La crisi globale dovuta alla diffusione del virus Covid-19 ha portato le organizzazioni, sia pubbliche che private, a riconsiderare le strategie di continuità operativa. Il commento di Lamberto Ioele, esperto di cyber
I termini Business continuity e cyber resilience non sono certo una novità nei contesti aziendali, ma la crisi globale dovuta alla diffusione del virus Covid-19 ha portato le organizzazioni, sia pubbliche che private, a riconsiderare le strategie di continuità operativa.
Le aziende sono state costrette a rivedere i propri modelli di business a causa dell’impatto che il contesto pandemico ha avuto sulle catene di approvvigionamento, sulla disponibilità dei prodotti e, in misura maggiore su viaggi e trasporti.
Gli impatti si sono materializzati in maniera notevole soprattutto per coloro i quali non si sono dotati per tempo di piani di continuità operativa, modelli di gestione della crisi o che non disponevano di una diffusa cultura aziendale orientata alla gestione degli eventi critici e inattesi.
Allo stesso tempo, la necessità di dover adottare modalità di lavoro agile ha messo sotto stress le infrastrutture IT, progettate per soddisfare volumi di traffico meno “pesanti” rispetto all’intera popolazione aziendale connessa da remoto.
Le vulnerabilità appena descritte sono state evidenziate in modo empirico dal report “CIO Survey 2020” recentemente pubblicato da Harvey Nash e Kpmg. Secondo il sondaggio globale sulla leadership IT, la maggior parte delle organizzazioni si sono dimostrate impreparate a gestire l’evento pandemico, rendendo necessari investimenti aggiuntivi in ambito IT (in media il 5% in più) e cambi di rotta repentini volti ad affrontare non solo la crisi del Covid-19, ma dovuti anche alla necessità di gestire l’aumento esponenziale delle minacce cyber con relativi incidenti informatici causati principalmente da attacchi di spear phishing e malware.
Tra gli aspetti sottolineati nella Survey emerge anche la necessità impellente di colmare lo skill-shortage in materia di crisis management e continuità operativa, così come la necessità di garantire la tenuta dei sistemi IT, la trasformazione digitale e l’adozione di tecnologie emergenti.
Come evidenziato anche dal report “Technology & Business Continuity in Organizational Resilience“ pubblicato lo scorso ottobre 2020 dal Business Continuity Institute (BCI), solo attraverso la combinazione di buone pratiche di Business Continuity, IT, Information & Cyber Security e Risk Management è stato possibile aumentare la resilienza organizzativa e sviluppare un approccio collaborativo olistico necessario per affrontare le sfide dello scenario contingente in cui ci troviamo.
In particolare, il report del BCI ha evidenziato come la convergenza di Cyber Security e Business Continuity sia una condizione indispensabile per garantire la riduzione degli impatti finanziari, operativi, legali e reputazionali delle minacce informatiche. Tale condizione è ancor di più necessaria se si considera che tramite lo smart working è stata ampliata la superficie di attacco con la conseguenza di garantire un’infrastruttura IT non solo robusta ma anche sicura da un punto di vista informatico. Il report rivela, altresì che, laddove le funzioni di Business Continuity ed IT lavorano a stretto contatto, le aziende riescono a superare più facilmente gli eventi critici e garantire processi e procedure molto più resilienti.
Come sottolineato dai due report citati in precedenza, le organizzazioni aziendali hanno spesso implementato un modello basato sulla priorità di garantire la sopravvivenza del Sistema Informativo progettando piani di Disaster Recovery sempre più efficienti e complessi, ma raramente si sono poste il problema sul come operare nel caso in cui solo i sistemi IT si rivelano essere funzionanti e tutto il resto risulta inaccessibile o inutilizzabile (es. uffici, magazzini, macchinari, strumenti).
In questo senso, la pandemia ha amplificato l’importanza di garantire una reale Business Continuity, ovvero la capacità di ripristinare in tempi brevi i processi aziendali ritenuti vitali per la prosecuzione del business, in seguito a eventi gravi di varia natura (quali ad es. disastri naturali, attacchi informatici, errori umani e non ultime le pandemie), includendo anche la capacità di riuscire a gestire i rischi di interruzione finora considerati con una bassa probabilità di accadimento.
La raccomandazione che emerge dall’analisi dei report è semplice quanto pratica: le aziende dovranno saper sfruttare l’esperienza legata al contesto pandemico per comprendere come gli eventi possono avere impatti devastanti sul business e come sia indispensabile reagire prontamente, valutando le conseguenze e definendo nuove strategie di continuità volte a gestire le eventuali crisi future dovute a nuovi “eventi inattesi”.
