Sicurezza informatica e pianificazione della continuità operativa. Nessun piano di business continuity può funzionare senza coinvolgere l’IT security e viceversa. Tutti i vantaggi di un piano integrato di business continuity, cyber resilience e gestione del rischio

La sicurezza sanitaria è la strada intrapresa dal Ministero del Turismo delle Maldive per tornare a crescere. Una scelta obbligata per l’atollo, passato da circa 1,7 milioni di turisti l’anno ai 550mila del terribile 2020. Più di due terzi di turisti bruciati dalla pandemia. Un risultato migliore di tante altre famose destinazioni esotiche che hanno totalizzato cifre vicino allo zero. Le Maldive approfittando della fase attuale di vaccinazione di massa e del via libera ai viaggi all’estero da parte di alcuni paesi, puntano a rimanere uno dei paradisi per antonomasia ancora per molti. O almeno per tutti coloro che vaccinati nel proprio paese potranno dimostrare la non positività al virus sbarcando in uno dei tre aeroporti internazionali delle Maldive. Dove al momento, i protocolli sanitari impongono la compilazione di un modulo di autodichiarazione sanitaria, la prova di un test negativo (PCR) effettuato non più tardi di 96 ore prima dell’imbarco, misurazione della temperatura e tampone di prammatica. Non solo. Cambia anche il tipo strategia di business. Le Maldive continueranno a essere promosse come una destinazione di lusso. Accessibile però anche a un pubblico più ampio, facendo leva sulla fortunata conformazione geografica dell’arcipelago che costituito da una miriade di isole e atolli, favorisce il distanziamento imposto dal virus. Così il Ministero del Turismo prevede di attrarre 1,5 milioni di turisti nel 2021 – gli arrivi nei primi due mesi dell’anno hanno già sfondato le 180mila presenze –  accolti da 359 guesthouse e 147 resort distribuiti in 35 atolli e 199 isole scelte per rilanciare la meta esotica.

Accanto a chi prevede di tornare a crescere c’è chi invece cresce sul serio. Per Fineco, la banca multicanale specializzata nella raccolta e gestione dei risparmi, servizi di banking, trading e investimento, il 2020 è stato un anno ricco di soddisfazioni. Unico operatore del settore a superare il picco prepandemico, Fineco ha beneficiato di una crescita a Piazza Affari ininterrotta che l’ha portata negli ultimi cinque anni a un aumento di valore delle azioni vicino al 120%, cresciute di oltre il 50% dal marzo dello scorso anno, contro una crescita media del 5% delle banche rivali più importanti. Un successo consolidatosi negli anni, grazie al grande lavoro di squadra, alla capacità di far fronte all’emergenza sanitaria e all’efficace piano di continuità aziendale. «Fineco nasce come broker online, ha quindi sempre avuto l’esigenza di assicurare la continuità operativa per garantire l’accesso ai mercati finanziari» – ci dice Fabio Milanesi, vicedirettore generale e responsabile IT, Operations, Customer Care di Fineco Bank. «La banca ha fatto della continuità un elemento complementare e funzionale al proprio modello di business, realizzando una struttura organizzativa in linea con le peculiarità tecniche e di processo della macchina operativa, anche nel rispetto delle previsioni regolamentari in materia». Anche a fronte dell’emergenza pandemica, Fineco ha dimostrato la capacità di adeguare comportamenti e scelte a schemi di resilienza efficaci. «Quanto posto in essere durante l’emergenza ha confermato l’efficienza del modello organizzativo in materia di business continuity, grazie alla flessibilità e alla rapidità di gestione, al fine di migliorare ulteriormente i servizi offerti ai clienti, permettendoci di garantire la sostenibilità del business nel medio-lungo termine». Il caso delle Maldive e quello di Fineco sono business molto diversi, lontani non solo geograficamente.  Accomunati però dallo sforzo di adattare il proprio modello di business alle mutate condizioni ambientali.

