Sfortunatamente sono in molti coloro che confondono la Business Continuity con il Disaster Recovery IT. In verità la Continuità Operativa fa riferimento ad un concetto molto più ampio. Infatti la ISO 22301 – la normativa internazionale che ne definisce i requisiti – chiarisce nell’8.3.2 – definizione delle risorse che devono essere considerati, nell’attuazione dei piani di continuità, le persone, le informazioni, gli edifici, le strutture, i trasporti, le finanze e i fornitori implicati oltre agli aspetti connessi con l’ICT.
Tutto ciò sulla base delle considerazioni emerse da una preventiva attività di valutazione di impatto di agenti dannosi sul business. E quando si parla di analisi di impatto (Business Impact Analysis, BIA), apriti cielo! L’obiezione più comune è che è roba da grandi gruppi, da multinazionali, e che per questo non riguarda i professionisti e le PMI.
Allora, sulla base di una recente esperienza con una piccola agenzia di comunicazione, che se l’è vista veramente brutta, vorrei provare a fare un esercizio di valutazione di impatto, dimostrando anche ai non addetti ai lavori due assunti. Il primo è che non serve un ingegnere per riflettere sulla continuità operativa.
Il secondo è che è meglio dedicargli un po’ di tempo, perché viaggiando ad occhi chiusi, lo schianto può essere rovinoso.
Ore 10 di un tranquillo giorno lavorativo. Il team di grafici entra in agenzia e comincia a lavorare su un’importante commessa, prossima alla consegna. Valore stimato: 1/5 del fatturato annuo.
Ore 10.30. Schermo buio di colpo, salta la corrente. S’affacciano per capire quanto è diffuso il problema. Esce fumo da un tombino per strada. Dopo 20 minuti arrivano i pompieri.
Ore 11.30. Ancora tutti fermi. No UPS? Ahia! Dieci persone improduttive che costano mediamente 15 euro ciascuna, generano una perdita di 150 euro orari. Ed allora il capo ha una brillante idea: “andiamo a lavorare tutti quanti a casa mia”. Chiamano tre taxi, smontano i PC e se li caricano in spalla.
Ore 12.30. Arrivano finalmente sotto casa del capo. Sono stati bloccati nel traffico per mezz’ora: la zona, a seguito dell’incendio e della chiusura di una strada principale, si è pesantemente congestionata. Mentre uno dei ragazzi del team scende dal taxi con un fantastico Mac 27 pollici tra le braccia, inciampa. Il Mac va in mille pezzi. E così la perdita economica della seconda ora di blocco ammonta a 150 euro del costo dei dipendenti, sommato a 120 euro di costo del taxi e ai 2700 euro del Mac. Forse l’idea di spostarsi con i computer non è stata brillante.
Ore 13.00. Il computer andato in pezzi è quello dell’Art Director. Tutti i files e le presentazioni frutto dell’assemblaggio del lavoro dell’intero team sono ora indisponibili. E come se non bastasse la procedura di backup adottata sul server è settimanale. L’RPO (l’ultimo momento sulla linea del tempo nel quale sono disponibili le informazioni) non è minimamente compatibile con le esigenze. Il lavoro va consegnato entro due giorni e per rifare tutto ne servirebbero almeno cinque. Ecco che in una sola mezz’ora il potenziale impatto economico è salito in modo vertiginoso al valore dell’intera commessa – parliamo di quasi centomila euro – al quale va sommato l’eventuale costo di una clausoletta contrattuale di un paio di righe che prevede un indennizzo di ventimila euro a favore del committente in caso di mancata consegna del lavoro entro i tempi stabiliti. E non stiamo considerando il danno d’immagine che l’agenzia avrebbe subito: il committente, un’azienda estremamente rilevante sul mercato, non ne avrebbe certamente parlato bene in giro.
Ore 15.00. Di corsa al centro assistenza per salvare il salvabile. l’HDD non è compromesso e, con il costo di ulteriori 250 euro, le informazioni sono nuovamente disponibili.
Inutile infierire sottolineando che alle 13.30 l’elettricità era già stata ripristinata in tutta la zona.
Ora le questioni sulle quali vorrei richiamare l’attenzione sono sempre due.
La prima: senza fare una BIA, oltre a non riuscire a fissare degli obiettivi di continuità e definire le adeguate misure per essere in linea con quando stabilito, non si riesce a percepire quanto brusca possa essere la crescita dell’impatto nel tempo. Se analizziamo i fatti abbiamo, dalla seconda alla terza ora di blocco, un’impennata di oltre il 1800% di perdita economica e, nelle successive ore, sarebbe divenuta ben più significativa se l’HDD si fosse rotto.
La seconda riflessione, più semplice e amara, è che l’agenzia ha sostenuto una perdita maggiore di 3500 euro (sommando i costi di inefficienza del team, la rottura del computer e la prestazione del fornitore) quando con qualche ora di riflessione ed un investimento del 20% ca. (l’acquisto di un UPS, l’attivazione di un contratto per una connessione 3G) avrebbe potuto assicurare a tutti una tranquilla giornata di lavoro.
Adesso hanno imparato la lezione, ma se fosse stato troppo tardi?
