News
27.5.2019
Tutte le attività imprenditoriali, industriali o di servizi, piccole o grandi che siano, hanno una vulnerabilità in comune: il fermo operativo dovuto ad eventi eccezionalmente gravi. Ad esempio, eventi naturali quali sismi o alluvioni, ma anche eventi quali incendi o allagamenti che devastano i luoghi di lavoro o che, comunque, ne impediscono il loro regolare utilizzo. Stessi effetti possono derivare da origini antropiche, quali i sabotaggi o i meri errori umani. In genere, per tutelarci dai danni arrecati da un evento negativo straordinario, pensiamo ad una copertura assicurativa, ma tale soluzione risolve solo uno degli aspetti: copre da eventuali perdite economiche dirette; ma lascia insoluti tutti gli altri aspetti che in realtà sono quelli che possono determinare l’esistenza stessa dell’azienda. Uno stop dell’attività aziendale spesso non è solo un danno di mancato fatturato e di perdita di quote di mercato non recuperabili, ma spesso porta con sé l’impossibilità di garantire vincoli contrattuali o legali a cui si è soggetti e il pagamento di penali; si pensi ad esempio ai problemi che ne derivano per chi è parte di una complessa catena di fornitura (c.d. Supply chain).
Un fermo ha come effetto collaterale di provocare un crollo dell’immagine aziendale e una reputazione negativa sul mercato e nel mondo creditizio, in quanto si viene percepiti come sprovveduti e poco affidabili. La Business Continuity è una disciplina relativamente nuova di gestione del rischio di impresa, orientata a garantirne l’operatività anche in caso di eventi eccezionalmente critici che colpiscono direttamente o indirettamente l’organizzazione. Non esistono modalità univoche per gestire tali eventi in quanto ogni azienda è diversa dall’altra, ma esistono buone pratiche consolidate e riconosciute a livello internazionale di approccio al problema. La Business Continuity è una diretta evoluzione dello storico approccio di Disaster Recovery nato nel mondo IT e vengono spesso confusi. In entrambi i casi si ipotizza l’insorgenza di un evento “aziendalmente catastrofico”, ma si opera con due approcci diversi: il Disaster Recovery ipotizza che l’attività si possa fermare; di conseguenza, ci si organizza predisponendo un piano e le infrastrutture utili a ripartire in modo ordinato e in tempi prestabiliti. In questo caso il fermo produttivo c’è ed è stimato a priori. Con la Business Continuity si opera per impedire il fermo dell’attività per tempi lunghi, predisponendo i processi aziendali e le risorse tecniche, tecnologiche ed umane, affinché si possa garantire, istantaneamente o in brevissimo tempo, l’erogazione delle attività critiche ad un livello accettabile.Due sono i concetti cardine sottolineati:
Rispondere a questi quesiti è la base per determinare qual è il “perimetro critico” per l’azienda. Molti imprenditori e dirigenti aziendali sono convinti di avere già questa risposta, e potrebbe essere vero. Ma rischiare il futuro della propria azienda in base alle proprie percezioni è poco saggio. Un approccio strutturato di individuazione di tale perimetro permette di selezionare tutti i processi e le attività realmente critici e non quelli “percepiti” critici. Processi importanti e di prestigio non necessariamente sono critici al mantenimento dell’operatività aziendale, mentre altri di mero supporto possono rivelarsi fondamentali.Perché individuare e concentrarsi solo sui processi critici e non mettere in Continuità Operativa l’intera azienda? La risposta è semplice, perché è costoso e poco pratico strutturare e gestire tutta l’organizzazione per operare in continuità in caso di eventi critici. Sarebbe solo uno spreco di denaro e presumibilmente, data la complessità di gestione, non si raggiungerebbe il vero obiettivo. A eventi eccezionali, risposte non ordinarie, ma efficaci e senza sprechi di risorse.Il passo successivo è quello di organizzare in tempo di pace i processi critici, le attività e le infrastrutture di supporto per gestire eventuali crisi e mantenere comunque, a fronte dell’incidente, quel livello minimo di servizio precedentemente determinato come fondamentale. Questa attività ha il suo culmine nella predisposizione del Piano di Continuità Operativa da utilizzare durante l’emergenza.Benché si speri di non dover mai attivare un Piano di Continuità Operativa è indispensabile disporne, al fine di garantire l’adeguata attuazione delle misure di contenimento dell’evento critico e di ripresa delle attività operative; in quanto l’improvvisazione è spesso foriera di errori catastrofici che peggiorano la situazione e distruggono la reputazione aziendale. Quindi, la Continuità Operativa è un “progetto” e una volta completati i diversi task si è a posto? Non proprio! Sicuramente la predisposizione di un Piano di Continuità Operativa può essere gestita come un progetto, ma il garantire la sua efficacia e idoneità nel tempo è un “processo”, rientrante nell’alveo dei processi di gestione dei rischi. È un processo vivo, come lo è la stessa azienda in cui è inserito.Come tutelarsi? Anche questo dipende dalle circostanze: a volte basta organizzare un piano di contingenza, a volte basta assicurarsi, a volte serve adeguare la tecnologia. Ogni organizzazione è diversa, il proprio business è particolare e, quindi, solo un’attenta valutazione del contesto e degli obiettivi aziendali permette di definire il proprio piano di continuità operativa.
Le aziende manifatturiere, o le aziende operanti nel mercato finanziario? chi eroga servizi diretti sul consumatore finale o a chi è parte di una supply chain? In realtà tutti noi già operiamo anche non consapevolmente in continuità operativa. Infatti, dotarsi di una assicurazione medica, un paio di chiavi di scorta, le torce con le batterie in casa per sopperire a dei black-out, sono tutte misure che cercano di risolvere eventuali problemi operativi permettendoci di proseguire più o meno efficacemente con le nostre attività.In definitiva chi ha bisogno quindi di continuità operativa? Ogni organizzazione che ha delle attività la cui interruzione prolungata provoca danni (economici, legali, contrattuali, di immagine) difficilmente tollerabili per la sopravvivenza stessa dell’organizzazione. Il tempo è il fattore determinante; se ci si può permettere di fermarsi, allora non c’è necessità; se invece c’è una diretta relazione tra tempo di fermo e impatti sull’organizzazione, allora ci si deve adeguatamente tutelare.Quale approccio è consigliabile ad un’azienda che voglia capire in che modo affrontare e gestire la continuità delle proprie attività anche in presenza di eventi critici? Da un consulente sembra banale sentirsi dire di rivolgersi a degli specialisti.
Tuttavia questa è la via migliore, in quanto, come per tutte le attività connesse alla gestione dei rischi, se non si disporre di una struttura dedicata a queste tematiche, risulta molto dispendioso e spesso non così efficace, pensare di poter affrontare una tematica così complessa totalmente al proprio interno. Security Lab Advisory Sagl è un centro di competenza in Ticino in materia di Continuità Operativa e Cybersecurity Governance, che opera dalla propria sede di Lugano e a stretto contatto con i propri clienti. Siamo sempre a disposizione per un incontro preliminare di approfondimento senza alcun impegno. Sul nostro sito (www.sec-lab.com) ci sono i riferimenti per il contatto telefonico e un form da compilare per la richiesta di un incontro.
