IT, nelle capacità di gestione delle crisi aziendali e nella conformità normativa.

Tuttavia, sviluppare un piano completo di business continuity è diventato più difficile perché i sistemi sono sempre più integrati e distribuiti in ambienti IT ibridi, creando potenziali vulnerabilità. Collegare più sistemi critici insieme per gestire aspettative più elevate complica la pianificazione della business continuity - insieme al disaster recovery, alla resilienza, alla conformità normativa e alla sicurezza. Quando un anello della catena si rompe o viene attaccato, l'impatto può ripercuotersi su tutto il business. Un'organizzazione può andare incontro a una perdita di entrate e a una perdita di fiducia da parte dei clienti se non riesce a mantenere la resilienza del business e contemporaneamente adattarsi e reagire rapidamente a rischi ed opportunità.

Utilizzare consulenze, software e soluzioni basate su cloud per un piano di business continuity

Molte aziende hanno difficoltà a far evolvere le loro strategie di resilienza abbastanza velocemente per affrontare gli ambienti IT ibridi di oggi e le mutevoli esigenze di business. In un mondo sempre attivo, 24/7, le aziende globali possono guadagnare un vantaggio competitivo - o perdere quote di mercato - a seconda dell'affidabilità con cui le risorse IT soddisfano le esigenze del core business.

Alcune organizzazioni utilizzano servizi di consulenza esterni per la gestione della business continuity per identificare e affrontare la sincronizzazione della resilienza tra processi aziendali, applicazioni e infrastruttura IT. I consulenti possono fornire una consulenza flessibile sulla business continuity e sul disaster recovery per soddisfare le esigenze di un'azienda; tra cui valutazioni, pianificazione e progettazione, implementazione, test e gestione completa della business continuity.

Ci sono servizi proattivi, quali Kyndryl IT Infrastructure Recovery Services, che aiutano le aziende a identificare i rischi e assicurando che siano preparate a rilevare, reagire e ripristinare a seguito di un'interruzione.

Con l'aumento degli attacchi informatici, le aziende stanno passando da un approccio di ripristino tradizionale o manuale a un approccio di resilienza automatizzato e software-defined. I Cyber Resilience Services di Kyndrylutilizzano tecnologie avanzate e best practice per aiutare a valutare i rischi, assegnare priorità e proteggere applicazioni e dati fondamentali per il business. Questi servizi possono anche aiutare le aziende a eseguire il ripristino rapido dell'IT durante e dopo un attacco informatico.

Altre aziende si affidano a servizi di backup basati su cloud, come Disaster Recovery as a Service (DRaaS) di Kyndryl, per ottenere una replica continua di applicazioni, infrastrutture, dati e sistemi fondamentali per un ripristino rapido a seguito di un'interruzione dell'IT. Esistono anche soluzioni di server virtuali, come Cloud Virtualized Server Recovery di Kyndryl per proteggere i server critici in tempo reale. Questo permette il ripristino rapido delle tue applicazioni in un Resiliency Center di Kyndryl per mantenere le attività operative durante i periodi di manutenzione o i periodi di inattività inaspettati.

Per un numero sempre maggiore di organizzazioni, la soluzione consiste, insieme all'orchestrazione di resilienza, in un approccio basato sul cloud che utilizza l'automazione del disaster recovery e una suite di strumenti di gestione della business continuity, progettati in modo specifico per gli ambienti IT ibridi. Ad esempio, Resiliency Orchestration di Kyndryl aiuta a proteggere le dipendenze dei processi aziendali tra applicazioni, dati e componenti dell'infrastruttura. Esso aumenta la disponibilità delle applicazioni aziendali in modo che le aziende possano accedere all'intelligenza di alto livello o approfondita, necessaria per il Recovery Point Objective (RPO), il Recovery Time Objective (RTO) e il complessivo stato di integrità dell'IT da un dashboard centralizzato.

Le caratteristiche principali di un efficace piano di business continuity (BCP)

I componenti della business continuity sono:

• Strategia: oggetti correlati alle strategie utilizzate dall'azienda per completare le attività quotidiane garantendo la continuità delle operazioni
• Organizzazione: oggetti correlati a struttura, competenze, comunicazioni e responsabilità dei suoi dipendenti
• Applicazioni e dati: oggetti correlati al software necessario per abilitare le operazioni di business, oltre al metodo per fornire l'alta disponibilità, utilizzato per implementare quel software
• Processi: oggetti correlati al processo fondamentale di business necessario per il funzionamento aziendale, quali i processi IT utilizzati per garantire un'operatività efficiente
• Tecnologia: oggetti correlati ai sistemi, alla rete e alla tecnologia specifica del settore, necessari per consentire funzionamento e backup continui di applicazioni e dati
• Strutture: oggetti correlati alla creazione di un sito di disaster recovery, nel caso in cui il sito primario venga distrutto

Il piano di business continuity diventa una risorsa di riferimento durante un evento di business continuity o di crisi ed è il modello di strategia per affrontare tale evento o crisi.

La figura qui di seguito illustra un processo di pianificazione di business continuity utilizzato da Global Technology Services di Kyndryl. È un ciclo chiuso che ha come obiettivo sostenere l'iterazione continua e il miglioramento. Il processo di pianificazione comprende tre sezioni principali:

• Assegnazione delle priorità aziendali: identificare vari rischi, minacce e vulnerabilità e stabilire le priorità.
• Integrazione nell'IT: prendere spunto dall'assegnazione delle priorità aziendali e preparare un progetto generale per il programma di business continuity.
• Gestione: applicare ciò che è stato valutato e progettato.