CAPACITÀ DI PREVISIONE

Da una parte ci sono aziende che correggono il proprio modello di business, dall’altra quelle che invece lo adattano, preservandolo dalle “intemperie” di questi mesi. Un’operazione che non tutte le aziende hanno avuto la forza e la capacità di portare a termine. «Prima degli eventi drammatici del 2020, la sicurezza informatica rappresentava una delle priorità per le aziende italiane» – ci dice Diego Pandolfi, research manager di IDC Italia (idcitalia.com). «Circa una realtà su due, soprattutto tra le medie e grandi aziende, disponeva di una strategia ben definita in ambito cyber security ed era consapevole di dover colmare alcune lacune. L’implementazione di un piano di continuità operativa, la necessità di aumentare la sicurezza delle infrastrutture e di modernizzare e ottimizzare la gestione delle soluzioni di sicurezza spiccavano tra le principali aree da migliorare. Mentre solo un’azienda su tre, stava implementando un piano di continuità operativa e disaster recovery». Una situazione peraltro non molto diversa da quella di molti altri paesi.

Leggi anche:  Trend Micro presenta la nuova soluzione per la sicurezza delle applicazioni cloud-based

Secondo il Rapporto Mercer, a livello globale prima della pandemia, il 51% delle organizzazioni non disponeva di una strategia di business continuity. Di certo, non hanno funzionato quelli delle aziende texane fornitrici di energia, messe in ginocchio lo scorso febbraio da un’ondata di freddo, che ha lasciato milioni di persone in tutto lo stato senza elettricità e riscaldamento. Dallas, Hoston, Austin, San Antonio, Fort Worth, El Paso, grandi e piccoli centri urbani, uno dopo l’altro, hanno spento le luci per risparmiare elettricità. Inutilmente. Il freddo e le intossicazioni da monossido di carbonio emesso delle auto in cui tanti si erano rifugiati hanno provocato decine di vittime. A nulla è valso il tentativo dei fornitori di scaglionare gli accessi alla rete per evitare che il sistema collassasse. I blackout sono andati avanti per giorni, provocando miliardi di dollari di danni. Tutto questo in uno stato notoriamente ricco di risorse energetiche. Nessuno è stato in grado di garantire una fornitura di energia affidabile. Non gli impianti che forniscono gas naturale – la metà dell’energia consumata in Texas – né la catena di distribuzione e i gasdotti che anzi hanno smesso di funzionare. Neppure ERCOT, l’ente che gestisce la rete elettrica, già andata in grave sofferenza la scorsa estate. Tuttavia il Texas è l’unico stato continentale ad avere una propria rete elettrica, indipendente da quella federale. Una sciagura in questo frangente visto che, nel caso di necessità causata dalla carenza di energia, non ha potuto importare elettricità da altri stati e non ha potuto contare su un sistema che gli garantisse una riserva di potenza energetica in grado di compensare gli aumenti della domanda.

Le aziende fornitrici al dettaglio di energia, un settore molto frammentato e concorrenziale, di fronte all’eventualità di bruschi cali di temperatura, rari a queste latitudini, hanno preferito non investire per rafforzare le infrastrutture in vista dell’inverno per mantenersi competitive e non dover aumentare il costo delle bollette. Queste sono alcune delle ragioni di un fallimento di proporzioni bibliche. A cui si aggiunge il deserto rappresentato dal quadro giuridico innescato dalla deregulation selvaggia del mercato energetico iniziata alla fine degli anni 80, perseguita con pervicacia dalla politica locale. Un terreno sul quale si è abbattuta tutta l’incapacità di prepararsi a eventi climatici estremi, un tempo considerati insoliti ma oggi sempre più frequenti.

