È ora di mettere in campo una nuova business continuity

Con la crisi pandemica, molto dei vecchi piani sono diventati carta straccia. Oggi bisogna riscriverli facendo tesoro su quanto abbiamo imparato.

La crisi pandemica ha messo in crisi, il gioco di parole è voluto, molti dei piani di emergenza di business continuity e disaster recovery che erano stati elaborati nelle aziende prima del 2020. Molti di questi piani si sono dimostrati inadeguati perché erano stati teorizzati tenendo presente scenari centrati su diverse criticità, ma che avevano tutti una stessa caratteristica in comune: ossia che l’evento che porta al blocco di una parte o di tutto un sistema informativo è sempre localizzato geograficamente e generalmente di breve durata, poche ore, un giorno, due… Come può essere un’inondazione di qualche giorno dovuta a forti piogge o banalmente una mancanza imprevista di energia elettrica per alcune ore. Generalmente in questi casi ‘normali’ i piani di recovery (il termine inglese è molto più ‘elegante’ dell’italiano recupero) invocando l’intervento della business continuity prevedono l’attivazione delle risorse IT indispensabili per continuare a svolgere il business aziendale da un sito secondario opportunamente attrezzato, lontano diverse decine di chilometri dal data center principale oggetto dell’evento ‘catastrofico’.

Se nella sede del data center principale sono situati anche degli uffici ‘strategici’ della società e il blocco dei sistemi perdura per più di un giorno, allora generalmente i piani di business continuity prevedono anche la possibilità di spostare la forza lavoro in uffici di ‘riserva’ più sicuri, anche questi opportunamente attrezzati in anticipo oppure facilmente e rapidamente attrezzabili e messi a disposizione da un’entità terza su richiesta, naturalmente facendo riferimento a un contratto che è stato definito in precedenza. Il tutto per un periodo temporaneo, da pochi giorni a qualche settimana, fino a quando il data center andato in ‘down’ non viene ripristinato nella sua operatività e gli uffici aziendali diventano di nuovo agibili.

Prima del 2020 nessun piano di recovery ha mai preso in considerazione il fatto che si potesse sviluppare velocemente in poche settimane una pandemia a livello globale costringendo l’allontanamento delle persone praticamente da quasi tutte le aziende del mondo per diversi mesi di seguito, come abbiamo in effetti vissuto quasi tutti a causa del Covid-19. Questa tragica realtà ha provocato il fatto che molti piani di business continuity, ma non sbaglieremmo se dicessimo praticamente tutti, sono entrati in crisi.

Molti sosterranno che alla fine però le aziende sono comunque tornate a una certa operatività di business, se non completa quantomeno parziale, nel giro di poco tempo, e poco importa se i piani di business continuity non hanno funzionato o hanno funzionato solo in parte. Anche questo è un dato di fatto, ma ciò non giustifica che oggi, con il senno di poi e con le esperienze che ci hanno portato a imparare cose nuove, la business continuity nelle nostre aziende rimanga la stessa del periodo pre Covid-19.

Perché siamo riusciti ad andare avanti

La ripresa delle attività durante i primi giorni di lockdown nel marzo del 2020 ha potuto realizzarsi grazie al fatto che imprese ed enti statali avevano comunque a disposizione un livello di digitalizzazione anche minimo dei loro processi, al fatto che diversi dei dipendenti era dotato da tempo di pc portatili, all’apertura dei sistemi aziendali al collegamento via internet da casa, che ha abilitato il cosiddetto smart working, e all’utilizzo di qualche soluzione di condivisione file via cloud adottata velocemente in emergenza… Tutto questo si è potuto realizzare però con forti compromessi sul fronte della sicurezza e anche per quanto riguarda la privacy dei dati.

Le cose quindi si sono sistemate in qualche modo, e il mondo è riuscito per fortuna a ripartire. Ma bisogna essere consapevoli del fatto che si è potuto andare avanti perché si sono messi dei ‘cerotti’, che però non sono sempre riusciti a salvaguardare la salute di tutti. Per esempio, in molte aziende, l’incompleta digitalizzazione degli archivi amministrativi ha costretto comunque diverse categorie di impiegati a tornare a lavorare in ufficio anche nei periodi di lockdown più pesanti per consultare carte e faldoni… E diversi documenti cartacei sono usciti dalle mura aziendali per essere portati a casa, curandosi poco delle implicazioni che questa cosa ha rappresentato per esempio nei confronti della privacy dei dati. Ma anche molti sistemisti operativi nei data center aziendali si sono trovati a dover andare sul luogo di lavoro per mantenere in attività l’infrastruttura ICT vitale per continuare a garantire l’operatività aziendale.

Insomma, se è vero che in qualche modo ce la siamo cavata, questo non significa che potrà essere lo stesso anche in futuro, e quindi vista l’esperienza vissuta val la pena invece ripensare i piani di recovery e le strategie di business continuity aggiornandoli in tutte quelle parti che non hanno funzionato.

