Sistema di gestione della continuità operativa: principi, obiettivi e componenti
Ottobre 30, 2019La Business Impact Analysis è una metodologia di analisi che consente di determinare l’impatto e le ricadute sul business aziendale di eventi che causano l’interruzione della produzione o dell’erogazione di servizi. Ecco come strutturarla e metterla in pratica
L’impatto della pandemia ha posto in primo piano l’esigenza delle aziende di dotarsi di strumenti per affrontare e superare situazioni di criticità che ne possono compromettere i risultati sino all’interruzione della continuità aziendale: la Business Impact Analysis (B.I.A.) è la principale metodologia impiegata per determinare l’impatto e le ricadute sul business causate da eventi che causano l’interruzione della produzione di beni e/o dell’erogazione di servizi.
Gli obiettivi della Business Impact Analysis
L’analisi di impatto è una delle attività più impegnative e più critiche del Processo di Continuità Operativa: richiede infatti che si identifichino le diverse implicazioni (in primo luogo di carattere economico, normativo e reputazionale) relative ad una interruzione del processo lavorativo causata da un evento interno o esterno.
Tale attività ha lo scopo di individuare e valutare i processi aziendali rilevanti ai fini della continuità operativa, nonché di sviluppare valutazioni dell’impatto conseguente al verificarsi di scenari che possano minacciare il normale svolgimento del business.
Articolazione dell’Analisi di impatto (BIA)
Vista la sua complessità, è possibile articolare la Business Impact Analysis evidenziandone le metodologie applicative, le modalità operative e gli strumenti utilizzabili per portarli a termine.
Metodologia da applicare
Il primo passo da compiere è avere a disposizione una dettagliata mappatura dei processi, di seguito chiamata Modello dei Processi. La mappatura deve descrivere per ogni processo la sua suddivisione in sotto processi e fasi e, per ogni sotto processo, deve essere individuato il relativo Process Owner.
L’analisi d’impatto deve essere eseguita, per raggiungere gli obiettivi prefissati, a livello di sottoprocesso che vengono definiti come “elementi di analisi”.
La metodologia prevede di svolgere la Business Impact Analysis su due livelli cooperanti:
- Livello 1, esame di tutti gli “elementi di analisi”, corrispondenti ai Sottoprocessi appartenenti al Modello dei Processi, con lo scopo di:
- identificare gli impatti economico, normativo e reputazionale conseguenti ad una completa indisponibilità del cosiddetto “elemento di analisi” considerato (alias sotto processo); la valutazione di tali impatti, pur essendo svolta al livello di singolo sottoprocesso previsto nel Modello dei Processi, considera comunque la struttura del medesimo, cioè i contributi derivanti da ciascuna delle fasi e sottofasi che la compongono;
- identificare gli “elementi di analisi” per il business dell’azienda sui quali svolgere l’approfondimento di cui al Livello 2;
- Livello 2, approfondimenti sugli “elementi di analisi” risultati maggiormente rilevanti con lo scopo di:
- determinare le caratteristiche degli stessi, in ottica di ripristino in caso di disastro;
- identificare l’applicabilità degli scenari di crisi considerati.
Il contenuto della Business Impact Analysis tiene anche conto di quanto realizzato sul tema della continuità operativa dagli outsourcer informatici in particolare per i casi in cui i loro processi risultano essere correlati a quelli critici dell’azienda.
La correlazione è particolarmente significativa per quanto riguarda la quantificazione dei tempi di ripristino e riallineamento dei processi alla condizione di normalità (cfr. RTO e RPO).
Modalità operative
L’analisi di impatto (BIA) deve essere operativamente condotta con le seguenti modalità:
- identificazione del Modello dei Processi di riferimento (Modello dei Processi);
- implementazione del documento di raccolta dati per l’analisi di impatto di livello 1:
- definizione della struttura del documento;
- compilazione del documento;
- implementazione delle schede-questionario per l’analisi di impatto di livello 2:
- definizione della struttura del questionario:
- compilazione del questionario;
- unificazione delle due basi dati precedentemente compilate.