CAPACITÀ DI REAZIONE

Quanto accaduto in Texas ci insegna che senza investimenti adeguati nelle reti elettriche altri blackout si verificheranno in futuro. I nuovi rischi, pandemici, cyber, compliance e così via, esigono una maggior consapevolezza delle proprie vulnerabilità e una capacità di reazione immediata all’evento e di gestione. In questo senso, la pandemia è stato un banco di prova importante per misurare la corrispondenza tra capacità di resilienza stimata ed effettiva dei piani di business continuity esistenti. «Corrispondenza che – nonostante qualche caso virtuoso, soprattutto in paesi anglosassoni o asiatici che avevano in passato già sperimentato i piani pandemici della SARS – non c’è stata» – afferma Federica Maria Rita Livelli, membro di CLUSIT ed esperta di business continuity e risk management. «Anche chi aveva un piano per la continuità operativa, non sempre l’aveva aggiornato ed esercitato nel tempo. Tuttavia, è doveroso sottolineare che le organizzazioni dotate di piani esercitati, mantenuti e aggiornati nel tempo, hanno reagito in modo più reattivo e proattivo, anche in assenza di un piano pandemico specifico». Molta dell’efficacia di un piano risiede nella sua capacità di essere un documento vivo, applicabile, esercitato. Un piano di business continuity, così come codificato dalla ISO 22301, deve contenere tutte le informazioni utili all’organizzazione per riprendere la propria operatività in seguito a un evento dirompente in conformità ai propri obiettivi di continuità aziendale.

«I piani, di pronta lettura, devono soprattutto essere pratici in quanto devono servire in situazioni di emergenza» – afferma Livelli. Così come la redazione non può essere svolta soltanto una volta nella vita dell’azienda e poi abbandonata in qualche cassetto, “perché tanto ora non serve”. Nel tempo, le mutate condizioni socio-economiche e l’evoluzione dell’azienda cambiano le necessità aziendali. Per questo, è consigliabile condurre revisioni periodiche del piano per aggiornare procedure di emergenza, ruoli, compiti, contatti dello staff coinvolto, in linea con l’evoluzione del business. Inoltre, le riflessioni che ispirano la stesura del documento devono (o dovrebbero) essere indipendenti da un’ipotesi di scenario. Interruzione o discontinuità possono avvenire per le ragioni più disparate – pandemia, catastrofe naturale o attacco informatico – e il piano deve soddisfarle tutte.

Leggi anche:  Un italiano su tre usa il dispositivo privato per accedere ai dati aziendali

Come prevede lo standard internazionale di riferimento (BS 11200:2014 – Crisis Management), il responsabile deve essere pronto a prendere decisioni velocemente per mitigare i danni e ripartire a prescindere dalla causa. Per farlo, occorre prevedere una serie di piani di continuità operativa specialistici, di comunicazione per il richiamo dei prodotti o la perdita di dati (data breach, ransomware e data disclosure), di gestione di eventi avversi come la pandemia. In tutti i casi, i piani devono essere redatti in collaborazione con esperti del settore e calati, a seconda del tipo di attività che svolge l’azienda, nelle specifiche esigenze di continuità operativa. «Occorre garantire – spiega Livelli di CLUSIT – che i piani di risk management, di business continuity, di disaster recovery e cyber security, una volta implementati, siano esercitati annualmente, debitamente aggiornati ed esercitati ogni qualvolta vengono introdotti nuovi dispositivi o patch». Inoltre, vanno promosse cultura e conoscenza all’interno dell’organizzazione. «L’efficacia di un piano si riflette in una serie di aspetti strategici per rispondere in modo chiaro ed esaustivo alle domande: chi, cosa, dove, come e quando. Bisogna fornire ruoli e attività alle persone coinvolte sia che si tratti dei titolari dei processi critici sia per chi non è al centro di alcuna strategia. Il piano deve essere elaborato coinvolgendo tutta l’unità organizzativa». Uno dei limiti delle strategie e dei piani di crisi esistenti messi in luce dall’emergenza sanitaria è stata la necessità d’integrare di più e meglio i team di business continuity e di sicurezza informatica – conferma Livelli. Un’integrazione molto spesso evocata e data sempre per ineludibile. Nella maggioranza dei casi però senza spiegare cosa significhi in concreto. «La norma ISO 22301:2019 è di supporto alla norma ISO 27001:2017 (sistema di gestione della sicurezza delle informazioni) che richiede che i servizi e i processi relativi alla sicurezza informatica siano posti in continuità».

