News
13.6.2019
Il fermo operativo di un’impresa può verificarsi a seguito di eventi diversi: catastrofi naturali, blocco dei sistemi informatici dovuto a malfunzionamenti tecnici o ad attacchi hacker, interruzione dell’alimentazione elettrica, incendi ed altri. Com’è facilmente intuibile sono stati gli eventi “disastrosi” la causa più frequente del fermo operativo, se non addirittura della chiusura definitiva dell’impresa, ma talvolta sono bastati eventi non devastanti in termini fisici, come la perdita di dati.È capitato più volte che per cause molto diverse il fermo abbia causato danni estremamente significativi per l’impresa, come perdite di fatturato, di quote di mercato o pagamento di elevate penali contrattuali. È quindi fondamentale per l’impresa imparare a proteggersi dalle diverse tipologie di eventi che potrebbero colpirla e predisporre le soluzioni che le consentano, a fronte degli incidenti, di riprendere l’operatività in tempi brevi.
I processi operativi di un’impresa possono fermarsi a seguito di eventi che ne rendano indisponibili, in toto o in parte, le risorse indispensabili per poterli svolgere: umane, materiali e immateriali. Oltre alle tecnologie informatiche, stabilimenti, uffici, impianti, personale, forniture eccetera.Per scongiurare il fermo operativo prolungato è necessario garantire, a fronte di un incidente, la disponibilità delle risorse utilizzate nei processi, almeno ad un livello minimo. Oltre a implementare le misure di sicurezza e contrasto alle minacce che consentono di ridurre il rischio di eventi disastrosi, prima che l’incidente si verifichi bisogna approvvigionarsi di risorse sostitutive e predisporre soluzioni alternative, nonché piani di reazione all’evento, che consentano di riprendere l’operatività nel più breve tempo possibile. Si parla di “Business Continuity” per riferirsi proprio alla predisposizione di tali risorse e piani.Ci sono però dei casi in cui la ripresa dell’operatività in tempi brevi è impossibile; si pensi, ad esempio, agli eventi catastrofici che possono distruggere completamente stabilimenti, impianti, tecnologie. Per questi casi, oltre a ricorrere preventivamente a coperture assicurative che scongiurino le perdite economiche per i danni causati dall’evento e che garantiscano la copertura finanziaria dei costi di riparazione, l’unica soluzione è predisporre soluzioni, piani ed eventualmente accordi con terze parti per trasferire la produzione in altro sito, in tempi che possono essere lunghi, ma accettabili dal mercato. In questi casi si parla di “Disaster Recovery”, ossia di ripristino dopo il disastro, ma con tempi più lunghi e con l’ineluttabile fermo operativo.
Business Continuity Plan (BCP) è indispensabile per gestire il rischio operativo aziendale. I clienti, soprattutto le grandi aziende e i gruppi internazionali lungo le catene di fornitura, ma anche gli enti della pubblica amministrazione, richiedono sempre più spesso ai loro fornitori di gestire la business continuity e dotarsi di un BCP; richiedono attestati e certificazioni che possano maggiormente garantirli rispetto alla “resilienza” del fornitore, alla capacità di erogazione dei prodotti/servizi anche a fronte di incidenti catastrofici.L’azienda deve definire e attivare un processo ciclico di Business Continuity Management (BCM), che si fonda sulla gestione del rischio e sull’assegnazione di specifici ruoli, compiti e responsabilità.All’inizio dev’essere attivato un progetto, per realizzare il modello di governance e svolgere per la prima volta le fasi del processo BCM. Le fasi principali prevedono: l’individuazione delle attività “mission critical”; la valutazione dei rischi e l’identificazione delle misure di contrasto alle minacce e di supporto alla gestione dell’emergenza; la definizione del piano di gestione dell’emergenza e di ripresa dell’operatività; la formazione del personale coinvolto e l’esercitazione del piano.Completato il progetto iniziale, il processo BCM si ripete ciclicamente, con l’obiettivo primario di ridurre il livello di rischio e aggiornare tempestivamente il BCP, rendendolo sempre più efficace e sempre più interiorizzato dalle persone coinvolte. Il coinvolgimento, la formazione e la responsabilizzazione delle persone sono fattori determinanti per il successo, quando è necessario gestire situazioni altamente critiche.
Il progetto di predisposizione del BCP è abbastanza complesso e richiede competenze specialistiche che quasi mai sono presenti nelle aziende. Il tempo necessario non è brevissimo e chiaramente dipende dalla dimensione del contesto e dalla sua complessità. Posso stimare, facendo riferimento ai progetti seguiti da Security Lab, che per aziende di medie dimensioni e complessità sia necessario un periodo progettuale di circa 6-7 mesi.Il BCP è il prodotto di un insieme di attività del processo BCM. Sono solito dire ai miei clienti, concedendomi un’approssimazione metodologica, che l’insieme del BCM e del BCP costituisce il Business Continuity Management System. Lo standard ISO 22301:2012 è il riferimento per ottenere la certificazione internazionale del BCMS e sempre più aziende lo stanno adottando, non soltanto quando è richiesto dai loro clienti, ma anche per migliorare la gestione del rischio e ottenere un vantaggio competitivo.CONTATTACI PER MAGGIORI INFORMAZIONIArticolo di Security Lab Group presente su Ticino Management – Giugno 2019