Per ogni sotto processo presente nel Modello dei Processi, si effettua quanto segue:
- analisi di impatto di livello 1:
- svolgimento analisi di impatto di livello 1;
- approvazione analisi di impatto di livello 1;
e successivamente per ogni sottoprocesso definito critico:
- analisi di impatto di livello 2:
- svolgimento analisi di impatto di livello 2;
Strumenti da utilizzare
La raccolta delle informazioni sugli “elementi di analisi” deve essere svolta tramite i dati espressi dai Process Owner nella mappatura dei processi e riportati in un documento “BIA – Strumento per analisi di impatto livello 1 e 2” nonché tramite specifiche schede-questionario per l’Analisi di Impatto di Livello 2 (“BIA – Strumento per analisi di impatto di livello 2”).
I dati raccolti tramite le schede-questionario sopraccitate devono essere, a completamento dell’analisi d’impatto, inseriti nel documento “BIA – Strumento per analisi di impatto livello 1 e 2”.
Il documento finale sulla Business Impact Analysis deve essere strutturato in due sezioni distinte (relative ai due livelli di analisi):
- la prima sezione raccoglie le informazioni sull’impatto: economico, normativo e reputazionale, conseguente alla totale indisponibilità dell’”elemento di analisi” considerato e su come tale impatto evolva in funzione del tempo (dal momento dell’indisponibilità); tale sezione deve essere compilata per tutti i sottoprocessi del Modello dei Processi utilizzato: ciascun sottoprocesso rappresenta, pertanto, un “elemento d’analisi”;
- la seconda sezione deve essere implementata unicamente per gli “elementi di analisi” risultati, dall’analisi di livello 1, maggiormente rilevanti: per mezzo della stessa si individuano le informazioni sulle modalità e le situazioni di esecuzione dei processi stessi, utili ai fini della continuità operativa. Tale sezione (ottenuta tramite compilazione di un questionario, strutturato in “schede – domanda” sul sottoprocesso da analizzare), è suddivisa nei seguenti macroblocchi:
- informazioni generali: informazioni generali sull’”elemento di analisi” considerato (ad es. nome processo, referente/process owner ecc.);
- caratteristiche specifiche: caratteristiche dell’elemento di analisi considerato (ad es.: scadenze, periodi di picco, processi in input, altro); significativa, ai fini dell’analisi, è la scheda in cui vengono richieste informazioni per individuare il tempo massimo entro il quale l’elemento di analisi” considerato deve ripartire (sulla base di vincoli previsti) e oltre il quale non è sostenibile una perdita di dati;
- risorse: informazioni sulle risorse normalmente impegnate nell’elemento di analisi considerato (ad es.: locali, personale, procedure informatiche, documentazione, altro) al fine di individuare le risorse minime necessarie per svolgere le attività ovvero per garantire la continuità operativa dello stesso; in questo blocco viene valutato, scheda per scheda, l’impatto conseguente alla mancanza della risorsa (scenario d’impatto).
Business Impact Analysis: la valutazione dei risultati
A questo punto è possibile procedere con la valutazione dei risultati sia dell’analisi di impatto di livello 1 sia con l’analisi di impatto di livello 2.
Analisi di impatto di livello 1
Si inizia con la valutazione qualitativa degli impatti.
L’impatto dell’indisponibilità dell’elemento di analisi è valutato con riferimento alla seguente esempio di fasce temporali:
Fascia temporale | Intervallo Temporale |
Fascia 1 | 0 – 8 ore |
Fascia 2 | > 8 – 24 ore |
Fascia 3 | > 1 – 2 gg. |
Fascia 4 | > 2 – 7 gg. |
Fascia 5 | > 1 – 4 sett. |
Fascia 6 | > 4 sett. |
L’impatto a seguito dell’indisponibilità di un elemento di analisi è valutato, in ciascuna fascia di indisponibilità definita, in base alle seguenti variabili:
- impatto economico;
- impatto normativo;
- impatto reputazionale.
