Cos'è un contingency plan?

Giovane donna seduta al bar che beve un caffè e lavora sul suo dispositivo digitale

Cos'è un contingency plan?

Le aziende necessitano di un piano per rimettersi in carreggiata quando una catastrofe interrompe le operazioni quotidiane. I contingency plan, noti anche come “piani di continuità aziendale,” “piani di risposta alle emergenze” e “piani di disaster recovery” aiutano le organizzazioni a riprendersi dopo un’interruzione.

Che si tratti di prepararsi alla diffusione globale di un virus letale, alla gestione di una crisi legata a una violazione dei dati o alla perdita di un cliente importante, i contingency plan aiutano le organizzazioni a rimettersi in piedi dopo un evento negativo.

Le aziende creano molti tipi di strategie di recupero per qualsiasi evenienza, dalla fusione di concorrenti chiave all’insolvenza della banca utilizzata per elaborare le buste paga dei dipendenti.

In India, il governo si è impegnato a progettare un contingency plan mentre si avvicinava una stagione dei monsoni più secca del previsto.¹

Nel frattempo, a Hong Kong, una grande banca ha preparato un piano B nel caso di nuove sanzioni in seguito a un recente sviluppo geopolitico.²

Rafforza la tua intelligence sulla sicurezza  

Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think.  

5 passaggi per costruire un contingency plan efficace

Ecco cinque passaggi utilizzati dalle aziende per creare contingency plan aziendali efficaci.

1. Creare un elenco dei rischi e stabilirne le priorità

Il processo di pianificazione della contingenza inizia con una valutazione dei rischi per valutare il potenziale impatto di ciascun rischio. In genere, i leader aziendali e i dipendenti conducono questa analisi.

I membri del team iniziano con una sessione di brainstorming in cui parlano dei potenziali rischi, dei corsi d’azione e della preparazione generale dell’azienda. In questa fase, è importante essere chiari sulla portata del progetto e invitare tutte le parti interessate a dare il proprio contributo.

Le aziende non hanno bisogno di creare un piano di gestione del rischio per ogni minaccia che si trovano ad affrontare, ma solo per quelle ritenute altamente probabili e che potrebbero interrompere le operazioni aziendali.

2. Condurre un rapporto di analisi dell’impatto aziendale (BIA)

Un’efficace analisi dell’impatto aziendale (BIA) è fondamentale per comprendere le diverse funzioni aziendali e il modo in cui reagiranno a eventi imprevisti.

Ad esempio, mentre una carenza di microprocessori potrebbe essere devastante per una parte dell’azienda che si occupa della produzione di console da gioco, probabilmente avrà un impatto minimo o nullo sul reparto risorse umane della stessa azienda.

Per valutare l’urgenza di creare un piano d’azione per questa specifica minaccia, l’azienda avrebbe bisogno di sapere la percentuale dei suoi ricavi proveniente dalla parte dell’azienda minacciata dalla carenza di microprocessori.Se le console per videogiochi rappresenteranno una percentuale elevata dei loro ricavi, metteranno presto in atto un piano rigoroso.

Una BIA ben sviluppata aiuta le parti interessate a valutare i rischi e a comprendere meglio quali parti della loro attività sono più critiche per le operazioni quotidiane.

3. Elaborare prima un piano per i rischi più critici

Dopo aver individuato i rischi che l’azienda deve affrontare, aver determinato la probabilità e la gravità di ciascun rischio e aver condotto una BIA, i leader aziendali possono seguire un semplice processo in tre fasi per costruire il proprio piano di backup.

Identificare i fattori scatenanti che faranno entrare in azione il piano: ad esempio, se si sta avvicinando un uragano, in quale momento l’avvicinarsi della tempesta farà scattare il contingency plan? Quando è a 50 miglia di distanza o a 100 miglia? Dovranno prendere decisioni chiare in modo che i team incaricati dell’esecuzione sappiano quando iniziare il proprio lavoro.
Progettare una risposta adeguata: la minaccia per la quale l’azienda si era preparata è qui. I team devono sapere esattamente cosa ci si aspetta da loro in modo che l’azienda possa riprendersi rapidamente. Stabilisci istruzioni chiare e accessibili, protocolli facili da seguire e un modo in cui tutti possano comunicare tra loro.
Delegare la responsabilità in modo chiaro e equo: come per qualsiasi altra iniziativa, per andare a buon fine la pianificazione delle contingenze richiede una gestione efficace dei progetti Nel caso di una minaccia esistenziale come un disastro naturale, tutti coloro che sono coinvolti nella ripresa dell’azienda devono conoscere il proprio ruolo e ricevere la formazione adeguata per svolgerlo.

