Business Impact Analysis BIA processo continuità aziendale RTO RPO gestione rischi business continuity

La BIA

A cura di:Federica Maria Rita Livelli Ore

Questo articolo fa parte di una serie dedicata alla Business Impact Analysis (BIA) e alla gestione della continuità operativa aziendale. La BIA costituisce un elemento fondamentale per identificare i processi critici, definire gli obiettivi di Recovery Time Objective (RTO) e Recovery Point Objective (RPO), e sviluppare strategie efficaci di business continuity. Attraverso un approccio metodologico strutturato, esploreremo come mappare le priorità aziendali e costruire un sistema di resilienza operativa robusto.

Business Impact Analysis (BIA): definizione e obiettivi strategici

La BIA si prefigge di determinare i requisiti di Business Continuity fornendo informazioni atte a identificare le soluzioni più idonee. Inoltre, questa fase include l’identificazione delle dipendenze delle risorse di supporto e la definizione dei Recovery Time Objective (RTO).

Lo scopo della BIA è, di fatto, mappare e stabilire le priorità dei prodotti e dei servizi critici e strategici, che devono essere protetti e ripristinati rapidamente in caso di interruzioni.

Si tratta anzitutto di fornire un inventario delle attività e delle risorse aziendali, per identificare ciò che deve essere protetto o ripristinato a seguito di eventuali interruzioni o crisi.

Inoltre, stabilire gli obiettivi di RTO aiuta l’organizzazione a determinare il tempo entro il quale recuperare risorse e riattivare i processi, le attività, i servizi e i prodotti. Si tratta, quindi, anche di stabilire le priorità delle opzioni di trattamento del rischio nonché le strategie di risposta e di recupero, consentendo il raggiungimento degli obiettivi strategici dell’organizzazione.

È importante, altresì, stabilire gli obiettivi di RPO per determinare il punto in cui i dati devono essere recuperati per permettere il ripristino. Va ricordato che l’RPO è noto anche come la massima perdita di dati, che coincide con l’ultimo backup.

BIA
Immagine creata da Federica Maria Rita Livelli

Inoltre, grazie alla BIA, un’organizzazione è in grado di:

  • Confermare la validità dell’ambito del programma di Business Continuity in termini di attività e risorse aziendali necessarie per sostenere i processi, prodotti e servizi più critici e strategici. Ciò permette all’organizzazione di verificare se ci sono processi, prodotti e servizi inizialmente non considerati ma che risultano strategici in caso di interruzione.; in tal modo l’organizzazione può riesaminare l’ambito, identificando quali processi, prodotti e servizi devono essere inclusi e quali risorse devono essere considerate, poiché possono influenzare il programma di Business Continuity.
  • Identificare e comprendere gli obblighi legali, regolamentari e contrattuali in modo da garantire una adeguata pianificazione della Business Continuity in termini di conformità.
  • Avere una chiara visibilità dei costi di implementazione della strategia di Business Continuity a fronte della stima degli impatti (finanziari, reputazionali, contrattuali, normativi, operativi, ecc.) correlati ai tempi di interruzione, al fine di potere giustificare in modo documentato la selezione, l’implementazione e il mantenimento della strategia atta conseguire gli obiettivi di recupero.
  • Raccogliere i dati propedeutici alla stesura dei Piani di Business Continuity in termini di: controlli esistenti; strategie di ripristino; requisiti in termini di team e personale; informazioni di contatti interni ed esterni; altre informazioni riferite alle specifiche risorse necessarie per il BCP.

Dopo aver raccolto queste informazioni, l’organizzazione – o, meglio, coloro che al suo interno sono incaricati di creare e mantenere il BPC – possono procedere a redigerlo.

La BIA si occupa di definire i requisiti di Business Continuity, identificare le dipendenze dalle risorse e convalidarle rispetto agli impatti stimati dei tempi di inattività. D’altro canto, il RA si concentra sulla comprensione della probabilità e della gravità delle perdite di attività e di risorse, con l’obiettivo di stabilire un elenco prioritario di trattamenti del rischio per prevenire interruzioni nella capacità dell’organizzazione di fornire prodotti e servizi.