L’analisi di impatto è svolta:
- in modo qualitativo su tutti gli “elementi di analisi” individuati;
- in maniera indipendente dai singoli scenari di impatto considerati (si deve considerare la generica indisponibilità del Sottoprocesso, senza riferimento specifico alla risorsa la cui indisponibilità provoca il fermo del processo stesso);
- con esplicito riferimento alla variabile tempo.
Si può poi procedere con la distribuzione per ogni singola variabile:
- impatto economico. Per ogni elemento di analisi si deve valutare, al variare del tempo dal momento del fermo, l’impatto economico collegato alla completa indisponibilità del sotto processo stesso analizzato, classificandolo in base alla seguente scala di valori:
- alto: ha conseguenze in grado di incidere significativamente sul risultato economico dell’azienda, assorbibili in più esercizi;
- medio: ha conseguenze rilevanti sul risultato economico dell’azienda, comunque assorbibili nell’esercizio di riferimento;
- basso: ha conseguenze non rilevanti sul risultato economico dell’azienda;
- impatto normativo. Per ogni elemento di analisi si deve valutare la possibile evoluzione nel tempo dell’impatto normativo conseguente alla completa indisponibilità del Sottoprocesso stesso analizzato, classificandolo in base alla seguente scala di valori:
- alto: esiste il rischio di sospensione dell’attività specifica o di una non conformità particolarmente significativa;
- medio: esistono sanzioni amministrative/penali contrattuali;
- basso: nessun tipo di sanzione/non conformità;
- impatto reputazionale. Per ogni elemento di analisi si deve identificare, al variare del tempo, l’impatto reputazionale collegato alla completa indisponibilità del sotto processo stesso analizzato, considerando le conseguenze sul marchio/immagine aziendale e classificandolo in base alla seguente scala di valori:
- alto: se il mercato percepisce l’indisponibilità dei prodotti/servizi erogati dal sotto processo con conseguenze sulla fidelizzazione della clientela e sull’avviamento che si manifestano per un periodo maggiore dell’esercizio di riferimento;
- medio: se il mercato percepisce l’indisponibilità dei prodotti/servizi erogati dal sotto processo ma, attraverso opportuni presidi (comunicazione, presidi organizzativi, altro) viene mantenuta la fidelizzazione della clientela senza conseguenze sull’avviamento, o comunque contenute nell’esercizio di riferimento;
- basso: se l’indisponibilità dei prodotti/servizi erogati dal sotto processo non viene percepita dal mercato (portatori di interessi, terzi, non percepiscono l’indisponibilità dei prodotti/servizi erogati dal processo).
Infine, si può procedere con la classificazione degli elementi di analisi (sotto processi).
L’individuazione e la classificazione degli elementi di analisi svolta con l’analisi d’impatto di livello 1 e l’identificazione di quelli per i quali svolgere ulteriori analisi ed approfondimenti attraverso l’analisi di impatto di livello 2, è effettuata considerando:
- la valutazione degli impatti: economico, normativo e reputazionale;
- la presenza di elementi di analisi con associati impatti di tipo infrastrutturale.
Vengono quindi definite le seguenti “Classi di criticità” ed associate ad ogni Processo analizzato in base alla valutazione degli impatti (economico, normativo e reputazionale) e all’evolvere degli stessi nel tempo:
- Classe A: associata agli elementi di analisi per i quali almeno uno degli impatti (economico, normativo o reputazionale), conseguente alla completa indisponibilità delle stesse nella prima fascia temporale di indisponibilità, è stato valutato Alto;
- Classe B: associata agli elementi di analisi per i quali almeno uno degli impatti, nella seconda fascia temporale di indisponibilità, è stato valutato Alto;
- Classe C: associata agli elementi di analisi per i quali almeno uno degli impatti, nella terza fascia temporale di indisponibilità, è stato valutato Alto;
- Classe D: associata agli elementi di analisi per i quali almeno uno degli impatti, nella quarta fascia temporale di indisponibilità, è stato valutato Alto;
- Classe E: associata agli elementi di analisi per i quali almeno uno degli impatti, nella quinta fascia temporale di indisponibilità, è stato valutato Alto;
- Classe F: associata agli elementi di analisi per i quali almeno uno degli impatti, nella sesta fascia temporale di indisponibilità, è stato valutato Alto, ovvero nessuno degli impatti (economico, normativo o reputazionale), conseguenti alla completa indisponibilità degli stessi, è stato valutato “Alto“.
