Un consulente, che conosco da tempo, mi ha riferito che un suo cliente, una media azienda operante nel settore dei servizi, gli ha mostrato il manuale delle procedure finalizzato alla gestione dei sistemi di protezione del sistema informativo. Il manuale, ad una attenta lettura, presentava delle incongruenze; infatti, un paio di uffici erano inesistenti e l’azienda veniva menzionata una volta come SpA ed un’altra come Srl. Il nome di un incaricato era errato.
L’impressione che ne aveva tratto il consulente era che l’azienda avesse acquistato la procedura così come era stata ideata ed adottata da un’altra organizzazione, salvo poi modificarla (e nemmeno tanto bene) per la propria realtà. La conferma che la procedura esisteva solo su carta, l’ha avuta quando ha fatto delle domande ad alcuni dirigenti ed operatori: ignoranza totale.
E’ mai possibile che, ancora oggi, a fronte di gravi incidenti che possono mettere fuori mercato una impresa, ci siano aziende che si ritengano soddisfatte scopiazzando un manuale di procedure? Senz’altro avranno risparmiato, ma a quale possibile prezzo? In caso di un “incident”, quando si accorgeranno dell’esistenza e della gravità? Come reagiranno sul momento? Quale comunicazione sarà percepita dal cliente? Quali informazioni gli verranno date, e quando? Qualora vi sia una violazione di legge, come reagiranno gli azionisti?
Sono allibito!
Il sopradetto consulente ha anche illustrato al vertice aziendale le recenti indicazioni del «ENISA Threat Landscape 2017», che segnala un aumento nel furto di dati, perdita di informazioni “chiave”, e nei furti di identità: ciò con relative gravi conseguenze, che qui ovviamente non sto a riassumere. Ha inoltre accennato come le aziende stanno affrontando la business continuity ed il crisis management; ha quindi scoperto che nessuno in azienda sapeva esattamente in cosa consistesse la continuità operativa, i legami con la cyber security, la visione olistica dei rischi, e, in generale, la sua importanza per la resilienza di una organizzazione; non solo, ma la percezione in quella azienda era che l’adozione di un processo di gestione della continuità, con le conseguenti procedure, politiche e regole, avrebbe ingessato l’organizzazione.
Se quanto riportato accade in una media impresa, cosa dobbiamo attenderci da una piccola? Mi ha quindi invitato ad usare gli opportuni canali per diffonderne la conoscenza.
Anche se il miglior consiglio è suggerire ad uno o più manager di iscriversi ad un corso, cerco comunque di soddisfare la sua richiesta riportando qui di seguito alcuni brevi cenni; per quanto riguarda il cosiddetto “ingessamento” della organizzazione ne parlerò in un’altra occasione, perché credo che in molte realtà ci sia confusione fra azienda “stabile” ed azienda “dinamica” o “agile”, e quali debbano essere i punti di forza.
Qui di seguito accenno a cosa non è la continuità operativa, e poi ad una sua definizione, che non mi dispiace.
Alcuni specialisti così hanno scritto a proposito di cosa non è la gestione della continuità operativa (BCM – Business Continuity Management):
- il BCM non riguarda esclusivamente la risposta ad un evento; è anche il costruire la resilienza per rafforzare una organizzazione.
- La BCM non è soltanto combattere contro gli incendi; è capire cosa potrebbe essere a rischio e sviluppare strategie se le cose dovessero andare male.
- La BCM non è soltanto avere dei piani molto elaborati per riprendere il business; si tratta di avere piani adatti alla natura del business.
- La BCM non è una appendice del business, e per essere efficace deve essere inglobata nel processo gestionale come parte del risk management, e a sua volta, come parte di una buona gestione del business.
(Liberamente tradotto da: A risk management approach to business continuity – Julia Graham, David Kaye – Philip Jan Rothstein Editor – 2006 – pag.10).
Una definizione:
«Per Business Continuity (o Continuità Operativa) si intende la capacità di un’organizzazione di continuare a erogare prodotti o servizi a livelli predefiniti accettabili a seguito di un incidente.
Si tratta di una disciplina di gestione che consente all’organizzazione – privata o pubblica che sia – di diventare più resiliente agli incidenti che potrebbero causarne l’interruzione delle attività o addirittura minacciarne l’esistenza. Come tale, la business continuity è una delle discipline chiave della resilienza organizzativa e contribuisce quindi a un significativo miglioramento delle performance dell’organizzazione. La continuità operativa, infatti, fornisce in modo univoco il quadro di riferimento per comprendere come il valore viene creato e mantenuto all’interno di un’organizzazione e stabilisce una relazione diretta con le dipendenze o le vulnerabilità inerenti alla distribuzione di tale valore.». (fonte: https:// it.wikipedia.org/wiki/Business_continuity )