Ad esempio, in caso di incendio, non sarebbe giusto aspettarsi che dipendenti non addestrati agli interventi antincendio usino una manichetta. Tuttavia, con la giusta formazione, potrebbero effettuare il conteggio del personale o procedere da un piano all’altro per assicurarsi che gli altri dipendenti evacuino l’edificio.

Un modo per migliorare il flusso di lavoro tra i team durante la progettazione di un piano è la creazione di un grafico RACI. RACI sta per Responsible (Responsabile), Accountable (Responsabile dell’approvazione), Consulted (Persona consultata) e Informed (Persona informata) ed è un processo ampiamente utilizzato per aiutare team e individui a delegare la responsabilità e reagire alle crisi in tempo reale.

4. Ottenere il consenso di tutta l’organizzazione e cercare di essere realistico sui costi

Anche se può essere difficile giustificare l’importanza di investire risorse finanziarie in qualcosa che potrebbe non accadere mai, questi ultimi anni ci hanno insegnato il valore di una buona pianificazione di emergenza. Pensiamo a tutti i problemi della supply chain, alle carenze critiche di dispositivi di protezione individuale e al caos finanziario provocato dalla pandemia.

Cosa sarebbe cambiato se le organizzazioni avessero predisposto contingency plan efficaci?

I costi e l’incertezza rappresentano ostacoli notevoli quando si tratta di convincere i leader aziendali dell’importanza di investire nella pianificazione di emergenza. Poiché tutti i costi dei piani di emergenza sono stimati, non c’è modo di sapere con precisione in che modo gli eventi interromperanno l’attività e i responsabili delle decisioni sono comprensibilmente riluttanti.

Settori diversi hanno modi diversi di affrontare questo problema. Nel settore dell’edilizia è pratica comune mettere da parte il 10% del budget complessivo di un progetto per le contingenze. Altri settori utilizzano metodi diversi.

Un metodo popolare è quello di stimare i rischi in base alla percentuale di probabilità che si verifichino. Secondo questo metodo, se esiste un rischio del 25% che si verifichi un evento che comporti 200.000 dollari di costi di recupero, l’azienda deve accantonare il 25%, ovvero 50.000 dollari, per essere conforme al proprio contingency plan.

5. Testare e rivalutare regolarmente i piani

I mercati e le industrie sono in costante cambiamento, quindi la realtà che un contingency plan deve affrontare quando viene attivato potrebbe essere diversa da quella per cui è stato creato.

Ad esempio, dopo gli attacchi terroristici dell’11 settembre, molti dei contingency plan che il governo statunitense aveva adottato sono risultati improvvisamente irrilevanti, essendo stati preparati decenni prima.

Per evitare una simile disconnessione tra piani e minacce, le aziende devono testare e rivalutare costantemente i piani elaborati.

Ad esempio, le linee guida di IBM impongono che i piani debbano essere testati almeno una volta all’anno e migliorati, se necessario. Se vengono scoperti nuovi rischi e la loro gravità e probabilità sono ritenute sufficientemente elevate, i vecchi piani potrebbero essere completamente abbandonati.

Mixture of Experts | 12 dicembre, episodio 85

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.

Guarda tutti gli episodi di Mixture of Experts

I vantaggi della creazione di un contingency plan

Quando le aziende vengono colpite da un’interruzione inaspettata, un contingency plan efficace fornisce la struttura necessaria al processo di ripresa.

Gli eventi dirompenti causano il caos e i responsabili delle decisioni e i dipendenti sono spesso costretti a faticare per capire cosa sta succedendo e come rispondere al meglio. Avere un piano valido su cui fare affidamento può aiutare a ripristinare la fiducia e a illuminare il cammino.

Ecco alcuni vantaggi che i leader aziendali che creano solidi contingency plan possono aspettarsi:

Tempi di recupero migliorati

Le aziende che creano piani efficaci si riprendono più rapidamente da un evento dirompente rispetto alle aziende che non lo fanno. Quando si verifica un evento negativo, quanto più velocemente l’azienda si riprende e torna alla normalità, tanto minore è il rischio per l’azienda, i suoi clienti e i suoi dipendenti.