Da dove iniziamo ad eseguire una BIA?

Solitamente per avviare la fase della BIA, si esegue un iter strutturato come segue.

  • Meeting iniziale con la Leadership, per:
    • determinare le esigenze di Business Continuity, definendo il perimetro iniziale;
    • stabilire chi parteciperà al programma di BC;
    • preparare un primo cronoprogramma delle attività con il personale coinvolto.

 

  • Kick-off meeting propedeutico a:
  • allineare i partecipanti agli obiettivi del programma di BC con il supporto della leadership;
  • presentare il programma delle attività di BIA;
  • presentare la mappatura iniziale dei prodotti e servizi inclusi nel perimetro del programma di BC;
  • illustrare le modalità di svolgimento della BIA e la documentazione di supporto. Le modalità includono: workshop (acquisizione rapida di informazioni da individui e team per aumentare la sensibilizzazione e integrare la Business Continuity); questionari (raccolta di informazioni dettagliate da singoli o team su supporto cartaceo o elettronico, generando una grande quantità di dati); interviste (acquisizione di informazioni di alta qualità, sebbene richiedano tempo, utili per discutere attività ordinarie, necessità di risorse, obblighi e possibili impatti di eventuali incidenti sulla capacità di erogare processi e servizi).

Di seguito si fornisce un esempio di come si possano strutturare le interviste di BIA.

Programmazione delle interviste di Business Impact Analysis (BIA), con:

  • Responsabili di ciascun Dipartimento/Funzione, che devono dimostrare di avere una comprensione chiara delle priorità chiave dell’organizzazione in termini di prodotti e servizi e una conoscenza approfondita delle attività quotidiane svolte all’interno del Dipartimento/Funzione, unitamente alle dipendenze delle risorse richieste per lo svolgimento di ogni attività.
  • Figure tecniche/esperti necessari.

NOTA: risulta strategico e propedeutico per il successo della riunione/intervista far precedere una comunicazione/invito che descriva lo scopo della BIA, gli obiettivi ci si prefigge raggiungere e come prepararsi ad essa.

L’esecuzione delle interviste di BIA e il RA

Interviste BIA – mirano a determinare i processi e le attività svolte dal dipartimento che supportano la fornitura di quei processi, prodotti e servizi critici/strategici rientranti nel perimetro del programma di Business Continuity.

Per ogni processo o attività identificata è fondamentale raccogliere informazioni sulla modalità di esecuzione, censendo applicazioni, attrezzature, strutture utilizzate, fornitori, personale dedicato e relativi backup, se presenti. È inoltre necessario identificare e descrivere le dipendenze di ciascun processo o attività, individuando potenziali soluzioni alternative (come soluzioni manuali o fornitori alternativi, in caso di perdita o interruzione delle dipendenze critiche) e definire gli obiettivi di RTO.

È altresì importante e utile effettuare un RA per valutare la probabilità di perdita per ciascuna dipendenza. Inoltre, è essenziale conoscere i periodi di picco delle operazioni, i periodi di inattività, le chiusure e le manutenzioni. Bisogna anche identificare i vari impatti dei tempi di inattività, come quelli finanziari, operativi, strategici, ambientali, normativi e reputazionali, valutando altresì come questi impatti si evolvano nel tempo. Infine, è utile raccogliere informazioni sugli eventi passati che hanno avuto un impatto significativo sull’organizzazione.

RA – consente all’organizzazione di identificare e descrivere il rischio associato a interruzioni specifiche, determinare la probabilità di interruzione dei processi e delle attività per la creazione o fornitura di prodotti e servizi nell’ambito del programma di Business Continuity, basandosi su una revisione dei controlli progettati per proteggere le risorse chiave come strutture, personale, attrezzature, tecnologia dell’informazione, dati e fornitori o partner commerciali. Inoltre il RA aiuta a identificare le potenziali cause o fonti di interruzione, comunemente chiamate minacce, e a raccomandare controlli per ridurre la probabilità o l’impatto delle interruzioni su processi, attività e risorse, tenendo conto dei potenziali costi di trattamento.