LA CORSA ALLA CYBER RESILIENZA

Mentre la stretta connessione tra business, operatività e sicurezza informatica si fa sempre più evidente, le aziende più lungimiranti irrobustiscono i loro investimenti in resilienza a tutti i livelli, collaborando con terze parti per creare un ecosistema più flessibile e sicuro. «I programmi di sicurezza delle aziende europee, a distanza di un anno dai primi lockdown e dalla migrazione massiva dei lavoratori verso le proprie abitazioni, si stanno focalizzando sulla cyber-resilienza, ossia sulla capacità di anticipare, resistere e riprendersi da eventi avversi e inattesi» – conferma Diego Pandolfi di IDC Italia. La crescente dipendenza del business da sistemi tecnologici complessi ha spinto le aziende – anche in risposta alla crisi – ad accelerare l’adozione di soluzioni cloud e di smart working e collaboration, abilitando il lavoro da casa e la continuità del business. Tutte attività che necessitano però di essere ottimizzate e integrate all’interno di strategie di medio-lungo periodo. Secondo i dati IDC, il 46% delle aziende italiane dichiara investimenti in crescita nell’ambito delle tecnologie di sicurezza per il 2021, rispetto al budget pianificato nel 2020. Investimenti, per il 36% delle aziende, approvati per rispondere alle esigenze dei nuovi processi e modelli operativi. Dati che confermano il maggior livello di attenzione verso la cyber sicurezza, attraverso l’adozione di nuovi modelli (per esempio, Zero Trust) e tecnologie in grado di assicurare una migliore continuità operativa e di disaster recovery. «Il cloud – spiega Pandolfi – sarà al centro delle nuove strategie di continuità del business. Utilizzato in Europa, già dal 78% delle imprese come parte della strategia di data protection, il cloud registra una forte crescita anche nelle aree backup, conservazione e disaster recovery».

Per riprendersi dall’emergenza pandemica saranno necessari mesi, forse anni. Sempre di più le aziende saranno portate ad adeguare comportamenti e scelte a schemi di resilienza. Le aziende sono consapevoli che la “scossa” subita nel 2020 ha permesso di accelerare alcuni progetti di digitalizzazione e di innovazione che avrebbero impiegato anni per raggiungere i livelli attuali. «Ora – prosegue Pandolfi – si rende necessario omogeneizzare e ottimizzare le attività intraprese in emergenza e integrarle in strategie IT e di business di medio-lungo periodo». La resilienza digitale – ossia la capacità di reagire immediatamente alle interruzioni del business sfruttando le tecnologie digitali non solo per ripristinare le operation ma anche per capitalizzare i cambiamenti – sarà secondo IDC la priorità delle aziende per i prossimi mesi.

Leggi anche:  Dieci suggerimenti per proteggersi dagli attacchi DDoS

La capacità dell’azienda di adeguare comportamenti e scelte a schemi di resilienza che consentano la sostenibilità per il proprio business nel medio-lungo periodo si avvia a diventare il vero spartiacque tra il prima e il dopo pandemia. «Siamo in un momento storico unico» – afferma Federica Maria Rita Livelli di CLUSIT. «La pandemia ha evidenziato l’importanza per le organizzazioni di dimostrare la propria resilienza organizzativa e “trasformativa” per far fronte a uno scenario imprevedibile e complesso nel quale è necessario porre le basi per uno sviluppo sostenibile. L’attuazione degli obiettivi dell’Agenda 2030 dell’ONU ci portano a considerare la lotta alle diseguaglianze, la gestione del climate change, dell’inquinamento come parti integranti del piano di gestione dei rischi. Non affrontarle – preconizza Livelli –  graverà pesantemente sulla continuità operativa delle organizzazioni».  

