Uomo che cerca qualcosa in una tavoletta

Piano B: Business Continuity Plan per le PMI

Quando l’IT si blocca, la maggior parte delle imprese si ferma. Ecco perché le piccole e medie imprese hanno bisogno di un piano di continuità come Piano B. Soprattutto oggi che sempre più PMI sono vittime di attacchi informatici e, nel peggiore dei casi, devono fare i conti con interruzioni di sistema, e quindi di esercizio, più o meno lunghe.

Perché è necessario un piano di ripristino?

Con l’aumento del numero di attacchi informatici, aumenta anche il rischio di interruzioni di esercizio o di fermi dell’attività. Le PMI sono particolarmente a rischio perché spesso sono meno protette rispetto alle grandi aziende a causa della mancanza di risorse. Con un Business Continuity Management come parte della loro strategia di gestione del rischio, le PMI si preparano ad affrontare tali emergenze e a mantenere attivi i processi aziendali critici. Secondo lo studio Sophos «The State of Ransomware 2023», un’interruzione di esercizio costa in media 1,85 milioni di dollari. Inoltre, si verifica una perdita di reputazione e di fiducia. Tempi di inattività prolungati possono mettere a rischio l’esistenza di una PMI.

Cosa c’è in un Business Continuity Plan?

Un Business Continuity Plan aumenta la resilienza informatica, riduce la durata delle interruzioni dell’attività aziendale e garantisce la redditività a lungo termine. La resilienza informatica è la capacità di proteggersi dagli attacchi informatici, di riconoscerli, di reagire immediatamente e di riprendersi rapidamente dalle conseguenze degli stessi. Questi sono i quattro componenti fondamentali di un piano di continuità:

  • In primo luogo, si identificano tutti i processi aziendali critici. Si tratta dei processi cruciali per la sopravvivenza della PMI, dalla catena di fornitura al servizio clienti.
  • Successivamente, con una valutazione dei rischi, si analizzano le possibili minacce, come gli attacchi informatici o i problemi tecnici, e le loro conseguenze.
  • Sulla base della valutazione dei rischi, si sviluppa una strategia di ripristino, in modo che la PMI possa riprendere la sua attività operativa il più rapidamente possibile. Ad esempio, con un sistema IT ridondante o in una seconda sede.
  • Con il crescente numero di attacchi informatici, la sicurezza informatica diventa di vitale importanza e deve essere regolamentata nel Business Continuity Plan. Ad esempio, con misure preventive come backup regolari, patch e aggiornamenti software o formazione dei collaboratori e delle collaboratrici.

Il Business Continuity Plan in sei passi

Come creare un Business Continuity Plan in sei passi:

Passo 1: Identificare e valutare i rischi

Iniziate con un’analisi approfondita del rischio. Quali sono i pericoli che possono minacciare le attività correnti – e quindi l’azienda – in caso di guasto IT? Considerate tutti gli scenari immaginabili e valutatene la probabilità e le conseguenze. I possibili scenari includono rischi tecnologici come attacchi informatici o guasti ai sistemi.

Passo 2: valutare le conseguenze critiche per l’attività

La Business Impact Analysis vi permette di comprendere le conseguenze di guasti e interruzioni. Identificate i processi critici per l’attività e le dipendenze IT e determinate la velocità con cui devono essere ripristinati per evitare gravi conseguenze. L’analisi aiuta ad allocare le risorse in modo adeguato e a sviluppare una strategia per la minimizzazione dei rischi e il ripristino. Per alcuni processi, reparti o settori si possono prevedere tempi di ripristino più lunghi rispetto ad altri, senza che la clientela ne risenta direttamente. In definitiva, si tratta di decidere quali processi sono più importanti per la creazione di valore e rilevanti per il fatturato.

Passo 3: ridurre al minimo i rischi e ripristinare i processi

Una volta identificate tutte le conseguenze e le dipendenze, con una strategia di mitigazione del rischio pianificate le misure per ridurre al minimo le conseguenze. Utilizzate quindi una strategia di ripristino per stabilire come ripristinare i processi aziendali critici nel più breve tempo possibile. Pianificate la comunicazione di crisi, definite canali di comunicazione chiari e assegnate le responsabilità.

Passo 4: dedurre, preparare e sviluppare misure

Ogni Business Continuity Plan è suddiviso in due aree tematiche. I reparti o i settori sono responsabili del mantenimento dell’attività aziendale, in quanto conoscono meglio i relativi processi. Gli specialisti IT interni o esterni sono responsabili del ripristino tecnico

Mantenimento dell’attività aziendale

  • Stampare la documentazione dei processi completa con istruzioni, piani e registri.
  • Stampare e archiviare formulari per la documentazione dei processi.
  • Registrare i contatti di clienti, partner e collaboratori e collaboratrici e tenerli a disposizione anche offline.
  • Trovare alternative per la delocalizzazione della produzione e per l’approvvigionamento dei materiali.
  • Eventualmente creare un magazzino esterno con componenti critici per la produzione.
  • Chiarire con la banca come si possono pagare le fatture urgenti in caso di emergenza.
  • Cercare alternative al pagamento con carta, ad esempio in contanti o tramite modelli di fattura.
  • Discutere i documenti e gli scenari di emergenza con i collaboratori e le collaboratrici chiave.
  • Salvare i documenti importanti su un computer portatile con una connessione Internet indipendente.
  • Eventualmente creare un’organizzazione di emergenza con i collaboratori e le collaboratrici e con il fornitore di servizi IT.

