La gestione dell’emergenza sanitaria causata dalla pandemia COVID-19 ha riproposto con forza la tematica della business continuity (BC), che è risultata fin qui spesso sottovalutata.
Le situazioni avverse – non solo quelle connesse a epidemie, disastri e calamità – possono essere molteplici per un’organizzazione indipendentemente dal settore in cui questa opera. Sempre più il mercato ricerca nella catena di fornitura il rispetto di aspetti specifici della business continuity, anche alcune leggi e regolamenti iniziano a focalizzarsi su tali aspetti specifici, non tanto come elemento distintivo ma quanto come elemento primario per assicurare la produzione di beni e/o l’erogazione dei servizi.
C’è un fattore poco chiaro che contribuisce alla scarsa comprensione della BC: l’opinione distorta e diffusa che la business continuity si riferisca solo alle tecnologie informatiche e alle telecomunicazioni (ICT) o, peggio ancora, che sia equivalente al disaster recovery.
Che la ISO 22301 (norma per i Sistemi di Gestione per la Business Continuity) sia incentrata sulla salvaguardia delle vite umane e poi del business è chiaramente dimostrato e questo dovrebbe fugare definitivamente ogni possibile limitazione alla sua applicazione ai soli fattori di operatività di una qualsiasi organizzazione.
Va chiarito che business continuity (difficilmente traducibile in italiano e certamente non con “continuità operativa” che significa tutt’altro) è qualcosa che parte dalla Direzione, è parte della governance e delle strategie di un’organizzazione. I progetti di BC hanno infatti un approccio top-down proprio per le tematiche e finalità che abbracciano.
I quattro valori che la BC chiede di definire sono:
- Maximum Acceptable Outage (MAO) or Maximum Tolerable Period of Disruption (MTPoD or MTPD)
– Time it would take for adverse impacts, which might arise as a result of not providing a product/service or performing an activity, to become unacceptable.
- Minimum Business Continuity Objective (MBCO)
– Minimum level of services and/or products that is acceptable to the organization to achieve its business objectives during a disruption.
- Recovery Time Objective (RTO)
– Target time following an incident for: product or service delivery resumption (RTO < MTPD), or Activity resumption, or Resources recovery
- Recovery Point Objective (RPO) or Maximum Data Loss (MDL)
– Point to which information used by an activity must be restored to enable the activity to operate on resumption.
Analizzando i contenuti di questi valori è evidente che risulta difficile pensare alla continuità in termini di operatività: qui si tratta di strategia e di business in senso più ampio.
IDRA Srl e i suoi professionisti sono pronti a supportarVi nello sviluppo del piano secondo la ISO 22301.