Di seguito la rappresentazione grafica dell’interazione tra Risk Assessment & Business Impact Analysis.

BIA
Immagine creata da Federica Maria Rita Livelli

 

Una domanda lecita: viene prima la Business Impact Analysis (BIA) o il Risk Assessment (RA)?

Si tratta di una domanda che è spesso oggetto di dibattito tra professionisti del settore.

È doveroso ricordare che la BIA e il RA sono due componenti fondamentali per garantire lo sviluppo di un efficace BCMS.

Prima la BIA” – le organizzazioni possono iniziare con la BIA per identificare le funzioni aziendali critiche, seguita da un RA per analizzare e mitigare i rischi associati a ciascuna attività. Tale approccio consente di focalizzarsi su minacce specifiche per ogni unità aziendale. Nelle organizzazioni più grandi, identificare tutti i rischi può essere complesso; quindi iniziare con la BIA può risparmiare tempo e sforzi, dato che essa aiuta a determinare le risorse essenziali per la continuità del business, mentre il successivo RA identifica i rischi potenziali e sviluppa piani di mitigazione.

“Prima l’RA” – un approccio alternativo prevede di condurre il RA per identificare minacce e rischi a livello organizzativo, prima di eseguire la BIA. Tale approccio permette di sviluppare misure di mitigazione necessarie e affrontare la BIA con una maggiore consapevolezza degli incidenti possibili e dei rischi a cui l’organizzazione è esposta. Di conseguenza, l’organizzazione sarà meglio preparata a focalizzarsi sulle conseguenze di tali incidenti durante la BIA. Inoltre, adottando un approccio basato sugli asset per la valutazione del rischio, sarà più semplice identificare tutte le risorse durante la BIA.

È doveroso ricordare che un efficace quadro di gestione della Business Continuity assicura che un’organizzazione possa continuare a fornire prodotti e servizi a un livello minimo accettabile, proteggendo al contempo gli interessi delle parti interessate.

La comprensione delle potenziali minacce e la definizione delle priorità di ripristino sono entrambe fondamentali per implementare un BCMS: pertanto, la decisione di eseguire prima la BIA o il RA dipende dalle preferenze e dalle circostanze specifiche. Entrambi i processi sono complementari e di pari importanza, contribuendo a valutare l’impatto potenziale di un’interruzione sull’organizzazione.

La Business Continuity si basa sull’analisi dei rischi e delle minacce per funzionare correttamente, concentrandosi sulla mitigazione degli impatti e sulla capacità di ripristino. Pertanto, senza la Business Continuity, il Risk Management manca di una misura fondamentale per mitigare l’impatto di un’interruzione. Il Risk Management si occupa di “trattare” i rischi, ovvero eliminarli quando possibile, ridurre la magnitudo delle conseguenze o la probabilità che si verifichino e trasferire a terzi le conseguenze finanziarie.

Predisposizione di un report finale delle interviste di BIA per ogni Dipartimento/Funzione

Il report finale delle interviste di Business Impact Analysis (BIA) include informazioni raccolte durante le interviste, requisiti di risorse, identificazione dei rischi e raccomandazioni basate sui dati raccolti, in particolare per quanto riguarda gli obiettivi di tempo di recupero (RTO) e la stima degli impatti. Tale report deve essere distribuito ai partecipanti delle interviste per finalità di verifica, revisione, eventuali modifiche e approvazione, allo scopo di stabilire i requisiti di Business Continuity a livello organizzativo, che saranno poi esaminati e approvati dalla Leadership e/o dal Top Management.

Durante la presentazione dei risultati delle interviste di BIA per la convalida finale, è necessario riesaminare i prodotti e servizi identificati, verificare che gli RTO per processi e attività siano allineati ai prodotti e servizi correlati, considerando i principali rischi insieme alle raccomandazioni su come affrontarli. I requisiti che l’organizzazione deve soddisfare e i rischi da mitigare per allinearsi agli RTO servono da input per lo sviluppo di strategie di Business Continuity.

