Un’indagine promossa dal Club Ti di Milano ha voluto analizzare come le aziende sono organizzate per far fronte alla necessità di continuità operativa davanti a eventi disastrosi imprevisti
Se ne parla da sempre, ma la Business continuity è tutt’ora un tema di grande attualità, in considerazione dei danni che un’azienda subisce se le si ferma l’attività. Infatti, per Business continuity si intende un processo continuo che protegge il patrimonio aziendale, sia in termini di infrastrutture tecniche a supporto del business, sia in termini di asset tangibili e non. Garantisce, quindi, la continuità delle attività operative critiche per assicurare i flussi degli introiti di business. Un programma di continuità operativa coinvolge elementi di business, (che sono i processi, le persone, le facility, la comunicazione e le procedure) ed elementi tecnici, (come i data center site, le apparecchiature hardware, le applicazioni, la connettività e la documentazione tecnica).
Sul tema della Business continuity si è concentrata l’attività di un gruppo di lavoro del Club Ti di Milano (l’Associazione di professionisti dell’Ict), che con una prima fase di approfondimento ha voluto analizzare gli aspetti strategici (presentati in un recente meeting), mentre in un successivo incontro (previsto a settembre) verrà affrontato il tema dal punto di vista implementativo e gestionale.
Come base di partenza, il Club It milanese ha voluto anche sondare, con un’indagine, qual è la situazione presso le aziende degli associati, affidando la ricerca a Market Research & Technology, che alla fine di febbraio ha elaborato i dati emersi da un questionario online e inviato via mail ai 207 soci del Club e a 150 aziende e simpatizzanti. Cio, responsabili della sicurezza e dell’organizzazione sono state le figure di riferimento.
Il campione dell’indagine
Dalle prime 90 risposte pervenute, (ma il questionario è ancora attivo) è risultato che le aziende che compongono il campione hanno in media 765 dipendenti, e sono così suddivise: il 20% è costituito da realtà che vanno da 300 dipendenti a 1.000, il 40% è oltre questo valore, mentre del restante 40% un 24% ha meno di 50 dipendenti e il 16% va dai 50 ai 300. A livello di mercato, quello dei servizi è il più rappresentato (40%), seguito da industria (30%), Tlc e media (12%), distribuzione e consumer (8%), banche (7%), Pubblica amministrazione (2%) e assicurazioni e finanziarie (1%).
Entrando nel merito delle domande del questionario, è emerso che negli ultimi 5 anni il 15,6% del campione ha subìto un “evento disastroso”, che nel 21,5% dei casi ha impattato su tutte le aree mentre solo un 7% non ha avuto conseguenze. Del restante 71,5%, un 41% ha avuto problemi sui sistemi informativi, il 29% sulla produzione/erogazione di servizi, il 12% sulla logistica e distribuzione e una quota simile sull’amministrazione, finanza e controllo, mentre un 6% sulla R&D. Tra le cause dell’evento disastroso citate, emerge che il 22% ha avuto l’interruzione di utenze (e qui il dato è un po’ falsato e chiaramente riferibile al black out che nella notte del 27 settembre 2004 ha bloccato l’Italia), il 17% ha citato un guasto hardware e la stessa percentuale è risultata anche per le cause esterne, mentre le calamità naturali e l’errore umano si attestano entrambe sull’11%. In media, il tempo di ripristino dopo l’evento disastroso è risultato di 78 ore.
Alla domanda se nelle aziende del campione esiste un piano di Business continuity, il 64,5% ha risposto positivamente. Analizzando questo dato, si evidenzia che solo il 31% ha esteso la Bc all’intera attività aziendale, mentre il 35% si è preoccupato solo dell’area dei sistemi informativi, il 23% della produzione/erogazione di servizi, il 16% dell’amministrazione, finanza e controllo, il 12,5% del marketing e vendite, il 10,5% della logistica e il 3% della R&D. La verifica del piano di Bc avviene, in media, tra un periodo di 6 mesi e un anno.
All’interno del campione che ha dichiarato di non avere un piano di Bc (35,5%), in realtà un 37% ha ammesso di essere già in fase di attuazione, mentre un 30% ha risposto di non ritenerlo necessario e un 16,5% ha attribuito ai costi troppo elevati la mancanza di un piano.
Chi ha affermato di aver un progetto di Bc, nel 70% dei casi ha proceduto con un’analisi di “risk assessment” e, di questi, il 62% ha effettuato anche un’analisi dell’impatto sul business, che viene aggiornato annualmente nel 49% dei casi e all’occorrenza nel 41%. In fase di ripristino delle attività dopo un incidente, le priorità sono date all’It (per il 34,5% del panel), all’amministrazione (28%) e ai clienti/ordini/vendite (24%).
Interessante analizzare come viene gestito il processo di Bc: il 79% del campione lo fa internamente, il 7% lo affida completamente all’esterno, mentre il 14% lo delega solo in parte. In ogni caso, per il 46,5% del campione, il responsabile del processo di Business continuity riporta al Cio, mentre il 27,5% riporta direttattamente al top management.
A commento dell’indagine, Marco Bozzetti, presidente di Fida (Federazione Italiana delle Associazioni Professionali di Information Management) ha sottolineato che oggi, dal momento che le architetture informatiche sono più affidabili e performanti e le risorse Ict più preparate, si è notevolmente ridotto, anche presso le Pmi, il rischio di mancata continuità dei servizi tecnologici. Tuttavia negli anni 2000, i noti attentati di terrorismo, l’aumento di catastrofi naturali, a cui vanno aggiunti il verificarsi di prolungati black out e la crescente escalation di attacchi informatici, hanno portato le aziende a considerare il problema con un’ottica diversa e a dover prendere misure concrete per garantire il funzionamento dell’intero processo di business, peraltro ormai richiesto dai requisiti della governance, resa più stringente dalle ultime normative emanate (Sarbanes-Oxley, Basilea II, Solvency II e via dicendo). Molte aziende, quindi, si sono orientate ad affidare il problema in outsourcing o, diversamente, a creare un’architettura interna ridondante, mentre, soprattutto per ragioni di costi, sono poche quelle in grado di poter disporre di sedi logistiche alternative per gli utenti in caso di completa inagibilità della sede primaria.
Oggi la pervasività delle tecnologie Ict crea una completa dipendenza dalle reti di distribuzione dell’energia e delle Tlc, per cui, soprattutto nelle realtà di servizi, sia pubblici che privati, le soluzioni di Business continuity rappresentano una scelta obbligata che non deve riguardare solo l’Ict ma tutti i processi critici aziendali.
Inoltre, è ormai assodato che la valutazione del rischio che corre una società, se si blocca l’Ict, deve essere affrontata a livello di top management, meglio se all’interno di un programma di Corporate governance, che deve essere ampiamente condiviso e va raccomandato soprattutto per quelle società che sono quotate in Borsa.
