Com’è noto, la BIA (Business Impact Analysis) ha come finalità il valutare le conseguenze sulla organizzazione della indisponibilità (solitamente) di un processo/servizio aziendale.
Tale valutazione viene effettuata a intervalli di tempo predeterminati, definiti nella metodologia di esecuzione della BIA che l’organizzazione si è data.
Gli intervalli da considerare sono legati al settore in cui opera l’organizzazione; nel mondo della finanza tali intervalli si misurano in ore, in altri settori in giorni.
L’organizzazione definisce dopo questa analisi il tempo minimo di ripristino desiderato per ogni processo, individuandolo fra gli intervalli che la valutazione ha determinato essere con un impatto ancora accettabile per l’organizzazione stessa.
Se, ad esempio, valuto le conseguenze della indisponibilità di un processo/servizio dopo 4, 8, 24 ore posso capire che le perdite iniziano ad essere inaccettabili se il processo/servizio non è disponibile per 8 ore.
Questo aiuta a definire il periodo di ripristino desiderato (RTO) che, come si è evidenziato più volte in precedenti articoli, in realtà non dovrebbe essere un valore fisso, ma dovrebbe tener conto dello specifico momento in cui avviene l’evento avverso (giorno dell’anno, ora del giorno) in particolare in presenza di scadenze vincolanti (periodiche o quotidiane).
Tale valore deve essere inferiore in ogni caso al tempo massimo che l’organizzazione può tollerare di indisponibilità di un determinato processo senza avere conseguenze irreversibili (MTDP).
Resilienza operativa nelle organizzazioni: come evolve la normativa (e non solo)
Indice degli argomenti
Le differenze tra BIA e analisi dei rischi
I parametri sopra indicati non hanno definizioni univoche e hanno subito nel tempo valutazioni diverse in merito alla loro rilevanza.
Elementi notevoli che contraddistinguono la BIA sono:
- solitamente non considera quelli che sono gli eventi che possono provocare il fermo del processo/servizio; questi infatti servono solo successivamente per definire le azioni di recovery o le misure di resilienza;
- viene determinato il periodo specifico da considerare per valutare l’impatto (i vari intervalli);
- non viene valutata la probabilità di accadimento di un evento avverso; la BIA valuta solo l’impatto;
- vengono valutate solo le conseguenze della indisponibilità del processo/servizio.
Un’analisi dei rischi è invece molto diversa in quanto:
- i parametri su cui effettuare una valutazione di impatto sono molteplici; possono riguardare ad esempio la sicurezza di asset e informazioni (riservatezza, disponibilità, integrità), i diritti e le libertà delle persone fisiche (GDPR), la sicurezza sul lavoro, l’esternalizzazione, le performance del sistema informativo ecc.;
- vengono spesso considerati separatamente i vari eventi che possono comportare un danno;
- viene definito sia l’impatto, sia la probabilità di un evento avverso;
- solitamente, e questo è un grosso limite delle analisi dei rischi, non viene formalmente definito il periodo di riferimento entro cui valutare l’impatto. Questo limite rende poco attendibili anche le valutazioni della probabilità e può creare delle incoerenze fra le valutazioni di probabilità ed impatto che, nelle intenzioni dei vari soggetti che effettuano le valutazioni, possono fare riferimento ad intervalli diversi.
Le necessarie sinergie tra BIA e analisi dei rischi
Espresse le importanti e notevoli differenze fra queste due discipline vediamo qual è la sinergia che può crearsi fra loro nel momento in cui sono utilizzati nell’ambito della costruzione di soluzioni di resilienza e di recovery.
Dopo aver individuato quelli che sono i processi più rilevanti per l’azienda, sarà possibile condurre una serie di analisi dei rischi, da diversi punti di vista, sia sui processi, sia sui sottostanti asset.
Si otterranno così una serie di rischi valorizzati, che unitamente agli impatti valutati con la BIA, possono indirizzare le migliori scelte in particolare per individuare soluzioni che garantiscano la resilienza dei processi stessi.
Non va infatti dimenticato che il piano di continuità operativa individua soluzioni per il ripristino della operatività in seguito ad una serie di eventi che possono compromettere gli asset sottostanti i processi (edifici, persone, infrastrutture, sistema informativo ecc.).
Tramite l’analisi dei rischi è invece possibile individuare quelli che sono gli eventi che possono avere maggiore probabilità e impatto sull’organizzazione al fine di predisporre le opportune misure per ridurre il valore di uno o di entrambi questi parametri.
Definire se l’introduzione di una particolare misura di resilienza sia conveniente (nel rapporto costo/benefici) oppure no ha ovviamente risvolti diversi se questa viene valutata solo da questo punto di vista o se sono presi in considerazione anche altri rischi che può mitigare.
Ad esempio un impianto antincendio che viene implementato solo considerando i benefici in termini di continuità avrà un rapporto costo/benefici di un certo tipo.
Se considero che la stessa misura ha impatti anche sulla tutela delle persone che lavorano presso l’organizzazione o sulle persone fisiche di cui si trattano i dati sarà possibile effettuare una valutazione costi/benefici considerando anche questi aspetti.
Ovviamente va considerato che la BIA da come esito il valore di un impatto, mentre un’analisi dei rischi un valore di rischio, due valori completamente diversi fra loro. È quindi importante saper gestire adeguatamente queste due diverse grandezze.
Conclusioni
Analisi dei rischi successive ad una BIA consentono di individuare gli elementi utili a garantire la resilienza dei processi, ma attenzione a non limitarsi a considerare nelle analisi dei rischi i soli parametri di sicurezza.