Inoltre, se tali strategie risultano proibitive in termini di costi/benefici, dovranno essere riviste. Pertanto, la Leadership deve concentrarsi su come garantire il giusto livello di resilienza in conformità con gli obiettivi di Business Continuity, sviluppando strategie per gestire la perdita di attività e identificando le risorse necessarie.

Strategie & soluzioni di Business Continuity

Le BIA e il RA sono fondamentali per valutare le strategie e le soluzioni da implementare per continuare a operare dopo un’interruzione o crisi. È essenziale verificare l’allineamento dei risultati delle interviste di BIA e del RA con gli obiettivi iniziali di Business Continuity.

Pertanto è necessario sviluppare strategie appropriate per allinearsi ai requisiti, considerando i seguenti fattori.

  • Mitigazione del rischio: ridurre la probabilità di interruzioni e limitare l’impatto.
  • Risposta agli incidenti: definire un processo di risposta, predisponendo un team con figure di backup e procedure di valutazione e attivazione.
  • Recupero di attività e di risorse: identificare risorse alternative per rispettare obblighi commerciali e normativi, come strutture, personale, attrezzature, IT e soluzioni manuali.

È inoltre essenziale determinare le risorse necessarie per implementare le strategie di Business Continuity, ovvero:

  • Stimare i costi di attuazione e mantenimento delle strategie.
  • Includere tutte le risorse identificate nelle interviste di BIA, necessarie in caso di interruzione, come persone, dati, strutture, attrezzature, trasporti e partner.
  • Considerare più opzioni strategiche, valutando pro e contro e costi, per permettere alla Leadership di misurare gli investimenti rispetto alla propensione al rischio e selezionare la strategia più appropriata.

Infine, si devono condividere con ogni Dipartimento/Funzione gli obiettivi e le raccomandazioni della strategia di Business Continuity per feedback, selezione e approvazione.

Successivamente, la Leadership valuterà i costi-benefici di ogni strategia per determinare quella ottimale, sviluppando le procedure di Business Continuity corrispondenti.

Di seguito alcune tipologie di strategie di continuità.

Diversificazione: prevede la separazione di attività e risorse su due o più sedi, consentendo la continuità operativa in caso di interruzione in una di esse. È una soluzione costosa, ma adeguata quando l’RTO è di pochi minuti od ore.

Replica: la replica delle risorse è una variante della diversificazione che consente una rapida ripresa delle attività, mantenendo una sede duplicata con tutte le risorse pronte all’uso (hot site). È una soluzione adatta quando l’RTO è compreso tra alcune ore e giorni. Il principale problema è trasferire il personale alla sede alternativa entro i rispettivi RTO delle attività.

Stand-by: prevede la disponibilità di una sede o stabilimento in stand-by, che può essere reso operativo nei tempi dell’RTO (warm site). Il principale problema è trasferire il personale alla sede alternativa entro i rispettivi RTO delle attività.

Acquisizione post-incidente: quando gli RTO sono misurati in giorni o settimane, le organizzazioni possono considerare una soluzione di Business Continuity in cui le risorse necessarie vengono acquisite dopo l’interruzione. Ciò include un elenco predefinito e prioritario dei fabbisogni di risorse e l’affidamento sui fornitori per consegnare le risorse – in termini di quantità e di qualità adeguate – entro tempi accettabili.

Non fare nulla: questo approccio è scelto quando l’RTO è espresso in settimane o mesi, oppure quando risulta impossibile o troppo costoso predisporre strutture e risorse alternative. È importante che il Business Continuity Manager o il professionista incaricato documenti sempre i motivi per cui si opta per questa soluzione, al fine di evitare controversie o conflitti in caso di incidente.

È doveroso evidenziare che alcune soluzioni e la relativa implementazione potrebbero richiedere il coinvolgimento di competenze tecniche da parte di esperti di altre aree di expertise o dipartimenti (i.e. specialisti in ICT, approvvigionamento/acquisti e rifornimenti, gestione delle scorte e pianificazione delle capacità di magazzino).

I BCP e Procedure di BC

Si tratta di predisporre una struttura di risposta, procedure di avviso e comunicazione, e piani di ripristino che costituiscano un processo ripetibile ed efficace, attivabile senza indugio in caso di incidente dirompente, interruzione o crisi.

