Business continuity per PMI: prepararsi agli imprevisti senza diventare paranoici

In una PMI da 20 persone, una persona può essere il custode di un processo critico. Conosce le password. Sa come funziona il gestionale. Ha i contatti dei fornitori principali nella testa. Se quella persona si ammala per tre settimane, l'azienda ha un problema.

Questo non è un problema informatico. È un problema di business continuity.

---

Cosa minaccia la continuità di una PMI

Gli imprevisti che interrompono l'operatività delle PMI non sono quasi mai i film catastrofici. Sono eventi banali che però colpiscono nel momento sbagliato.

Il fornitore di una componentistica critica smette improvvisamente di consegnare. Il responsabile dell'ufficio tecnico si ammala. Il server che ospita il gestionale si guasta e il backup non funziona come atteso. Il locale in affitto ha un problema all'impianto idraulico che rende la sede inaccessibile per una settimana. La connessione internet principale smette di funzionare.

Nessuno di questi è un'ipotesi remota: tutti si verificano regolarmente in aziende reali.

---

Identificare i processi critici

Il punto di partenza è una domanda semplice: se domani mattina questo processo si interrompe, dopo quante ore o giorni iniziamo ad avere danni seri ai clienti, al fatturato, o alla reputazione?

I processi con risposta di ore sono critici: vanno protetti con ridondanza o con procedure di emergenza immediate. Quelli con risposta di giorni sono importanti: richiedono un piano di ripristino rapido. Quelli con risposta di settimane possono aspettare soluzioni più elaborate.

Per ogni processo critico identificato, tre domande:

• Chi altro in azienda conosce abbastanza di questo processo da coprirlo in emergenza?
• La documentazione necessaria per eseguirlo è disponibile a qualcuno oltre alla persona principale?
• Esiste un fornitore o partner esterno che potrebbe coprire in emergenza?

---

Le azioni ad alto impatto con basso costo

Non serve un progetto formale di business continuity per fare le cose più importanti.

Documentare i processi critici. Non un manuale di centinaia di pagine: una procedura di una-due pagine per ogni processo critico, con i passaggi principali, le credenziali necessarie, i contatti dei fornitori. Salvata in un luogo accessibile a più persone.

Eliminare i single point of failure umani. Per ogni processo critico, formare almeno una seconda persona. Non deve saper fare tutto: deve saper fare abbastanza in emergenza.

Creare un elenco di contatti di emergenza. Fornitore di IT, consulente legale, commercialista, assicurazioni, fornitori critici: numeri diretti (non solo il centralino), fuori dagli strumenti aziendali che potrebbero non funzionare.

Testare il backup. Come già discusso, il backup non testato non è un backup. Almeno una simulazione di ripristino all'anno.

---

Cosa non fare: il perfezionismo paralizzante

Il rischio principale dei progetti di business continuity è la paralisi da perfezionismo. Si inizia a costruire il piano perfetto, si moltiplicano i documenti, si pianificano esercitazioni elaborate, e nel frattempo i rischi reali rimangono non mitigati perché il piano non è ancora finito.

Un piano imperfetto che identifica i tre rischi principali e definisce tre azioni concrete per mitigarli vale molto più di un piano teoricamente completo che non viene mai completato o applicato.

Il piano di business continuity non è mai davvero finito: è un documento vivo che si aggiorna quando cambiano i processi, il team, o l'ambiente operativo.

---

Leggi anche:

• Backup e disaster recovery per PMI
• Cybersecurity per le PMI: guida pratica
• Outsourcing IT per PMI: quando ha senso e come non sbagliare fornitore