×
Notizia
image

di Alberto Mattia, MBCI, Membro del Board del BCI Italy Forum

È successo di nuovo. Hanno ucciso la business continuity. Ma a differenza dell’uomo ragno nel brano degli 883, io so chi è stato. È stato quel tipo di “una grande Impresa Pubblica” (cit.) che si è preso la briga di scrivere un bando di gara “per l’affidamento di un servizio di consulenza relativo al progetto di Disaster Recovery” (aricit.) verosimilmente sotto l’effetto di whiskey e margarita.

Quel tale – forse in una notte da lupi nel Bronx – nella scrittura del bando di gara si inventa che il Piano di Continuità Operativa possa far parte di un progetto di Disaster Recovery di pertinenza della funzione IT, quando invece è vero il contrario. Il Disaster Recovery è infatti solo una parte della business continuity, relativa in particolare ai processi informatici. La business continuity, con cui si intende “la capacità di un'organizzazione di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente” (Fonte: ISO 22300:2012 -- Societal Security -- Terminology), ha un campo di applicazione ben più ampio e che prevede riflessioni su persone, siti, risorse e fornitori dell'organizzazione. Non contento dell’aberrazione di cui sopra, il losco individuo al bancone del bar infierisce poi sul cadavere della business continuity pretendendo – tra le altre cose – quanto segue:

  1. Un capo progetto che sia a conoscenza delle più svariate metodologie di IT service management e di project management, ma che può anche non sapere niente di business continuity. Tanto il capo progetto serve solo per il bando di gara… poi chi lo vede più?
  2. Un esperto PMO & Quality che sia in possesso della certificazione Lead Auditor ISO 9001… perché, ironia della sorte, guai a scherzare sulla qualità!
  3. Un esperto BC/DR che sia in possesso della certificazione BS-25999 (ritirata circa 5 anni fa) oppure – e sottolineo oppure – ISO 22301:2012, che tanto è uguale. Come faccia poi un professionista a ottenere una certificazione aziendale su un sistema di gestione, non è dato sapere. Che intendesse, magari, la certificazione Lead Implementer o Lead Auditor ISO 22301? In ogni caso, di una certificazione di un ente professionale – tipo il Business Continuity Institute o il Disaster Recovery Institute, per citarne due con un nome tutto sommato intuitivo – neanche l’ombra.
  4. Un esperto Sicurezza che sia in possesso della certificazione Lead Auditor ISO 27001 e conosca le metodologie ISO 27005 e OWASP. Sincerarsi poi che sia al corrente dell’esistenza della ISO/IEC 27031:2011 – l’unico standard di riferimento per il disaster recovery nello specifico – sarebbe stato oggettivamente troppo.
  5. Un esperto Infrastrutture Tecnologiche che abbia almeno una certificazione in ambito ICT Management (es.: ITIL, COBIT). Nemmeno qui è riuscito a mettere un vago accenno a qualcosa che c’entrasse direttamente con la competenza professionale in business continuity o disaster recovery.

A ulteriore dimostrazione della ferocia del soggetto, si noti che il bando di gara – che verrà assegnato con il criterio di aggiudicazione dell’offerta economicamente più vantaggiosa – prevedeva una base d’asta di 65.000 euro, per una durata stimata di 6 mesi.
L’algebra, interpellata dal sottoscritto per dovere di cronaca, ci ha tenuto a rilasciare la seguente dichiarazione: “AHAHAHAHAHAH AHAHAHAHAHAH”.
Concludo dicendo:

  • Ai tanti amici che gentilmente hanno chiesto a PANTA RAY di partecipare a questa gara: grazie per la consueta fiducia, ma noi amiamo la business continuity.
  • Ai colleghi che decideranno eventualmente di partecipare a questo bando di gara: i miei migliori auguri… e che vinca il peggiore!
  • A chi ha scritto il bando di gara e più in generale alla “grande Impresa Pubblica” (cit.), sempre che mi leggano: fatevi una capatina su www.google.com (ne avrete sentito parlare) prima di scrivere ulteriori bestialità.
  • A chi legge: unitevi a me e più in generale a PANTA RAY e al BCI Italy Forum nella battaglia di civiltà contro il businesscontinuitycidio in Italia e nel mondo.


POST SCRIPTUM IMPORTANTE

Se l’assassino avesse agito da solo, potremmo anche pensare a un caso isolato. Un omicidio è sempre un evento drammatico, intendiamoci, però quando c’è la complicità delle Autorità diventa un fatto incomprensibile e insopportabile. Il complice in questo caso è l’AgID, che ha attentato alla business continuity così… senza alcun ritegno:

Che cos’è il Piano di emergenza (o Business Continuity Plan)? La domanda già è sbagliata… non sono sinonimi! Il piano di emergenza è un documento che guida un’amministrazione nella gestione dei rischi (proprio no) cui essa è soggetta, definendo ed elencando le azioni da intraprendere prima (assolutamente no), durante e dopo un’emergenza (non solo durante un’emergenza) per assicurare la continuità del servizio (continuità di servizio e continuità operativa non sono la stessa cosa). Il principale obiettivo di questo documento è massimizzare l’efficacia della risposta all’emergenza (ancora, non solo all’emergenza), pianificando e specificando tutti gli interventi necessari, assegnando le responsabilità e identificando i percorsi da seguire (definizioni: “chi” deve fare “che cosa”, e “quando”).

Fonte: http://www.agid.gov.it/faq/che-cose-il-piano-emergenza-o-business-continuity-plan

Un concentrato di imprecisioni ed errori che fa sembrare la formazione di Ventura al Bernabeu l’idea brillante di un commissario tecnico vincente.



Scarica allegato: Che vinca il peggiore - diciamo basta al businesscontinuitycidio


Maggiori dettagli




Attenzione: questo sito necessita dei cookie per erogare correttamente i suoi contenuti. Autorizzi l'utilizzo dei cookie?

Accetta i cookie - Maggiori informazioni