I BCP devono essere redatti per:

  • descrivere lo scopo e l’ambito del piano;
  • delineare gli obiettivi di ripristino applicabili;
  • documentare chiaramente i ruoli e le responsabilità del personale coinvolto nelle operazioni di risposta e recupero;
  • identificare le dipendenze interne ed esterne;
  • elencare i criteri per l’attivazione del piano;
  • fornire modalità di risposta a un incidente dirompente e indicare come raggiungere gli RTO stabiliti per il ripristino e il ritorno alla normalità;
  • dettagliare i requisiti in termini di risorse minime per il conseguimento dell’MBCO e di reporting.

Le procedure di Business Continuity fungono da supporto all’esecuzione dei BCP e, come tali, devono:

  • fornire dettagli sulle misure specifiche, flessibili e adattabili, da implementare in caso di interruzione, definite in base ai requisiti della BIA e alle strategie di Business Continuity;
  • identificare il responsabile della creazione e aggiornamento di ogni piano e delle relative procedure;
  • descrivere una struttura di risposta coordinata ed efficiente per incidenti, crisi o eventi dirompenti, con criteri chiari per la risposta e il recupero, e decisioni che il Team di Risposta deve considerare, inclusi composizione, ruoli, attività, responsabilità e risorse;
  • descrivere l’attivazione dell’Albero delle Chiamate e il monitoraggio degli incidenti;
  • dettagliare le attività di ripristino e ritorno alla normalità;
  • fornire modalità di avviso e comunicazione per facilitare la comunicazione con i soccorritori, ottenere informazioni dalle autorità competenti, identificare e monitorare le interruzioni e gestire le comunicazioni con tutte le parti interessate.

È importante ricordare che molte interruzioni richiedono l’attivazione di diversi piani di risposta per una gestione efficace. In un approccio olistico, il Business Continuity Manager deve collaborare con altri esperti come Risk Manager, IT Manager, Security Manager, Facility Manager, HR Manager, Marketing Manager e Communication Manager.

È importante ricordare che il piano di BCP e le procedure di Business Continuity devono essere redatte in modo da essere efficaci, sintetiche e chiare, possibilmente utilizzando diagrammi di flusso. Questo è cruciale poiché, nei momenti critici, l’organizzazione deve essere in grado di rispondere all’interruzione e ripristinare l’operatività entro gli RTO approvati dalla Leadership.

Inoltre, le procedure non solo supportano la creazione delle competenze necessarie per la risposta e il recupero ma permettono anche di valutarne l’adeguatezza durante esercizi e test.

Esercizi & Test

Il miglioramento continuo di un BCP è fondamentale per un efficiente ed efficace BCMS. Ciò può essere ottenuto attraverso un programma di esercizi e di test delle strategie e delle procedure di Business Continuity, che permette di convalidare o rettificare nel tempo le capacità di risposta a un incidente dirompente entro gli RTO stabiliti dalla Leadership.

Esistono diverse modalità per eseguire esercizi e test, tra cui:

  • Esercitazioni basate sulla discussione – sono la modalità più semplice e meno costosa, in cui i partecipanti esplorano questioni rilevanti e analizzano i piani attraverso modalità come il walk-through.
  • Esercitazioni di scenari – basate sulla discussione di uno scenario definito nel tempo. Si tratta di esercitazioni realistiche ed economiche, permettendo di esercitare diverse fasi dello scenario in modalità table-top. Richiedono familiarità con i piani e comprensione del loro funzionamento.
  • Esercitazioni con simulazione – si tratta di esercitazioni complesse e realistiche, che coinvolgono i partecipanti in simulazioni di incidenti reali, con ruoli assegnati e interazioni tramite telefonate o social media. Tali esercitazioni sono propedeutiche a verificare procedure come la notifica di un incidente e il coordinamento dei team.
  • Esercitazioni dal vivo – utili in contesti con vincoli legali o normativi; tuttavia queste esercitazioni sono molto costose e possono comportare rischi fisici e reputazionali poiché, avvenendo dal vivo, richiedono una gestione complessa.
  • Test – solitamente riguardano attrezzature, procedure di recupero, tecnologie o team, per valutarne l’efficacia operativa.

