L’improvvisa emergenza sanitaria e le misure adottate per il contenimento del coronavirus hanno messo a nudo la mancanza di Business Continuity Plan completi e reso necessario ridefinire il modo di lavorare e garantire la continuità delle attività.
Da una parte le varie aziende nel mondo informatico si sono subito e rapidamente riorganizzate, mettendo di fatto in atto delle azioni per garantirsi la continuità del business. Dall’altra, contemporaneamente, alcune grosse organizzazioni hanno finalmente compreso quanto sia importante, appunto, il tema del Disaster Recovery e del Business Continuity Plan, avendolo finora messo in secondo piano (forse perché anche la ISO27001 lo mette all’ultimo capitolo, ma non è affatto un appendice) e hanno dovuto fronteggiare in modo reale il tema che probabilmente era stato pianificato ma sempre rimandato.
Vediamo, dunque, qual è la situazione attuale.
Indice degli argomenti
È scattata la corsa al Business Continuity Plan
In particolare, molte aziende si sono accorte che alcuni servizi essenziali, nella loro catena di produzione, sono dipendenti anche da piccole realtà altamente specializzate: è evidente che una eventuale impossibilità ad operare di queste ultime avrebbe di conseguenza messo in crisi la grande organizzazione di cui sono fornitrici.
Per tutelarsi quindi, è scattata una corsa alla verifica ed al soddisfacimento, in genere di tipo contrattuale, delle garanzie del servizio, chiedendo (non avendolo fatto a tempo debito) i Business Continuity Plan e le evidenze dei test degli stessi (come sarebbe buona norma) a queste piccole realtà.
Non è tema di questa discussione entrare nel merito del fatto che queste grosse organizzazioni si sono accorte della scopertura o mancanza di queste verifiche solo al momento dell’emergenza e non prima: quando, se l’hanno fatto, il loro BCP avrebbe dovuto essere testato e verificato. Quanto, piuttosto, osservare che spesso le piccole e medie imprese non hanno mai fatto alcun BCP perché mai esplicitamente richiesto (e magari previsto dal contratto) e nemmeno redatto per la consapevolezza della necessità di gestione del rischio.
Ciononostante, pur avendo queste scoperture “formali”, comunque gravi nel quadro dell’onorabilità di un contratto, queste piccole imprese avevano tuttavia reagito in modo efficace e addirittura proattivo: appena ci sono state avvisaglie di possibili problemi, si sono riorganizzate per essere in grado di garantire il servizio in ogni condizione contingente. Di fatto, hanno agito come se avessero un recovery plan ma non erano in grado di produrre alcuna della documentazione richiesta (BCP e piani di test), all’ultimo momento, dai loro clienti.
Per superare lo scoglio contingente della richiesta dei loro clienti, che impiegano molto poco a rescindere il contratto o mettere in difficoltà le piccole realtà, queste ultime hanno dovuto produrre dei piani, perché richiesti, strutturando un documento e producendo delle evidenze a posteriori (raccontando, in pratica, cosa è stato fatto) e trovando giustificazioni, comunque accettate (perché gran parte delle realtà si sono trovate nelle stesse condizioni), sulla impossibilità di produrre evidenze di precedenti test dei piani.
Fatta questa attività, che ha messo in pace gli uffici legali delle grosse organizzazioni, si è quindi giunti alla condizione in cui sia il fornitore (piccola realtà) che il committente (grande organizzazione) risultano essere paghi e soddisfatti in quanto sono state fornite e sono state ottenute le “pezze” giustificative.
Ecco come pensare un corretto Business Continuity Plan
Si apre, però, una questione ben più pericolosa per la piccola impresa: pensare di avere un BCP valido. Peccato che un BCP prodotto in fretta e furia non è e non deve essere preso come un reale BCP perché lacunoso di alcune precondizioni.
La piccola impresa non ha bisogno di BCP complessi o articolati per via della sua capacità di reazione di azione e la ridotta “catena di comando”, ma deve aver considerato i possibili scenari di rischio in cui potrebbe incorrere. Deve perciò iniziare dalla valutazione del rischio di tutti i possibili eventi: non solo quelli esterni di forza maggiore, ma anche quelli interni che possono mettere in crisi l’operatività aziendale.
È necessario che siano stati definiti e resi condivisi i livelli di rischio tra quelli accettabili, quelli che devono essere mitigati e quelli per i quali si stima già che, se si dovessero verificare, potrebbero portare alla cessazione definitiva dell’attività per l’impossibilità di poterli fronteggiare.
Se il BCP di emergenza è stato fatto con criterio, considerando non tanto gli eventi ma le azioni e le figure coinvolte nel piano stesso, questo potrebbe poi essere integrato con i piani di emergenza necessari secondo le varie casistiche, che possono spaziare dai casi estremi di disastri naturali ai più “semplici” danni derivanti, per esempio, da connessione ad Internet di un PC lasciato non presidiato o non protetto.
Nello sviluppo del BCP, inoltre, deve essere anche curato l’aspetto organizzativo e formativo, affinché l’intera organizzazione sappia come comportarsi nella evenienza di una emergenza: quali sono le autorità decisionali, quali sono i canali di comunicazione da usare e come gestire le anomalie.
Conclusioni
Nello spettro delle minacce non ci sono solo aspetti meramente tecnologici, ma anche e soprattutto organizzativi da cui un’impresa deve tutelarsi. Per esempio, l’individuazione delle persone chiavi e le delle azioni che si prevede dover adottare per poter vicariare la persona in caso di sua indisponibilità. Così come la necessità di mettere in sicurezza il codice prodotto e distribuito, tutelandosi dalla possibilità di poterlo recuperare e gestire nel caso il fornitore si trovasse nell’impossibilità di poterlo manutenere. Ma anche, più semplicemente, dove si trovano le eventuali chiavi di cifratura o le password delle utenze master di sistemi e applicazioni.
Un corretto Business Continuity Plan deve essere conseguente anche a considerazioni di aspetti legali, organizzativi e finanziari, affinché la proprietà e gli stakeholder possano avere consapevolezza (ed eventualmente poter/dover dimostrare) fino a quale condizioni estreme l’azienda può essere in grado di operare.
Questo non vale solo per le piccole organizzazioni verso la proprietà e i propri clienti, ma vale anche per le grandi organizzazioni che devono poter dimostrare a operatori di interesse nazionale, piuttosto che ai propri clienti, quali sono i limiti delle loro capacità operative e delle loro forniture.
Mi auguro che sia iniziato un ciclo virtuoso di miglioramento della sicurezza delle grandi realtà, sempre più informatizzate, che si avvalgono dei servizi che sono sempre più delicati, e sempre più minacciati, come forza trainante della implementazione di BCP completi ed esaustivi da parte di tutti i soggetti che partecipano alla propria catena di produzione del valore.
