Cosa è un business continuity plan?
Un business continuity plan è un documento che delinea come un'azienda continuerà ad operare durante un'interruzione non pianificata del servizio. È più completo di un piano di disaster recovery e comprende piani di emergenza per i processi aziendali, i beni, le risorse umane e i partner commerciali - ogni aspetto del business che potrebbe essere colpito.
I piani contengono tipicamente una checklist che include le forniture e le apparecchiature, il backup dei dati e le ubicazioni del sito di backup. I piani possono anche identificare gli amministratori del piano e includere informazioni di contatto per i soccorritori di emergenza, il personale principale e i fornitori di siti di backup. I piani possono fornire strategie dettagliate su come salvaguardare le operazioni commerciali dalle interruzioni sia a breve che a lungo termine.
Un componente fondamentale di un BCP è un piano di disaster recovery che include le strategie per gestire le interruzioni IT su reti, server, personal computer e dispositivi mobili. Il piano riguarda la possibilità di ristabilire la produttività degli uffici e il software aziendale in modo che le esigenze aziendali principali possano essere soddisfatte. Nel piano è necessario delineare i workaround manuali richiesti per far sì che le operazioni possano continuare fino al ripristino dei sistemi informatici.
Esistono tre aspetti principali in un piano di business continuity per le applicazioni e i processi fondamentali:
- Elevata disponibilità: predisporre la capacità e i processi affinché un'azienda disponga dell'accesso alle applicazioni indipendentemente dai guasti locali. Questi guasti possono presentarsi nei processi aziendali, nelle strutture fisiche o nell'hardware o software IT.
- Attività continue: salvaguardare la capacità di mantenere il funzionamento durante un'interruzione, così come durante le operazioni pianificate quali i backup programmati o la manutenzione programmata.
- Disaster recovery: determinare una strategia di ripristino per un centro dati in un sito diverso se un disastro dovesse distruggere il sito principale o dovesse renderlo inutilizzabile.
Evoluzione dei business continuity plan
La pianificazione della continuità operativa è emersa dalla pianificazione del disaster recovery nei primi anni '70. Le organizzazioni finanziarie, come le banche e le compagnie di assicurazione, hanno investito in siti alternativi. I nastri di backup erano conservati in siti protetti lontano dai computer. Gli sforzi di recupero sono stati quasi sempre innescati a seguito di un incendio, un'inondazione, una tempesta o altre devastazioni. Gli anni '80 hanno visto la crescita di siti commerciali di recupero che offrivano servizi informatici su base condivisa, ma la priorità era ancora solo il recupero informatico.
Gli anni '90 hanno portato un forte aumento della globalizzazione aziendale e la pervasività dell'accesso ai dati. Le aziende pensavano al di là del disaster recovery e in modo più olistico all'intero processo di business continuity. Le aziende si sono rese conto che senza un accurato piano di business continuity avrebbero potuto perdere clienti e vantaggio competitivo. Allo stesso tempo, la pianificazione della business continuity stava diventando più complessa perché doveva tenere in considerazione architetture applicative come applicazioni distribuite, elaborazione distribuita, dati distribuiti e ambienti informatici ibridi.
Le organizzazioni oggi sono sempre più consapevoli della loro vulnerabilità nei confronti degli attacchi informatici che possono paralizzare un business o distruggere permanentemente i relativi sistemi IT. Inoltre, la trasformazione digitale e l'iperconvergenza creano porte d'accesso involontarie a rischi, vulnerabilità, attacchi e fallimenti. I piani di business continuity devono includere una strategia di resilienza informatica che può aiutare un'azienda a resistere a incidenti informatici dirompenti. I piani tipicamente includono modi per difendersi da questi rischi, proteggere le applicazioni e i dati critici e riprendersi da una violazione o da un fallimento in un modo controllato e misurabile.
Esiste anche un problema relativo ai volumi di dati in rapida crescita. Applicazioni come il supporto decisionale, il data warehousing, il data mining e la gestione delle risorse dei clienti possono richiedere investimenti notevoli nello storage online.
Il ripristino dei dati non si presta più a un approccio unidimensionale. La complessa infrastruttura IT della maggior parte delle installazioni ha superato la capacità della maggior parte dei negozi di rispondere nel modo in cui lo facevano solo pochi anni fa. Alcuni studi di ricerca hanno dimostrato che senza un'adeguata pianificazione, le aziende che in qualche modo si sono riprese da un evento disastroso immediato spesso non sono sopravvissute a lungo.
Perché un piano di business continuity è importante?
È importante avere un piano di business continuity per identificare e indirizzare la sincronizzazione della resilienza tra i processi aziendali, le applicazioni e l'infrastruttura IT. Secondo IDC, in media, un guasto dell'infrastruttura può costare 100.000 dollari all'ora e un guasto critico dell'applicazione può costare da 500.000 a 1 milione di dollari all'ora.
Per resistere e prosperare di fronte a queste molteplici minacce, le aziende hanno capito che devono fare di più che creare un'infrastruttura affidabile che supporti la crescita e protegga i dati. Le aziende stanno ora sviluppando piani olistici di business continuity che possono mantenere il business attivo e funzionante, proteggere i dati, salvaguardare il marchio, mantenere i clienti - e infine aiutare a ridurre i costi operativi totali a lungo termine. Avere un piano di business continuity in atto può ridurre al minimo i tempi di inattività e ottenere miglioramenti sostenibili nella business continuity, nel disaster recovery IT, nelle capacità di gestione delle crisi aziendali e nella conformità normativa.
