In questo nuovo articolo della nostra rubrica “Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti)“:
alla luce dei risultati ottenuti nelle fasi di Analisi e Progettazione che abbiamo sviscerato negli ultimi articoli, vediamo le buone pratiche per documentare nella pratica il Business Continuity Plan. Lo strumento in grado di portare un’azienda fuori dalla tempesta.
La fase di Implementazione è quella in cui le strategie e le tattiche precedentemente concordate vengono formalizzate e documentate. L’obiettivo è di identificare le priorità, le procedure, le responsabilità e le risorse a supporto dell’azienda che si trovi a fronteggiare una grave crisi.
Ci sono alcuni aspetti fondamentali che devono essere rispettati, affinché il BCP sia efficace:
- La capacità di riconoscere e valutare le minacce e decidere quale sia l’azione di risposta più appropriata
- Massima chiarezza nel designare gli scenari in cui è necessario ricorrere al piano e come si debba evolvere l’escalation. Non ci dev’essere possibilità d’interpretazione
- Il personale deve avere l’autorità e la preparazione per poter attuare le strategie nei tempi e nei modi pianificati
- Essere in grado di comunicare efficacemente sia all’interno che all’esterno dell’azienda
- Il team dedicato deve avere accesso a tutte le risorse necessarie per poter realizzare le strategie di continuità operativa.
Va specificato che le azioni delineate nel piano non sono concepite coprire ogni possibile evenienza poiché ogni incidente è unico, per definizione. Non è da escludere che le procedure in esso dettagliate vadano adattate dinamicamente al contesto specifico dell’incidente.
Gli assunti fondamentali
E’ importante essere consapevoli del fatto che il BCP è destinato ad essere utilizzato in situazioni di emergenza, quando le persone sono sotto stress, impossibilitate a ragionare razionalmente. La progettazione del piano deve tenerne conto, per rendere il documento mirato, chiaro nell’esposizione e facile da usare. Ecco quindi le caratteristiche fondamentali per redigere un BCP efficace:
- Immediato: il piano deve fornire indicazioni chiare, pratiche e con tempistiche definite, dando modo di accedere velocemente alle informazioni di primaria importanza.
- Adattabile: deve permettere all’azienda di rispondere ad un’ampia gamma di eventi distruttivi, inclusi anche quelli non previsti inizialmente.
- Conciso: il piano deve contenere solo ed esclusivamente le informazioni essenziali per il team di emergenza, qualunque altra cosa è superflua.
- Pertinente: le informazioni devono essere aggiornate e immediatamente utilizzabili dal team.
Metodologie e tecniche
Attraverso alcuni esempi approfondiamo ora come, a seconda della dimensione di un’azienda il piano cambi per adattarsi alla sua strutturazione e alla sua cultura.
Piccola azienda, singola sede:
in un contesto del genere è ragionevole che tutte le azioni di risposta siano contenute in un unico documento, con un singolo team a copertura di tutte le esigenze aziendali.
Media azienda:
- Strategico: un piano dedicato alla gestione degli incidenti e un team costituito da membri dell’amministrazione
- Tattico: un singolo piano che che copra il recupero di tutte le funzioni aziendali e un team costituito dai vertici dei singoli dipartimenti
- Operativo: un piano tattico ad eccezione del settore IT, che abbisognerà di un piano di Disaster Recovery e un team IT dedicato ad hoc.
Grande azienda:
- Strategico: un piano dedicato alla gestione degli incidenti e un team costituito da membri dell’amministrazione
- Tattico: sono necessari diversi piani di continuità, uno per ogni divisione/prodotto/servizio/sito rilevante e ciascuno di essi avrà un team specifico costituito dai rispettivi leader
- Operativo: è sufficiente un unico piano tattico unificato, ad eccezione dei settori IT, Finanziari, Risorse Umane che necessitano di piani e team dedicati.
Azienda multinazionale:
- Strategico: un piano e un team dirigenziale per la gestione degli incidenti su scala globale, oltre a un piano dedicato e un team dedicati, per ogni territorio in cui l’organizzazione è presente.
- Tattico: per ogni territorio va previsto un piano per ciascuna divisione/prodotto/servizio e ciascuno deve avere un team composto dai rispettivi responsabili.
- Operativo: ogni dipartimento o luogo in cui è previsto un BCP deve avere anche il proprio piano operativo specifico, con affiancata una squadra composta dai manager operativi locali.
Le soluzioni di risposta agli incidenti, individuate nella fase di progettazione, sono utilizzate per determinare il numero e la tipologia dei piani che andranno a comporre il complesso del BCP. Ad ognuno di questi piani dovrà corrispondere una squadra di competenza.
Nella prossima puntata
Oggi abbiamo visto quali siano i metodi e le tecniche, per redigere un buon documento.
Nel prossimo articolo intitolato:
Implementazione | Redigere un buon documento di continuità operativa (seconda parte)
proseguiremo nella scoperta di come redigere un buon documento analizzando metodi e tecniche della scrittura. Verranno fornite utili indicazioni su quali siano le procedure corrette e la forma più adatta da dare al documento di continuità operativa: come un BCP debba effettivamente essere affinchè sia ritenuto adeguato.
Indice della Rubrica
Articoli
-
Presentazione | Adattarsi, Sopravvivere, diventare Invulnerabili (conoscendo i propri limiti) Un percorso formativo sulla Business Continuity
-
Introduzione | I fondamentali della Business Continuity
[prima parte] [seconda parte] -
Preparazione | Creare un team per raggiungere l’obiettivo: non fermarsi mai
[prima parte] [seconda parte] -
Integrazione | Seminare la cultura della resilienza
-
Analisi | Gli strumenti di conoscenza: Valutazione del Rischio & Analisi dell’Impatto sul Business
-
Progettazione | Dare forma alla resilienza [prima parte] [seconda parte]
-
Implementazione | Redigere un buon documento di continuità operativa [prima parte] [seconda parte]
-
Validazione | Un processo continuo di miglioramento
-
Disaster Recovery | L’ancora di salvezza
Appendici
-
Catalogo ISO Business Continuity (prossimamente)
-
La genesi della Business Continuity