Prima di eseguire esercitazioni o test, l’organizzazione deve prepararsi garantendo:

  • l’allineamento con l’ambito e gli obiettivi del BCMS;
  • la fiducia e la conoscenza adeguata del personale coinvolto nel BCMS;
  • l’utilizzo di scenari realistici e obiettivi chiaramente definiti, considerando che la complessità varia in base alla tipologia di esercizio o test;
  • l’efficacia dell’intera strategia, delle soluzioni, dei piani e delle procedure del BCP;
  • la minima interruzione delle normali operazioni durante gli esercizi e i test;
  • la conduzione periodica di esercizi e test, specialmente in caso di cambiamenti significativi nell’organizzazione o nel contesto operativo;
  • la produzione di report formalizzati che riassumano i risultati rispetto agli obiettivi, includendo raccomandazioni per il miglioramento continuo delle strategie e procedure di Business Continuity.

Per facilitare lo svolgimento di esercitazioni o test è consigliabile designare un facilitatore, che può essere interno all’organizzazione (come un professionista della Business Continuity) o esterno, come un consulente. Inoltre, il facilitatore deve possedere eccellenti capacità di presentazione e comprovate capacità di leadership, oltre a un’esperienza adeguata nel formato di esercizio scelto. È fondamentale che abbia una conoscenza approfondita dell’organizzazione e/o del settore, nonché una sufficiente comprensione del BCMS dell’organizzazione, in particolare degli aspetti che vengono esercitati o testati.

Valutazione della documentazione e funzionalità della Business Continuity

Le valutazioni, effettuate tramite revisioni, analisi, esercizi, test, rapporti post-incidente ed esami delle prestazioni, devono considerare requisiti legali e normativi, best practices del settore e conformità alla policy di Business Continuity. Si tratta, altresì, di misurare la capacità di garantire la continuità da parte di partner e fornitori strategici.

A tal proposito, l’organizzazione deve: identificare il metodo per la valutazione, i.e. revisioni formali o analisi interne/esterne; stabilire criteri che considerino operazioni di altre organizzazioni del settore; conformità normativa; capacità di ripristino.

Inoltre, deve identificare i fornitori principali per condurre una valutazione formale del loro programma di Business Continuity, assicurandosi che tutti abbiano un programma esercitato, documentato e aggiornato annualmente, che condividano la strategia di Business Continuity è che siano previste procedure alternative per eventuali interruzioni.

Nel prossimo articolo della serie approfondiremo la valutazione delle prestazioni del BCMS, le strategie di miglioramento continuo e forniremo un esempio pratico di come progettare un Business Continuity Plan (BCP) con una struttura operativa completa.

Per approfondire ulteriormente questi temi e scoprire metodologie avanzate di implementazione, ti invitiamo a consultare il white paper completo “Business Continuity: mito o realtà? La continuità nella discontinuità – Guida teorica e pratica” elaborato da Federica Maria Rita Livelli e Chiara Cavicchioli, una risorsa completa per professionisti e organizzazioni che desiderano eccellere nella gestione della continuità operativa.

Profilo Autore

Consulente in Risk Management & Business Continuity, svolge un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere.

Membro de: BCI - Cyber Resilience Group, CLUSIT – Direttivo & Comitato Scientifico, ENIA - Comitato Scientifico, FERMA – Digital Committee, UNI - Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279).
Relatrice e moderatrice in diversi seminari, conferenze nazionali ed internazionali, è anche autrice di numerosi articoli su diverse riviste online italiane e straniere.

Ha partecipato, in qualità di co-autrice, a: Edizioni 2020, 2021, 2022 ,2023 e 2024 del Rapporto Clusit - Cyber Security; Libri tematici CLUSIT rif. Intelligenza Artificiale (2020) e Rischio Cyber (2021), Supply Chain Risk (2023); Libro “Lo Stato in Crisi” ed. Angeli (2022).

Altri Articoli
Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi