Business continuity e Covid-19: risorse operative anche per le PMI - Cyber Security 360

L'APPROFONDIMENTO

Business continuity e Covid-19: risorse operative anche per le PMI

La pandemia ha portato a riconsiderare le soluzioni di continuità operativa messe in atto dalle aziende: ecco una serie di risorse che le PMI in particolare possono utilizzare per implementare concretamente e con relativa semplicità soluzioni di business continuity personalizzate

04 Mar 2021
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Nel rapporto emesso dall’ International Labour Organization 2020 e relativo al secondo quadrimestre del 2020, A global survey of enterprises: Managing the business disruptions of COVID-19, fra i dati riportati vi è anche la percentuale di organizzazioni che disponevano, a livello mondiale, di un piano di continuità operativa.

Da tali dati emerge che la maggior parte delle organizzazioni (con un margine molto limitato a dire il vero), il 53% per la precisione, non disponeva di tale piano.

Come prevedibile, tale percentuale varia molto in funzione delle dimensioni delle organizzazioni e si va da un 75% di presenza del piano nelle grandi organizzazioni per scendere al 33% in quelle di dimensioni più contenute.

Si tratta di un dato comunque molto confortante e, a dire il vero per me, inatteso.

Business continuity e Covid-19: gli scenari

In base a tali informazioni possiamo ipotizzare tre possibili scenari:

  1. organizzazioni che non disponevano di piani di business continuity;
  2. organizzazioni che disponevano di piani di business continuity che comprendevano la pandemia come scenario di rischio e quindi sono state in grado di gestire gli eventi;
  3. organizzazioni che disponevano di piani di business continuity che non comprendevano la pandemia come scenario di rischio, ma disponevano comunque di una cultura e di un’organizzazione già preparate per affrontare gli eventi.

In particolare, la quasi totalità delle organizzazioni che disponevano di un piano di business continuity non prevedevano fra i loro scenari quello pandemico.

Questo è abbastanza comprensibile; nonostante negli ultimi anni abbiamo assistito a diverse situazioni di questo tipo, si tratta in ogni caso di un fenomeno difficile da prevedere e gestire.

Il settore bancario

Nemmeno la normativa che disciplina la continuità operativa nei settori più regolamentati, come quello bancario, prendeva in considerazione tale scenario fra quelli da considerare nei propri piani.

Infatti, la Circolare 285 che in Italia regola la materia, obbliga le banche a considerare tale scenario solo nell’ Allegato A – Requisiti per la continuità operativa, per intenderci quello che si applica ad un numero limitatissimo di istituti:

2.3 Scenari di rischio

Gli scenari di rischio rilevanti per la continuità operativa dei processi a rilevanza sistemica sono documentati e costantemente aggiornati. Essi includono, in aggiunta a quanto previsto per tutti gli operatori: eventi catastrofici con distruzioni fisiche su larga scala, a dimensione metropolitana o superiore, che investano infrastrutture essenziali dell’operatore e di terzi; situazioni di crisi gravi anche non connesse ad eventi con distruzioni materiali (ad es., pandemie, attacchi biologici, attacchi informatici su larga scala).

Del resto, anche nelle normative estere tale scenario non è così frequente; cenni erano presenti, ad esempio, nel documento emesso dalla Reserve bank of India 2011, Guidelines on Information security, Electronic Banking, Technology risk management and cyber frauds sul quale ritorneremo più oltre.

(g) Pandemic Planning

Consequently, no individual or organisation is safe from the adverse effects that might result from a pandemic event.

One of the most significant challenges likely from a severe pandemic event will be staffing shortages due to absenteeism. These differences and challenges highlight the need for all financial institutions, no matter their size, to plan for a pandemic event when developing their BCP.

It is important for institutions to actively keep abreast of international and national developments and health advisories issued in this regard.

Anche con queste limitazioni, le organizzazioni che disponevano di un piano di continuità operativa, seppure in assenza di previsioni precise per la gestione di una pandemia, sono state comunque molto avvantaggiate nell’affrontare la situazione.

Infatti, al di là di soluzioni preconfezionate, comunque difficili da prevedere e gestire per uno scenario molto variabile come quello della pandemia, piuttosto che di piani dettagliati che potrebbero anche non essere adatti alla specifica situazione è importante in situazioni così articolate disporre di una struttura organizzativa collaudata e di una diffusa cultura su quali siano le azioni da intraprendere in caso di crisi.

Le soluzioni pratiche possono essere trovate al momento, ma se già si sono predisposte soluzioni per scenari di crisi quali la mancanza di personale essenziale, di fornitori critici, di edifici e via dicendo si possono impostare molto più velocemente ed efficacemente soluzioni adeguate rispetto a quanti partono da zero.

Del resto, la pandemia crea situazioni difficilmente prevedibili a priori, per le quali è assolutamente adeguata la citazione che Allen Massie, riporta nella sua pubblicazione “Augustus: Memoirs of Emperor”:

Il valore della pianificazione diminuisce in conformità con la complessità dello stato delle cose.

Credetemi: questo è vero. Può sembrare paradossale.

Magari pensate che più sia complessa una situazione, più è necessario un piano per poter farne fronte.

Vi concedo la teoria. Ma la pratica è diversa.

Scenario pandemico e scenari di rischio “tradizionali”: differenze

Ma quali sono le differenze che caratterizzano lo scenario pandemico rispetto ai “tradizionali” scenari di rischio?

Prima di tutto la durata nel tempo; ancora oggi, dopo oltre un anno dal suo inizio, siamo ancora in piena emergenza e la pandemia condiziona ogni nostra azione sia nella vita privata, sia nella vita professionale.

Il secondo aspetto è la sua pervasività a livello globale; non è una singola azienda o settore ad essere coinvolto ma, salvo rare eccezioni, gli impatti negativi della pandemia riguardano la maggior parte delle organizzazioni in tutto il mondo.

Questo comporta ovviamente pesanti impatti sia sulla catena di fornitura, sia sulla possibilità di commercializzare i propri prodotti/servizi (anche i clienti/fornitori, sempre che siano ancora operativi, si trovano in una situazione di emergenza).

Ecco, quindi, che anche le soluzioni più tradizionali per far fronte ad una crisi (ad esempio avere fornitori alternativi) non sono così percorribili.

Tutto questo in contrasto con l’abituale modalità con cui ci si rapporta ad uno stato di crisi, solitamente limitato nel tempo e gestibile sia in termini di prevenzione (in conseguenza di una adeguata analisi del rischio), sia in termini di piani di continuità (in conseguenza di una business impact analysis).

Il prolungarsi nel tempo dello stato di crisi ha delle conseguenze molto rilevanti rispetto all’approccio tradizionale.

Non sono solo i processi così detti “rilevanti” ad essere interessati, ma tutti i processi aziendali sono coinvolti.

Questo vuol dire, in particolare, che è necessario conoscere adeguatamente i propri processi, chi fa cosa e con che dati e strumenti.

In realtà è piuttosto raro che tali informazioni siano effettivamente disponibili in azienda.

Le carenze più significative, infatti, riguardano:

  • la mancanza di documentazione;
  • l’assenza di una mappatura e formalizzazione dei processi;
  • parti di processi chiave non documentata o non nota;
  • la mancata evidenza della necessità di supporti cartacei per il completamento dei processi;
  • l’ampio uso di applicazioni di operatività individuale, non documentate, in aggiunta al sistema informativo aziendale;
  • l’assenza di un censimento della documentazione presente al di fuori del sistema informativo;
  • la mancanza di qualunque classificazione delle informazioni;
  • l’eccessivo ricorso a figure chiave sia nell’ambito dei processi che delle strutture di supporto alla continuità operativa;
  • la mancanza di backup per quanto attiene la documentazione.

Chiunque abbia mai lavorato concretamente ad un piano di continuità operativa (e lo abbia poi testato) è cosciente di quanto siano reali le problematiche appena citate.

Infatti, la creazione del piano non può prescindere da una dettagliata descrizione operativa dei processi (non quindi da una descrizione teorica degli stessi presente in qualche regolamento aziendale).

Purtroppo, la maggior parte dei piani che mi è capito di analizzare sono composti per il 95% da semplici affermazioni di principio, senza alcun riferimento alla pratica operativa e per la maggior parte dei casi realizzati non per salvaguardare realmente un’organizzazione, ma per rispondere alle richieste di un soggetto esterno (la normativa bancaria, ad esempio, impone la valutazione dei piani di continuità operativa di determinate categorie di fornitori).

È evidente che un evento come la pandemia costringe a prendere in considerazione tutti i processi aziendali e quindi una delle maggiori difficoltà con cui ci si scontra è una reale conoscenza del reale modo di funzionare della propria azienda.

Business continuity e Covid-19: le soluzioni disponibili

Come indicato all’inizio dell’articolo, prendiamo ora in considerazione qualche possibile soluzione.

Sono numerosi gli enti che hanno reso disponibili nel corso di questi mesi strumenti e indicazioni per fronteggiare la pandemia e realizzare dei piani di continuità operativa.

Per quanto riguarda i principi generali è possibile rifarsi a due specifici documenti emessi, come prevedibile, in ambito bancario.

Il Comitato di Basilea, ad esempio, ha proposto nel suo documento Principles for operational resilience, emesso in consultazione ad agosto 2020, i seguenti principi:

  • Principle 1: Banks should utilise their existing governance structure to establish, oversee and implement an effective operational resilience approach that enables them to respond and adapt to, as well as recover and learn from, disruptive events in order to minimise their impact on delivering critical operations through disruption.
  • Principle 2: Banks should leverage their respective functions for the management of operational risk to identify external and internal threats and potential failures in people, processes and systems on an ongoing basis, promptly assess the vulnerabilities of critical operations and manage the resulting risks in accordance with their operational resilience expectations.
  • Principle 3: Banks should have business continuity plans in place and conduct business continuity exercises under a range of severe but plausible scenarios in order to test their ability to deliver critical operations through disruption.
  • Principle 4: Once a bank has identified its critical operations, the bank should map the relevant internal and external interconnections and interdependencies to set operational resilience expectations that are necessary for the delivery of critical operations.
  • Principle 5: Banks should manage their dependencies on relationships, including those of, but not limited to, third parties or intra-group entities, for the delivery of critical operations. Prior to the bank entering into such an arrangement, the bank should verify whether the third party, including, if relevant, the intra-group entity to these arrangements has at least equivalent operational resilience conditions to safeguard the bank’s critical operations.
  • Principle 6: Banks should develop and implement response and recovery plans to manage incidents that could disrupt the delivery of critical operations in line with the bank’s risk tolerance for disruption considering the bank’s risk appetite, risk capacity and risk profile. Banks should continuously improve their incident response and recovery plans by incorporating the lessons learned from previous incidents.
  • Principle 7: Banks should ensure resilient ICT including cyber security that is subject to protection, detection, response and recovery programmes that are regularly tested, incorporate appropriate situational awareness and convey relevant information to users on a timely basis in order to fully support and facilitate the delivery of the bank’s critical operations.

Mentre il già citato documento della Reserve Bank of India, Guidelines on Information security, Electronic Banking, Technology risk management and cyber frauds, emesso nel 2011 propone la seguente strategia di intervento:

  1. A preventive programme to reduce the likelihood that a bank’s operations will be significantly affected by a pandemic event, including: monitoring of potential outbreaks, educating employees, communicating and coordinating with critical service providers and suppliers, in addition to providing appropriate hygiene training and tools to employees.
  2. A documented strategy that provides for scaling the institution’s pandemic efforts so they are consistent with the effects of a particular stage of a pandemic outbreak, such as first cases of humans contracting the disease overseas or in India and first cases within the organisation itself. The strategy will also need to outline plans that state how to recover from a pandemic wave and proper preparations for any following wave(s).
  3. A comprehensive framework of facilities, systems, or procedures that provide the organisation the capability to continue its critical operations in the event that large numbers of the institution’s staff are unavailable for prolonged periods. Such procedures could include social distancing to minimise staff contact, telecommuting, redirecting customers from branch to electronic banking services, or conducting operations from alternative sites.
  4. The framework should consider the impact of customer reactions and the potential demand for, and increased reliance on, online banking, telephone banking, ATMs, and call support services. In addition, consideration should be given to possible actions by public health and other government authorities that may affect critical business functions of a financial institution.
  5. A testing programme to ensure that the institution’s pandemic planning practices and capabilities are effective and will allow critical operations to continue.
  6. An oversight programme to ensure ongoing review and updates to the pandemic plan so that policies, standards, and procedures include up-to-date, relevant information provided by governmental sources or by the institution’s monitoring programme.
  7. Banks may also consider insurance to transfer risk to a third party, however taking due care regarding certainty of payments in the event of disruptions.

Business continuity e Covid-19: indicazioni concrete per le PMI

Al di là delle indicazioni di alto livello, fra gli altri non sempre condivisibili (come il riferimento alle sole operazioni critiche) molto più concrete e destinate ad un pubblico più ampio ed eterogeneo e con un’attenzione particolare anche per le PMI sono i documenti elencati nel seguito.

Il primo documento cui mi riferisco è emesso dall’ILO – International Labour Organization, organizzazione con oltre 100 anni di storia che ha sede a Ginevra: The six-step COVID-19 business continuity plan for SMEs, attraverso il quale, con un semplice questionario che prende in considerazione 4 elementi (People, Processes, Profits and Partnerships), è possibile valutare il livello di esposizione di ognuno di essi e successivamente il valore complessivo di rischio per l’azienda.

Successivamente, tramite un processo in sei fasi:

  1. Step 1: Identify your key products or services
  2. Step 2: Establish the objective of your BCP
  3. Step 3: Evaluate the potential impact of disruptions to your enterprise and workers
  4. Step 4: List action to protect your business
  5. Step 5: Establish contact lists
  6. Step 6: Maintain, review and continuously update your BCP

l’azienda è guidata nello sviluppo del proprio piano di continuità, ovviamente molto semplice e molto pratico.

Altro documento molto operativo per le PMI è quello redatto dall’UNDRR, ufficio delle nazioni unite che si occupa della riduzione dei rischi connessi in particolare ai disastri naturali.

Il documento IS YOUR BUSINESS RESILIENT TO COVID 19 – Planning Tool identifica un piano di azione in dieci fasi:

  1. Stay Informed
  2. Identify your core products and services
  3. Communicate with your employees and customers
  4. Establish policies for physical distancing and sanitizing workplaces
  5. Protect Employee Health
  6. Plan how you will operate with absent employees
  7. Prepare your supply chain
  8. Plan to modify your service delivery to customers
  9. Apply for crisis assistance to businesses
  10. Exercise your Covid-19 plan

e presenta per ognuna di queste fasi una scheda con cui l’azienda può rapidamente raccogliere e documentare le informazioni necessarie.

Una serie di documenti quindi semplici, brevi, molto operativi e che non necessitano di una specifica preparazione, ma che possono effettivamente fare la differenza, in particolare per le PMI, fra il non avere nulla e iniziare a predisporre qualche soluzione pratica.

Più articolato e complesso è invece il documento, sempre dell’ILO: Multi-hazard Business Continuity Management, anch’esso rivolto alle PMI.

Il testo è accompagnato da una serie di schede che consentono anche in questo caso una facile costruzione del proprio piano.

Anche se il documento non è specificatamente pensato per lo scenario pandemico, essendo datato 2011, introduce un concetto molto importante che non abbiamo ancora evidenziato.

La presenza dello scenario pandemico (e le relative soluzioni di continuità) non limita la probabilità di accadimento degli altri scenari di crisi quali ad esempio un incendio o la mancata fornitura di alimentazione elettrica.

Tutti gli altri scenari di crisi possono infatti verificarsi congiuntamente alla pandemia.

Si è soliti pensare che solo uno scenario di crisi possa aver luogo, anche in considerazione del limitato impatto nel tempo che tale evento di solito comporta, ma la presenza costante dello scenario pandemico fa sì che sia necessario considerare soluzioni multiscenario.

Altro aspetto da considerare è che le attuali soluzioni messe in atto per far fronte alla pandemia e garantire la continuità, sono diventate di fatto la nuova normalità.

I piani di continuità operativa preesistenti e le relative attività di test e verifica vanno quindi rivisti di conseguenza.

Al di là dei documenti evidenziati, per chi vuole qualcosa di più articolato e tradizionale è sempre possibile consultare, anche se non specificatamente pensato per lo scenario pandemico, la validissima documentazione prodotta dalla Pubblica Amministrazione e disponibile sul sito dell’Agenzia per l’Italia Digitale ed in particolare il volume Disaster Recovery: Le linee guida 2013.

Ricordo inoltre che lo standard ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements è uno dei pochi consultabile gratuitamente on line.

Conclusioni

La pandemia ha evidenziato quanto sia importante, per le organizzazioni di ogni tipo e dimensione, disporre di una cultura sulla continuità operativa, anche se non specificatamente di un piano di intervento per questo specifico scenario.

Le pubblicazioni presentate nell’articolo hanno il pregio di non rivolgersi solo ad organizzazioni grandi e strutturate, ma di essere pensate specificatamente anche per le esigenze delle PMI.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4