Tuttavia sviluppare un piano di business continuity completo è diventato più difficile perché i sistemi sono sempre più integrati e distribuiti in ambienti IT ibridi, creando potenziali vulnerabilità. Collegare più sistemi critici insieme per gestire aspettative più elevate complica la pianificazione della business continuity - insieme al disaster recovery, alla resilienza, alla conformità normativa e alla sicurezza. Quando un anello della catena si rompe o viene attaccato, l'impatto può ripercuotersi su tutto il business. Un'organizzazione può andare incontro a una perdita di entrate e a una perdita di fiducia da parte dei clienti se non riesce a mantenere la resilienza del business e contemporaneamente adattarsi e reagire rapidamente a rischi ed opportunità.
L'utilizzo di consulenza, software e soluzioni basate su cloud per un piano di business continuity
Molte aziende hanno difficoltà a far evolvere le loro strategie di resilienza abbastanza velocemente per affrontare gli ambienti IT ibridi di oggi e le mutevoli esigenze di business. In un mondo sempre attivo, 24/7, le aziende globali possono guadagnare un vantaggio competitivo - o perdere quote di mercato - a seconda dell'affidabilità con cui le risorse IT soddisfano le esigenze del core business.
Alcune organizzazioni utilizzano servizi di consulenza esterna per la gestione della business continuity per aiutare a identificare e affrontare la sincronizzazione della resilienza tra i processi aziendali, le applicazioni e l'infrastruttura IT. I consulenti possono fornire una consulenza flessibile sulla continuità del business e sul disaster recovery per soddisfare le esigenze di un'azienda - comprese valutazioni, pianificazione e progettazione, implementazione, test e gestione completa della continuità del business.
Ci sono servizi proattivi, quali IBM IT Infrastructure Recovery Services, per aiutare le aziende a identificare i rischi e garantire che siano preparate a rilevare, reagire e recuperare da un'interruzione.
Con l'aumento degli attacchi informatici, le aziende stanno passando da un approccio di ripristino tradizionale o manuale a un approccio di resilienza automatizzato e software-defined. L'approccio di IBM Cyber Resilience Services utilizza tecnologie avanzate e best practice per aiutare a valutare i rischi, assegnare le priorità e proteggere le applicazioni e i dati business-critical. Questi servizi possono anche aiutare le aziende a eseguire il ripristino rapido dell'IT durante e dopo un attacco informatico.
Altre aziende si rivolgono a servizi di backup basati sul cloud, come IBM Disaster Recovery as a Service (DRaaS) per fornire una replica continua di applicazioni critiche, infrastrutture, dati e sistemi per un rapido ripristino dopo un'interruzione dell'IT. Sono presenti anche opzioni di server virtuali, come IBM Cloud Virtualized Server Recovery per proteggere i server critici in tempo reale. Questo permette il ripristino rapido delle applicazioni in un IBM Resiliency Center per mantenere le aziende operative durante i periodi di manutenzione o di downtime inaspettato.
Per un numero crescente di organizzazioni, la risposta si trova nell'orchestrazione di resilienza, un approccio basato sul cloud che utilizza l'automazione del disaster recovery e una suite di strumenti di gestione della continuità operativa, progettati specificamente per ambienti ibridi-IT. Ad esempio, IBM Resiliency Orchestration aiuta a proteggere le dipendenze dei processi aziendali attraverso applicazioni, dati e componenti dell'infrastruttura. Aumenta la disponibilità delle applicazioni aziendali in modo che le aziende possano accedere all'intelligenza necessaria di alto livello o approfondita per quanto riguarda l'RPO (Recovery Point Objective), l'RTO (Recovery Time Objective) e il complessivo stato di integrità dell'IT da un dashboard centralizzato.
Caratteristiche principali di un piano di business continuity (BCP) efficace
I componenti della business continuity sono:
- Strategia: oggetti che sono legati alle strategie utilizzate dal business per completare le attività quotidiane assicurando la continuità delle operazioni
- Organizzazione: oggetti che sono legati alla struttura, alle competenze, alle comunicazioni e alle responsabilità dei suoi dipendenti
- Applicazioni e dati: oggetti che sono legati al software necessario per abilitare le operazioni di business, quali il metodo per fornire l'alta disponibilità che viene utilizzato per implementare quel software
- Processi: oggetti che sono legati al processo di business critico necessario per il funzionamento aziendale, quali i processi IT utilizzati per garantire il buon funzionamento
- Tecnologia: oggetti che sono legati ai sistemi, alla rete e alla tecnologia specifica del settore necessari per consentire operazioni e backup continui di applicazioni e dati
- Strutture: oggetti che sono legati alla creazione di un sito di disaster recovery se il sito primario viene distrutto
Il piano di business continuity diventa una risorsa di riferimento durante un evento di business continuity o di una crisi e il modello di strategia per affrontare l'evento o la crisi.
La figura di seguito illustra un processo di business continuity planning utilizzato da IBM Global Technology Services. È un ciclo chiuso che sostiene la continua iterazione e il miglioramento come obiettivo. Il processo di pianificazione comprende tre sezioni principali:
- Assegnazione delle priorità aziendali: individuare i rischi, le minacce e le vulnerabilità e determinare le priorità.
- Integrazione nell'IT: prendere spunto dall'assegnazione delle priorità aziendali ed eseguire un progetto complessivo del programma di continuità del business.
- Gestione: amministrare ciò che è stato valutato e progettato.