Analisi di impatto di livello 2
Anche in questo caso, l’intero processo di analisi può essere strutturato in varie fasi.
Si inizia con l’analisi degli scenari di crisi.
Gli scenari di crisi permettono di indirizzare in modo mirato lo sviluppo di apposite procedure di continuità operativa da attivare nel caso si verifichino gli eventi che configurino uno specifico scenario di crisi. Principali esempi di scenari:
- indisponibilità dei locali ove si svolge il processo;
- indisponibilità di personale;
- indisponibilità dei servizi erogati dai fornitori e dagli outsourcer;
- indisponibilità di procedure informatiche (software) compresi:
- alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall’esterno attraverso reti telematiche;
- danneggiamenti gravi provocati da dipendenti;
indisponibilità di dati e documentazione fondamentale;
- interruzione servizi a supporto (energia elettrica, reti di telecomunicazione, linee telefoniche, altro);
- indisponibilità delle apparecchiature utilizzate per eseguire le attività di processo (PC portatili/desktop, smartphone);
- indisponibilità di dispositivi speciali utilizzati per eseguire le attività di processo (server, centralino, UPS, apparati di Sala Macchine);
Pertanto, per ogni elemento d’analisi considerato nell’analisi di impatto di livello 2, effettuata mediante la compilazione del questionario per l’analisi di impatto di livello 2 (Strumento per analisi di impatto di livello 2), è necessario rilevare se e come lo scenario di crisi considerato impatta sullo stesso:
- “–”: il verificarsi dello scenario considerato non ha nessun impatto sull’elemento d’analisi; ovvero: l’“elemento d’analisi” non necessita della risorsa e, quindi, lo scenario non risulta valutabile;
- P: il verificarsi dello scenario considerato blocca parzialmente l’“elemento d’analisi”;
- T: il verificarsi dello scenario considerato blocca totalmente l’“elemento d’analisi”;
- BN: il verificarsi dello scenario considerato blocca totalmente o parzialmente l’“elemento d’analisi” ma le contromisure adottabili, di fatto, rendono il “blocco nullo”.
Il passo successivo è la valutazione dei tempi di ripristino mediante i parametri RTO e RPO.
Per ogni “elemento di analisi” devono essere individuati gli obiettivi di ripristino, definiti mediante i seguenti indicatori:
- RTO – Recovery Time Objective: indica il massimo periodo di tempo entro il quale l’”elemento d’analisi” deve essere ripristinato e riallineato, ovvero essere portato nelle condizioni per ripartire;
- RPO – Recovery Point Objective: indica la massima perdita ammissibile di dati ovvero indica il periodo di tempo massimo che può intercorrere tra l’ultimo salvataggio dei dati di un processo e il verificarsi dell’evento che causa l’arresto del processo.
RISORSE interessate dagli scenari di crisi | TEMPI DI RIPRISTINO | |||||||||
PROCESSO / ELEMENTO DI ANALISI | 1) Locali | 2) Personale | 3) Fornitori / Outsourcer | 4) Procedure Informatiche (software) | 5) Dati e documentazione fondamentali | 6) Servizi a supporto (linee dati, internet, linee telefoniche, piattaforme pubbliche) | 7) Apparecchiature (PC portatili, smartphone) | 8) Dispositivi speciali (server, centralino, UPS, apparati di Sala Macchine) | ||
RTO (HH) | RPO (HH) | |||||||||
Il rapporto finale dell’analisi d’impatto dovrebbe dare la priorità all’ordine degli eventi per il ripristino dell’attività. I processi aziendali con i maggiori impatti operativi e finanziari dovrebbero essere ripristinati per primi.
Fonte: Claudio Solera per cybersecurity360.it