Abilitare una nuova business continuity

Cosa abbiamo imparato quindi da questa esperienza in relazione al tema della business continuity? Come possiamo impostare una strategia di resilienza nella fase della ‘nuova normalità’?

La cosa principale che abbiamo imparato dall’esperienza del Covid-19 sulla business continuity è il fatto che questo è un tema che va ben al di fuori del perimetro del data center aziendale. Per tornare a operare in modo efficace in casi come quello della pandemia appena vissuto da tutto il mondo servono dei tasselli in più, che alla prova dei fatti si sono dimostrati indispensabili.

Prima di tutto, per abilitare una piena operatività aziendale anche negli scenari pandemici è necessario che i processi aziendali più core, se non tutti i processi di un’impresa, siano digitalizzati e, ove necessario, integrati tra di loro. E che questa digitalizzazione sia realizzata utilizzando sistemi che poi siano facilmente accessibili, in piena sicurezza da remoto da diverse ‘location’: casa, spazi di coworking, luoghi pubblici al chiuso e all’aperto, mezzi di trasporto… Qui entra gioco il secondo elemento, ossia il cloud che può essere un importante facilitatore, non solo per abilitare un efficace servizio di disaster recovery per i dati e le applicazioni aziendali, ma proprio per consentire la possibilità allo smart worker di accedere facilmente ai dati e alle applicazioni che caratterizzano il suo lavoro quotidiano. Terzo elemento fondamentale, dopo la completa digitalizzazione dei processi aziendali e il cloud, è la configurazione di logiche di ‘digital workplacement’ che consentano appunto a ogni dipendente aziendale di poter lavorare in piena sicurezza con qualsiasi sistema, sia quelli aziendali, ma anche, come nel caso della recente pandemia, con pc privati, che naturalmente devono essere aggiornati alle prestazioni adeguate per consentire l’utilizzo delle applicazioni aziendali. Questo per realizzare la promessa della possibilità di lavorare ‘anywhere, anytime, anydevice’, senza trascurare però gli aspetti di sicurezza e privacy.

Ma non tutti i digital workplace sono uguali e anche questo è un aspetto importante che deve essere tenuto presente. Gli impiegati amministrativi che lavorano quotidianamente sull’ERP hanno delle necessità diverse dagli utenti più sofisticati, come per esempio i progettisti CAD, per i quali bisognerà invece prevedere delle soluzioni che da remoto assicurino lo stesso livello di prestazioni dei sistemi che vengono utilizzati all’interno dell’azienda.

Naturalmente un fattore indispensabile è poi l’affidabilità e le prestazioni delle connessioni per quanto riguarda il traffico tra il data center aziendale e i fornitori di servizi cloud, ma anche i collegamenti dei lavoratori remoti.

Cosa c’è da migliorare nei data center

Ma siamo sicuri che all’interno dei data center vada tutto bene e non ci sia invece qualcosa, alla luce di quello che è successo in questi mesi, che si può migliorare?

In questo ambito la pandemia ha messo in luce tutti i limiti di quei data center che non avendo al loro interno un buon livello di automazione hanno costretto i sistemisti a dover essere presenti anche per svolgere i task più banali, per questo motivo molti di questi lavoratori nei periodi di lockdown si sono potuti muovere grazie al riconoscimento come ‘lavoratori essenziali’. Inoltre, in

Una seconda evidenza da migliorare è poi quella che prima del Covid prevedeva la remotizzazione delle sale di controllo solo nella logica di trasferimento del processo in un sito secondario lontano dal sito primario che aveva subito il down. Ma tenere sottocontrollo in modo coordinato un data center da remoto, ossia dalle case dei dipendenti coinvolti, con quindi uno staff disperso inevitabilmente in più siti, non era mai stato immaginato prima del 2020.

Oggi invece, oltre a un forte intervento sul fronte dell’automazione dei processi tipici del data center, bisogna prevedere anche il fatto che un data center possa essere tenuto sotto controllo a distanza anche da uno staff di 5, 8, 10 tecnici che lavorino in modalità smart working in sedi remote diverse. Non è una sfida di poco conto.

I rischi del lavoro da remoto da tenere sotto controllo

Una volta tenuto conto del fatto che la nuova business continuity nata dall’esperienza della pandemia non può prescindere dagli elementi appena descritti – ossia: una digitalizzazione completa o quasi completa di tutti i processi aziendali; il supporto del cloud per avvicinare e facilitare l’accesso alle informazioni da remoto; il disegno di digital workplace sicuri e differenziati per tipologia di utenti; una connettività all’altezza delle prestazioni richieste; e, infine, data center più automatizzati e controllabili da remoto -, è ora di esaminare quali sono invece i controlli da svolgere per identificare quei rischi da evitare nel caso che un nuovo evento pandemico costringa le persone a tornare nuovamente, e nel giro di uno o due giorni, a lavorare da remoto. Vediamoli quindi brevemente facendo riferimento al documento ‘Covid-19: Managing Risk and Ensuring Business Continuity’ pubblicato recentemente da Deloitte. La società a questo proposito ne ha identificato quattro di diverse tipologie: i rischi infrastrutturali; i rischi legati alla sicurezza; i rischi legati alle persone; i rischi operativi, di business e di comunicazione.