Costi ridotti: finanziari e reputazionali

Un buon contingency plan riduce al minimo i danni arrecati a un’azienda, sia reputazionali che finanziari. Ad esempio, mentre una violazione dei dati danneggerà senza dubbio la reputazione di una banca, nonché i suoi profitti, il modo in cui la banca risponderà svolgerà un ruolo fondamentale nel decidere se i suoi clienti decideranno di continuare a fare affari con essa.

Maggiore fiducia e morale più alto

Molte organizzazioni utilizzano un contingency plan efficace per dimostrare a dipendenti e clienti che prendono sul serio la preparazione. Pianificando una vasta gamma di eventi potenzialmente dannosi, i leader aziendali possono dimostrare agli investitori, ai clienti e ai lavoratori che hanno adottato le misure necessarie per ridurre al minimo il rischio.

Esempi di contingency plan

Molti piani si concentrano su disastri naturali come inondazioni, terremoti o incendi. Altri riguardano violazioni di dati, tempi di inattività imprevisti della rete o la perdita di un dipendente chiave come un CEO o un fondatore.

Ecco alcuni esempi di modelli di contingency plan che affrontano scenari ampiamente diversi in una vasta gamma di settori.

Un produttore di aeroplani si trova ad affrontare una carenza di componenti

Gravità e probabilità del rischio

I produttori hanno seguito le notizie relative a una regione in cui si riforniscono di pezzi specifici per aerei e definiscono “alta” la probabilità di interruzioni. Inizialmente cercano un altro fornitore, ma presto si rendono conto che ci vogliono mesi, anche anni, per trovarne uno.

Poiché il pezzo è necessario per la costruzione di tutti i loro aeroplani, hanno definito “elevata” anche la gravità di questa interruzione.

Fattore scatenante

I fornitori informano il produttore che presto esauriranno il prezzo necessario a causa di un evento geopolitico dirompente nel paese di origine.

Risposta

Il produttore inizia la ricerca di un nuovo fornitore del componente tanto necessario in un paese più stabile.

Un istituto finanziario deve far fronte a una violazione dei dati

Gravità e probabilità di rischio

I gestori di una banca vengono a conoscenza di una vulnerabilità della loro app e si impegnano a risolvere. Qualora l’app venga violata e i loro sistemi informativi siano compromessi, è probabile che perdano i dati fondamentali dei clienti. Valutano la probabilità di questo evento come “alta” poiché, come istituto finanziario, sono un obiettivo desiderabile.

Inoltre, osservando i loro concorrenti alle prese con situazioni simili, sanno che il rischio di interruzione della loro attività in uno scenario come questo è elevato. Anche la gravità di questo rischio viene definita “elevata”.

Fattore scatenante

Il reparto IT informa i dirigenti della banca che l’app della banca è stata violata e che i dati dei clienti non sono più al sicuro.

Risposta

L’app viene immediatamente chiusa e i clienti vengono informati che i loro dati sono stati compromessi. Vengono informati delle misure che la banca sta adottando per garantire loro l’accesso al rispettivo denaro e che le loro informazioni personali non vengano messe a disposizione di nessuno sul dark web.

Un team di esperti di sicurezza appositamente formato interviene per ripristinare i sistemi della banca e tutelare le informazioni dei clienti.

Un impianto di trattamento delle acque reflue si prepara per un uragano

Gravità e probabilità di rischio

I gestori dell’impianto sanno che gravi inondazioni potrebbero diffondere acqua non trattata nelle strade della città e nei corsi d’acqua pubblici. Sia la gravità di questo rischio che la sua probabilità data la tempesta imminente sono ritenute “elevate“.

Causa scatenante

L’uragano si dirige verso la città e si trova a meno di 100 miglia di distanza con velocità del vento superiori alla soglia classificata come “sicura”. Il contingency plan dell’impianto viene messo in pratica.

Risposta

Tutti i lavoratori necessari vengono richiamati allo stabilimento 24 ore su 24, 7 giorni su 7 e vengono adottate misure per trattare la massima quantità possibile di acqua prima dell’arrivo dell’uragano. Secondo il piano dell’azienda, tutta l’acqua avanzata verrà pompata in serbatoi di contenimento progettati per resistere a un uragano. Quando la velocità del vento raggiunge un determinato valore, l’impianto stesso viene spento e tutti i lavoratori evacuati.