Ripristino tecnico

  • La prima cosa da verificare è la disponibilità dei dati di backup: a quanti giorni o settimane prima arrivano e se si vogliono usare come base per il futuro? I supporti di dati funzionano ed è disponibile un’infrastruttura di lettura/copia sufficiente?
  • Prima di ripristinare i backup, è necessario assicurarsi che i sistemi di destinazione siano stati completamente cancellati e siano privi di virus. In alcuni casi, è opportuno acquistare nuovo hardware o ripristinare i backup in un ambiente cloud.
  • Per i sistemi più complessi, un’ampia «pulizia» dei sistemi può essere più efficiente di un ripristino completo dai backup. Un fornitore di servizi di emergenza IT esperto dovrebbe aiutare a rimuovere tutti i virus e le backdoor e a impostare un «impianto d’allarme» per le nuove infezioni.
  • Con l’aiuto del fornitore di servizi IT, è inoltre possibile creare una rete sicura per il ripristino, separata fisicamente o tramite firewall adeguati da eventuali sistemi ancora infetti.
  • La prima cosa da fare è ripristinare o ripulire i sistemi centrali, cioè la gestione degli utenti, i file server, la posta elettronica, i sistemi di sicurezza e di rete e i sistemi di gestione delle macchine virtuali.
  • La sequenza di ripristino di server, macchine virtuali, applicazioni e banche dati dipende dalla criticità di questi sistemi e dalle dipendenze, che devono essere identificate e documentate in anticipo.
  • Allo stesso tempo, è possibile reinstallare desktop e laptop e ripulire i sistemi di controllo nella produzione interessati.

Passo 5: coinvolgere e formare i collaboratori e le collaboratrici

Coinvolgete i vostri collaboratori e le vostre collaboratrici nell’analisi del rischio, nella Business Impact Analysis e nella pianificazione delle emergenze. Da un lato, conoscono meglio il loro settore di lavoro, i possibili pericoli e le conseguenze di guasti o interruzioni. Dall’altro, questo coinvolgimento favorisce la comprensione del processo Business-Continuity-Management (BCM) e aumenta il loro impegno per la strategia BCM. Per questo motivo, è opportuno organizzare eventi formativi e feedback regolari per i collaboratori interessati e le collaboratrici interessate e aggiornare il piano in caso di importanti cambiamenti organizzativi.

Passo 6: testare e adattare il Business Continuity Plan

Nessun piano è stabilito in modo definitivo. Il Business Continuity Plan deve essere testato e aggiornato almeno una volta all’anno. Inoltre, è necessario effettuare test di ripristino ed effettuare esercitazioni sui processi manuali in scenari di emergenza, in modo che ogni persona sappia cosa fare in caso di emergenza. Proprio come accade per l’allarme antincendio. Aggiornate il Business Continuity Plan dopo ogni grave guasto o interruzione e dopo ogni cambiamento significativo dell’ambiente operativo, stampatelo e distribuitelo a tutti i collaboratori, a tutte le collaboratrici e ai fornitori di servizi interessati.

Buono a sapersi
La Zurich Cyber assicurazione per le PMI copre i costi per analisi come le scansioni dei virus o per l’individuazione dei danni, nonché i costi delle attività di disaster recovery. Calcolate il vostro premio o fissate una consulenza.

Altri articoli

Proteggersi dagli attacchi hacker come PMI

Un attacco hacker è una minaccia per l’esistenza delle aziende

Ogni settimana, l’Ufficio federale della cibersicurezza (UFCS) riceve centinaia di segnalazioni di incidenti informatici, e nei periodi di maggiore intensità ne registra oltre 2’000 a settimana. Le PMI sono tra le più a rischio. Quali pericoli corrono le piccole e medie imprese?
Due dipendenti nella sala server

Piano di emergenza IT come si proteggono le PMI

Oggi nessuna azienda può permettersi un guasto prolungato del sistema IT. Nel migliore dei casi, il guasto costa «solo» denaro, nel peggiore l’esistenza dell’azienda. Ogni azienda ha quindi bisogno di un piano di emergenza IT.
Donna seduta al computer in un magazzino

Autenticazione: proteggete la vostra rete e i vostri dati

Con una autenticazione forte, come la 2FA o la MFA, le PMI proteggono la rete aziendale e i propri dati con una password e almeno un altro fattore.
Giovane uomo

Kaisin: nuova azienda con una ricetta di successo

Con deliziosi poké bowl verso il successo – il cofondatore Delano Fischer parla dell’innovativa start-up zurighese.
Uomini che discutono allegramente

La storia del nostro cliente di cyber-assicurazione Planted

La start-up Planted fa furore con alimenti innovativi di origine vegetale.