Con l’ausilio di un BCP, un’organizzazione cerca di essere preparata per rispondere nel modo più efficace e rapido possibile a un imprevisto. Spesso si tratta di predisporre misure piuttosto semplici, accorgimenti di buon senso. La domanda chiave che guida l’elaborazione di un BCP è: quali azioni specifiche predisporreste per prepararvi a questo tipo di evento?
Concretamente, il primo passo verso un BCP consiste nel definire una politica interna. Si tratta di un documento scritto, piuttosto conciso, che definisce gli obiettivi del BCP. Perché, a seconda del contesto, delle dimensioni dell’impresa, della sua attività, ecc. i rischi saranno diversi, così come lo saranno anche le risposte. Incendio, guasto informatico, ciberattacco, interruzione di corrente, ecc. Ogni rischio deve essere valutato, ogni scenario sviluppato (probabilità, conseguenze) e occorre prevedere risposte specifiche.
La definizione degli obiettivi è l’elemento chiave del BCP. È fondamentale riunire tutte le parti interessate e riflettere con loro sui rischi e sulle risposte. Dopo aver definito e quantificato questi concetti, è importante assicurarsi che tutti li comprendano e li accettino, per evitare controversie.
Occorre poi procedere alla definizione di RPO («recovery point objective») e RTO («recovery time objective». Il RPO corrisponde alla durata massima di salvataggio dei dati persi che l’organizzazione può tollerare. Quali perdite di dati sono accettabili? È necessario eseguire un backup ogni 24 ore, ogni 48 ore, una volta alla settimana? Il RTO corrisponde al tempo massimo di inattività che l’impresa può tollerare senza compromettere la sopravvivenza dell’organizzazione: fatture da pagare, pubblicazioni legali da evadere, ecc. Alcune scadenze non possono essere ignorate.