Rischi infrastrutturali

1. Come primo passo è importante controllare che l’infrastruttura e i servizi ICT essenziali della propria azienda siano pronti a supportare il più alto numero di dipendenti che improvvisamente si potrebbero trovare a lavorare da remoto.

2. Il secondo passo è verificare se i sistemi aziendali possono essere gestiti interamente da remoto senza bisogno dell’intervento fisico diretto del personale ICT specializzato.

3. Bisogna poi tracciare la mappa di tutti i punti deboli della propria infrastruttura dove è possibile che si possano verificare delle cadute di sistema in caso di passaggio repentino al lavoro da remoto, e prevedere quindi le relative contromisure.

4. È poi importante definire con i fornitori responsabilità e SLA contrattuali in caso di situazioni emergenziali, tenendo presente ogni possibile richiesta che può arrivare dalle altre divisioni aziendali.

5. Prevedere un numero sufficiente di personale IT per le attività di help desk a supporto dei dipendenti che si possono trovare improvvisamente a lavorare da remoto.

6. Gestire le priorità di accesso alle risorse e ai servizi disponibili nei sistemi aziendali secondo i profili definiti di top manager, manager, impiegati specializzati in determinate aree, personale commerciale, impiegati generici e altre categorie di dipendenti.

7. Rivedere il numero delle licenze attualmente operative e assicurarsi che queste prevedano l’utilizzo delle applicazioni anche da remoto

Rischi legati alla sicurezza

1. Verificare le policy di sicurezza relative alle applicazioni che possono essere utilizzate anche con accessi da remoto e come queste possono essere tenute sottocontrollo per contrastare eventuali attività malevoli.

2. Verificare la sicurezza degli accessi e della rete aziendale, prevedere fasi di testing relativi a diversi temi della cyber security, come per esempio l’aggiornamento delle patch.

3. Prevedere delle campagne di sensibilizzazione rivolte agli utenti interni per catturare la loro attenzione su specifici casi di attacchi e minacce che potrebbero emergere in concomitanza di determinate crisi sistemiche, come quella del Covid-19.

Rischi legati alle persone

1. Analizzare i ruoli che richiedono un accesso sul posto e prevedere un piano di backup in caso di assenza delle persone.

2. Prevedere misure di supporto alle persone che vivono situazioni stressanti dovute a periodi di isolamento prolungati.

Rischi operativi, di business e di comunicazione

1. Tracciare una mappa dei punti deboli della propria organizzazione (processi, persone e tecnologie coinvolte) e prevedere delle contromisure.

2. Stabilire dei protocolli di emergenza e delle iniziative organizzative per assicurare la continuità operativa a seconda del livello di rischio che si va ad affrontare.

3. Prevedere un piano di reazione – procedure, persone allocate, strumenti da utilizzare e altre risorse – da attivare in caso di un evento che rischia di provocare l’interruzione del business aziendale.

4. Identificare i possibili problemi che si possono verificare nella propria supply chain e prevedere le contromisure necessarie.

5. Prepararsi all’eventualità della chiusura degli uffici aziendali, compresi quelli dove si svolgono le attività di business, per identificare tutto quanto è necessario per consentire alle persone di continuare a lavorare da remoto.

6. Prevedere delle soluzioni alternative al lavoro che non può essere remotizzato.

7. Stabilire a livello organizzativo cosa bisogna fare quando si verificano eventi che hanno un impatto sull’economia dell’azienda.

8. Prevedere scenari, misure e piani per il ritorno alla ‘normalità’ del business una volta che l’emergenza è passata.

9. Per quanto riguarda la comunicazione, prevedere sistemi alternativi per continuare a relazionarsi con partner, clienti, fornitori, istituzioni e il ‘pubblico’ nel caso i sistemi di comunicazioni primari non siano più utilizzabili per un certo periodo di tempo.




A cura della redazione

Office Automation è da 38 anni il mensile di riferimento e canale di comunicazione specializzato nell'ICT e nelle soluzioni per il digitale, promotore di convegni e seminari che si rivolge a CIO e IT Manager e ai protagonisti della catena del val...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout luglio-agosto 2021

Officelayout

Progettare arredare gestire lo spazio ufficio
Luglio-Settembre
N. 186

Abbonati
Innovazione.PA n. 40

innovazione.PA

La Pubblica Amministrazione digitale
Luglio-Agosto
N. 40

Abbonati
Executive.IT luglio-agosto 2021

Executive.IT

Da Gartner strategie per il management d'impresa
Luglio-Agosto
N. 5

Abbonati