Una delle prime domande che ogni imprenditore e qualsiasi azienda dovrebbero porsi riguarda il costo di un’interruzione della propria attività, e quindi la reale convenienza nell'investire in un business continuity plan. Purtroppo, alcune realtà tendono a sottovalutare l’impatto di un downtime e tutte le estensioni dello stesso nei confronti della propria organizzazione, riducendosi a intervenire quando il danno è fatto e le conseguenze difficilmente mitigabili. Comprendere l’impatto che l’assenza di un business continuity plan può avere sull’azienda significa, di fatto, porsi la domanda speculare, ovvero “quanto costa non fare nulla?”.
La risposta ha un che di ovvio: non fare nulla è gratis finché non capita qualcosa. Nel mondo in cui viviamo oggi, però, con l'aumento esponenziale delle iniziative malevoli di hacker – mirate o opportunistiche che siano – e degli attacchi DdoS (Distributed Denial of Service), in assenza di contromisure adeguate l’azienda potrebbe dover fronteggiare un problema talmente grave da mettere addirittura a serio rischio la propria esistenza.
Conoscere i possibili rischi attraverso il risk assessment
D’altronde, le metodologie di risk assessment servono proprio a valutare la pericolosità degli eventi indesiderabili, la probabilità che si verifichino e i loro effetti nei confronti dell’attività nel suo complesso.
Il pensiero non deve correre solo agli attacchi sferrati dall'esterno o ai guasti ai server e alle infrastrutture: l’analisi del rischio è un concetto ben più vasto che comprende calamità naturali, disastri ambientali, errori umani, furti e molto altro, comprese fonti di rischio che sono specifiche di quell’attività, settore o azienda. Una volta valutati i rischi, la struttura potrà prendere decisioni allineate con le sue priorità al fine di confezionare un vero business continuity plan e, perciò, minimizzare l’effetto degli eventi imprevisti sulla propria attività.
I costi, non solo finanziari, che comporta l'assenza di un business continuity plan
Bisogna considerare innanzitutto che di fronte a un downtime, l’azienda non si trova a dover fronteggiare unicamente i costi di natura finanziaria generati da un'interruzione di servizio, dal danneggiamento della catena produttiva o dal deperimento della merce, bensì un’onda lunga capace di propagarsi ovunque, dalla vita dei dipendenti alla fiducia del mercato nei confronti del marchio, dalla reputazione del brand all’employee engagement.
Per esempio, un data breach comporta danni tangibili in termini di lucro cessante, eventuali conseguenze a livello normativo, riduzione netta nel numero dei clienti e nell’attrattiva del marchio, ma come quantificare gli effetti sul morale dei dipendenti, per esempio? Anche qui, esistono statistiche che mettono chiaramente in relazione l’employee engagement con la produttività, ma è ovvio che oltre a un certo limite non si possa che procedere per stime, entrando in un’area grigia in cui sarebbe meglio non avventurarsi mai. Stesso discorso per la reputazione del management, chiaramente a rischio, e l’immagine di azienda disorganizzata che si riflette all’esterno e che la comunicazione dovrà poi gestire in qualche modo.
Perché assicurarsi non è sufficiente a limitare i danni per il business
Alcune aziende, consapevoli che il rischio di evento dannoso non possa essere azzerato, percorrono la strada dell’assicurazione. Per quanto sia sicuramente meglio rispetto a non fare nulla e possa potenzialmente salvare un’attività, assicurarsi contro specifici eventi non ha nulla a che fare con la business continuity vera e propria: come visto, il danno subito in termini di perdita di fatturato può essere risarcito, naturalmente, ma non se ne possono purtroppo eliminare altri tipi di effetti, forse ancora più impattanti della mera questione finanziaria. Pure in presenza di un rimborso economico, bisogna infatti mettere in conto che un’interruzione dell’attività può comportare conseguenze anche gravi nei rapporti con i clienti, con i fornitori, a scapito dell’intera catena del valore e della brand reputation.
Un esempio di business continuity plan: prevenire è meglio che curare
L'approccio di chi invece sceglie di attivare un business continuity plan è completamente diverso, e si basa sull'assioma che prevenire è meglio che curare. Un business continuity plan ben realizzato:
- identifica per prima cosa ciò che va protetto a tutti i costi,
- prende poi in considerazione i possibili effetti nefasti,
- implementa processi e soluzioni tecnologiche per raggiungere uno scopo molto ambizioso, ovvero sviluppare la capacità di assorbire gli effetti negativi dell’evento, minimizzandone a 360 gradi le conseguenze.
Per fare un esempio di business continuity plan, si può citare un caso che purtroppo tutti conosciamo molto da vicino. Le aziende che durante l'emergenza coronavirus non si sono fatte trovare impreparate dalle restrizioni imposte per garantire il distanziamento sociale sono quelle che avevano predisposto un piano di business continuity plan. Si tratta di organizzazioni che in tempi non sospetti hanno allargato la propria prospettiva, cominciando a sperimentare piattaforme di digital workspace e a somministrare con gradualità progetti di smart working. Questo da un lato ha consentito alle HR e alla divisione IT di misurare livelli di performance della produttività e dei sistemi informatici, dall'altra ai team leader e ai collaboratori di prendere confidenza con una nuova dimensione dell'attività lavorativa. Naturalmente, a margine di queste novità sono stati introdotti nuovi strumenti di governance per le applicazioni di collaboration, nuove soluzioni e strategie per la cybersecurity e soprattutto nuovi piani di backup e disaster recovery per garantire la continuità operativa anche in presenza di eventi imprevedibili. Inutile dire quale sia stato il ruolo del Cloud nel semplificare e accelerare questa trasformazione.
Molte altre imprese, invece, sono rimaste a guardare, sicuramente risparmiando in termini di investimenti e sforzi organizzativi. Il problema è che poi l'evento imprevedibile – la pandemia – è accaduto davvero, e ha travolto tutte le organizzazioni che non avevano previsto un business continuity plan, provocando inevitabili, fisiologici fermi delle attività per correre ai ripari.
Tornando dunque alla domanda di partenza, ovvero “quanto costa non fare nulla?”, è certamente possibile fornire una stima degli effetti economici del downtime nei confronti della propria attività: addirittura, esistono dei calculator online che stimano i danni da mettere in conto. L'importante, oggi, è smettere di ripetersi che un certo evento “a noi, non capiterà mai”.