Consigli per le piccole imprese su come predisporre piani di disaster recovery e business continuity.
Cominciamo questo articolo citando riferimenti normativi previsti dal Codice Privacy, sempre più spesso dimenticati o non noti alle aziende. Più in particolare:
Art. 31 D.Lgs 196/2003
I dati personali oggetto del trattamento sono custoditi e controllati […] in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale,…
Art. 34 D.Lgs 196/2003
L’Art. 34 autorizza il trattamento con strumenti elettronici solo se sono previste una serie di misure minime di sicurezza tra cui l’adozione di procedure per la custodia di copie di sicurezza, il ripristino di disponibilità dei dati e dei sistemi.
L’art. 18 dell’Allegato B al Codice, impone invece che il salvataggio abbia almeno frequenza settimanale e l’Art. 23 bbliga ad adottare misure di ripristino idonee a rendere i dati nuovamente accessibili nell’arco massimo di sette giorni dal disaster.
Le problematiche da oggetto dell’articolo che assillano le piccole imprese, di solito ruotano attorno a due elementi: la fidelizzazione del cliente e il cash flow. Sono poche quelle che si preoccupano di ciò che potrebbe succedere alla propria attività in caso di disastri naturali. Tuttavia, quando questi si verificano – si pensi alla recente alluvione nel Regno Unito o all’uragano Sandy – le piccole aziende sono spinte a valutare la necessità di adottare piani di disaster recovery .
Gli eventi distruttivi si manifestano in diverse forme. Il caos causato da cattive condizioni del tempo è facile da immaginare, ma incidenti quali l’interruzione improvvisa dell’energia elettrica, un errore umano, il malfunzionamento dei sistemi IT o indisposizioni del personale possono tutti avere un effetto catastrofico sulla produttività e profittabilità di un’azienda.
Si stima che l’80% delle aziende colpite da un evento tra quelli appena descritti chiuda nel giro di 18 mesi, mentre il 90% di quelle che registrano la perdita dei dati a seguito di un “disastro” siano obbligate a cessare l’attività entro due anni dall’accadimento1.
È fondamentale che le piccole aziende si preparino per affrontare incidenti di tutti i tipi, predisponendo piani di disaster recovery che siano compresi da tutti i dipendenti.
Differenza tra disaster recovery e business continuity
Disaster recovery e business continuity “vanno a braccetto” e dovrebbero essere considerate come parte integrante di ogni business plan. La prima offre un piano d’azione volto a ripristinare l’operatività in caso di disastro ed è generalmente focalizzata sul ripristino dell’IT. È importantissimo che le aziende dispongano di un piano in tal senso, per consentire a computer, reti e server di tornare pienamente operativi nel più breve tempo possibile.
Tuttavia, per molte piccole aziende persino il minimo imprevisto potrebbe avere conseguenze fatali. È a questo punto che entra in gioco la strategia di business continuity – assicurando che le funzioni mission critical aziendali non subiscano interruzioni per tutta la durata dell’evento.
Le aziende dotate di un piano di business continuity hanno molte più probabilità di sopravvivere a un disastro rispetto alle altre. Lo sviluppo di piani di disaster recovery e business continuity non deve necessariamente essere costoso e può essere spesso portato a termine dal titolare dell’azienda o da membri del suo staff. Esistono tuttavia diverse aziende indipendenti che possono dare una mano.
Quando si predispone un piano, occorre prendere in considerazione alcuni aspetti fondamentali:
Valutare i rischi
Prima di delineare il piano, bisogna valutare i rischi ai quali la propria azienda è esposta e il loro effetto sulle attività di business, sui dipendenti e sui clienti. Non sempre i rischi sono evidenti per cui è importante considerare tutte le possibilità come per esempio condizioni meteo estreme, crisi del gasolio, incendio, malfunzionamento degli apparati, interruzione dei servizi o persino carenze nello staff. Non bisogna tentare di pianificare per ogni singola eventualità, al contrario occorre focalizzarsi sui punti deboli che sono fondamentali per il funzionamento della propria azienda.
La cosa importante è assicurarsi che il piano di business continuity e quello di disaster recovery siano adatti alle esigenze e alle dimensioni della propria azienda. Provare a replicare piani adatti ad aziende di grandi dimensioni può portare a costi aggiuntivi oltre a non rivelarsi la soluzione adatta.
Sviluppare un piano attuabile
Occorre tracciare un piano personalizzato per consentire il funzionamento dell’azienda in caso di eventi imprevisti.
Esso dovrebbe includere un chiaro set dipolicy e processi che includano la catena di comando, informazioni per contattare i dipendenti e i fornitori esterni: supporto IT, servizi di emergenza, ecc. Bisognerebbe pensare anche alle modalità di comunicazione con cui contattare dipendenti e clienti nel caso di disastro, per esempio via telefono, webmail, Facebook, Twitter e così via.
Bisogna valutare inoltre di includere informazioni quali luoghi alternativi di lavoro in caso l’ufficio fosse inaccessibile o procedure di backup quali l’utilizzo di webmail o persino della mail personale in caso di malfunzionamento del sistema e-mail aziendale.
Test e aggiornamenti periodici
È importante verificare la reattività dello staff mediante la pianificazione di test. Si dovrebbero soprattutto definire chiaramente ruoli e responsabilità (per es. chi è responsabile per l’IT, per i clienti, per i dipendenti, per i servizi di emergenza…) in modo che le persone all’interno dell’azienda sappiano esattamente cosa fare e passino alla immediata attuazione del piano. È consigliabile effettuare simulazioni di specifiche situazioni per verificare che il piano funzioni e consentire allo staff di familiarizzare con le procedure, comprendere le policy e le misure di attuazione.
Bisogna assicurarsi di rivedere il piano almeno una volta all’anno oltre a verificare che tutti i contatti siano aggiornati periodicamente. Si deve riflettere su come la propria azienda sia cambiata o potrebbe cambiare negli anni e i potenziali rischi a questo collegati, per poi adattare il proprio piano di conseguenza.
Non dimenticarsi dei sistemi IT
Per la maggior parte delle aziende, l’IT è qualcosa che viene dato per scontato quando le attività di business vengono svolte senza problemi. Tuttavia, è importante considerare come un malfunzionamento dell’IT possa impattare negativamente sull’azienda. La disponibilità e il ripristino dei dati sono fattori essenziali al fine di consentirne l’accessibilità in caso di gravi interruzioni e permettere così all’azienda di continuare a funzionare efficacemente. Non solo i dati devono essere disponibili, ma i processi IT dovrebbero essere implementati in modo da permettere al dipartimento IT di comprendere chiaramente quali aree di business sono prioritarie in caso di interruzioni.
Un buon piano che copra sia disaster recovery che business continuity può assicurare a un’azienda di essere sempre operativa e conseguentemente profittevole.
Articolo a cura di Marco Bossi, Marketing Manager Switzerland and Italy, Consumer & Small Business