MODELLI DI BUSINESS ANTIFRAGILI

L’antifragilità, la capacità cioè di reinventare il proprio modello di business di fronte a eventi imprevedibili, rappresenta la nuova frontiera per aziende e organizzazioni. Quella che stiamo affrontando non è più una semplice emergenza. Gli effetti della pandemia sono e saranno profondi e duraturi. Per esempio, nel settore industriale e manifatturiero, a risentirne è stata soprattutto la catena di fornitura e, in particolare, la logistica e la capacità di approvvigionamento. «Il Covid-19 ci ha reso consapevoli di come una pandemia globale possa mettere a dura prova anche la supply chain» – conferma Federica Maria Rita Livelli di CLUSIT. «Il rallentamento di un sistema economico si trasmette con un effetto domino ai sistemi connessi, aggiungendosi al rallentamento locale». Effetti di cui abbiamo avuto una piccola anticipazione con il recente incidente nel canale di Suez. «Occorre iniziare a implementare in modo più diffuso i principi di risk management e business continuity per essere più resilienti e salvaguardare gli obiettivi dell’organizzazione» – auspica Livelli.

La pandemia ci ha posto dinanzi all’esigenza di essere quanto mai resilienti, considerando anche interventi radicali per offrire nuove opportunità, rimuovere ostacoli. «Sono necessari cambi di paradigma che implicano da parte delle organizzazioni una maggiore consapevolezza della necessità di avviare un nuovo ciclo di sviluppo più sostenibile sul piano sociale e ambientale, oltre che economico. Non più organizzazioni concentrate sul solo profitto, bensì ora più che mai, capaci di riprogrammare le proprie policy, ripianificare i propri obiettivi, oltre che rivalutare le proprie priorità. Le organizzazioni devono essere sempre più consapevoli e in grado di gestire i rischi ricadenti nell’area e nelle politiche di Environmental, Social and Governance (ESGs)» – sintetizza Livelli.

I segnali positivi non mancano. Nello scenario convulso degli ultimi mesi, a fronte delle “lessons learned” scaturite dalla pandemia, si registra un trend di crescita degli investimenti in business continuity rispetto al recente passato. Molte realtà, come conferma il BCI Horizon Report 2020, si dichiarano pronte a implementarne i principi e a certificarsi (ISO 22301). «Un parametro – osserva Livelli di CLUSIT – sempre più richiesto per essere conformi alle normative e soprattutto dopo l’avvento dell’Industria 4.0 anche per partecipare a gare pubbliche e private, come dimostrazione della capacità di garantire la continuità nella fornitura di prodotti e servizi, e nella logistica a fronte di incidenti ed eventi avversi. Tuttavia – prosegue Livelli – nonostante i segnali positivi, è quanto mai urgente accrescere la consapevolezza dell’importanza della business continuity in modo da condividere metodologie, esperienze e best practice sempre più anche in Italia». Strutturarsi con un sistema di gestione dei rischi che comprenda un piano integrato per la continuità operativa non rappresenta di per sé una garanzia di sopravvivenza dell’azienda. La pandemia ha amplificato i limiti delle strategie e dei piani di crisi, redatti in contesti di mercato in molti casi diversi da quelli attuali. Tuttavia, non c’è piano in grado di garantire la continuità operativa, se proprio il modello di business è del tutto inadeguato a rispondere e adattarsi a una serie di cambiamenti come quelli scatenati dalla pandemia. Costruire un modello di business resiliente, “antifragile” – secondo il principio descritto da Nassim Nicholas Taleb nel suo libro Antifragile, prosperare nel disordine (2012, il Saggiatore) – si profila come la nuova sfida che aziende e organizzazioni dovranno affrontare.