Disaster recovery moderno per infrastrutture sempre attive

Il disaster recovery è una funzionalità fondamentale per garantire la continuità aziendale in un ambiente digitale sempre attivo. Poiché i cyberattacchi, i guasti ai sistemi e le interruzioni dell'infrastruttura diventano sempre più frequenti e costosi, le organizzazioni devono affrontare un rischio crescente di tempi di inattività, perdite di dati e interruzioni operative. Le moderne strategie di disaster recovery aiutano i leader delle infrastrutture a ridurre i tempi di inattività, accelerare il recupero e ripristinare rapidamente i servizi critici attraverso approcci più automatizzati e resilienti.

Risorse

Prestazioni di backup più veloci del 50% con IBM Storage Defender

Scopri come APIS IT ha utilizzato IBM Storage Defender per migliorare del 50% le prestazioni dei backup per le macchine virtuali e del 62% per i database Exchange, rafforzando al contempo la preparazione al ripristino dagli attacchi informatici.

Valutazione della resilienza informatica

La valutazione della cyber resilience viene condotta attraverso un workshop virtuale gratuito di 2 ore con esperti di sicurezza IBM e architetti di storage.

Elimina paura, incertezza e dubbi con funzionalità avanzate di ripristino informatico

Esplora questo report di IDC per scoprire le caratteristiche principali da cercare in una soluzione di ripristino informatico e come IBM Cloud Cyber Recovery può integrare i tuoi investimenti esistenti.

Esplora le funzionalità di IBM Storage Defender

Scopri le funzionalità fornite da IBM Storage Defender per aiutare la tua organizzazione a creare e fornire resilienza dei dati.

Prova il desktop as a service su IBM Cloud

Potenzia la tua forza lavoro remota e ibrida con desktop as a service su IBM Cloud, ottenendo prestazioni e sicurezza senza compromessi.

IBM Storage Defender: protezione del database e ripristino rapido

Questa pubblicazione di IBM Redpaper introduce la nuova soluzione IBM Storage Defender per la gestione dei dati e la protezione aziendale. Questa pubblicazione IBM Redpaper ti aiuta a installare, personalizzare e configurare questa soluzione per la protezione e il ripristino rapido di database (DB) come Oracle, Oracle VM (OVM), Oracle Real Application Cluster (RAC), SAP HANA, SAP Oracle, SAP Db2, SAP Microsoft SQL, SAP Sybase ASE, Sybase IQ e ASE, IBM Db2®, Microsoft SQL, Hadoop, IRIS e Cache per le applicazioni EPIC.

IBM Storage Defender: Data Resiliency Service

Questa pubblicazione IBM Redpaper descrive IBM Storage Defender Data Resiliency Service (DRS), la nuova soluzione di cyber resilience di IBM. Con DRS, gli utenti possono utilizzare nuovi meccanismi di rilevamento per il proprio ambiente, al fine di individuare tempestivamente le minacce e ottenere una visione completa dell’infrastruttura collegando array di storage primari come IBM FlashSystem e soluzioni di storage ausiliarie per il backup, come IBM Defender Data Protect e IBM Storage Protect. Inoltre, gli utenti possono impostare profili di governance per garantire che i loro dati soddisfino gli standard interni o normativi.

IBM Storage Defender Data Protect e IBM Storage Deep Archive

Scopri come IBM Storage Defender e IBM Storage Deep Archive su Diamondback lavorano insieme per offrire backup resiliente, ripristino rapido e conservazione dei dati a lungo termine, il tutto con costi contenuti.

Soluzioni correlate

IBM Storage Defender

Proteggi i tuoi dati dalle minacce in evoluzione, ovunque si trovino, con backup, rilevamento delle minacce basato su AI e ripristino rapido.

Scopri IBM Storage Defender

Data backup and recovery dello storage

Accelera i processi aziendali di backup e ripristino che consentono di recuperare i dati e ripristinare i servizi IT con rapidità per i workload on-premise e nel cloud.

Esplora le soluzioni di backup e ripristino

Servizi di consulenza per le operazioni aziendali

Trasforma le operazioni aziendali con IBM utilizzando dati completi e potenti tecnologie basate sull'AI per integrare i processi di ottimizzazione.

Scopri i servizi per le operazioni aziendali

Passi successivi

Proteggi la sicurezza dei dati e garantisci la disponibilità dei workload con funzionalità come il rilevamento precoce delle minacce, la protezione multilivello e il ripristino rapido. Scopri come IBM Storage Defender può aiutarti a proteggere la tua supply chain di informazioni.

Note a piè di pagina

¹ “El Nino contingency plan being readied for farmers and output,” Elara Securities Pvt Ltd., 27 aprile 2023.

² “HK making emergency plans for SWIFT sanctions,” Asia Times, 5 maggio 2022.