Benché la strategia digitale in Italia sia abbastanza conservativa, la presenza on-line delle aziende e degli enti è ormai divenuta un obbligo imprescindibile, tanto da imporre di ottemperare anche alla sua continuità (Resilience). Secondo alcune recenti analisi statistiche sullo “Shopping Online” (cfr. https://founderu.selz.com/40-online-shopping-ecommerce-statistics-know/), il 70+% delle organizzazioni ritiene che gli affari siano migliori online che nei negozi, incoraggiati dal fatto che circa l’80% delle persone con accesso su Internet esegue acquisti online.
Questo lega imprescindibilmente l’IT al business, anche in Italia (cfr. https://www.wired.it/economia/business/2015/12/30/l8-delle-aziende-italiane-vende-online/) implicando l’obbligo dell’Always-On, soprattutto qualora si offrano cataloghi (33% in Italia) od anche la possibilità di ordinare (12% in Italia). Una volta intrapresa la strada online non è più possibile tornare indietro o patire defaillance. Difatti, qualora, disgraziatamente, si dovessero verificare incidenti che compromettano alcune funzionalità o, addirittura, un’intera presenza in rete, il momentaneo disservizio creerebbe, in aggiunta all’eventuale mancato introito problemi di Reputation, con immediate ricadute relative al danno di immagine aziendale.
L’IT è uno strumento al servizio del business, sempre più indispensabile sia in termini di copertura delle funzionalità necessarie all’erogazione di questo, sia per quanto attiene alla adattabilità dei processi e delle infrastrutture ai cambiamenti del mercato, sia in merito alla garanzia di continua disponibilità dello stesso. Per tali motivi, l’infrastruttura Cyber deve essere adeguatamente Ideata, Progettata, Protetta, Posta in Esecuzione e Monitorata. In una parola: Governata durante tutti le fasi del ciclo di vita, adottando un modello apposito.
Per quanto attiene agli scopi di questo articolo, deve essere garantita la continuità nella erogazione dei servizi di elaborazione. In particolare, i servizi devono essere progettati in modo da sviluppare una sorta di “Resilience by Design”, implementando architetture che soddisfino requisiti strategici (RTO ed RPO) accuratamente misurati.
Il modello di IT Operational Governance rappresentato in figura permette di considerare tutte le contromisure (anche quelle ideate ai fini della continuità operativa) durante le diverse fasi (in senso verticale, 5 come gli step del CobiT 5) di sviluppo dei servizi:
Tali contromisure si applicano a diversi aspetti che caratterizzano la infrastruttura (in senso orizzontale: Security, Identity, Resilience), indirizzando il raggiungimento degli obiettivi operativi prefissati dal business:
Allo scopo di non incorrere in incidenti che compromettano la presenza online, è necessario porre in essere contromisure volte alla continuità operativa da scegliere previa accurata analisi di impatto sul business (BIA).
RTO ed RPO sono indicatori che permettono di definire, rispettivamente, l’efficacia con cui porre in essere la continuità dei servizi fondamentali ed il risultato cui tendere.
Nello specifico, gli indicatori sono definiti come di seguito:
Il soddisfacimento dei valori di RTO ed RPO fissati impongono determinate soluzioni architetturali, tecnologiche ed organizzative ma la loro valorizzazione deriva dalle esigenze di business. La BIA permette proprio di misurare tali grandezze.
Il Business Continuity Management (BCM) è un insieme di metodologie, che, ove correttamente applicato, consente di aumentare le capacità di resilienza e sostenibilità del business, coadiuvando nel raggiungimento dell’Always On. La BIA è il primo passo verso la implementazione del BCM ed è principalmente finalizzata nella identificazione delle migliori contromisure per evitare danni derivanti da possibili incidenti.
La BIA presenta le seguenti caratteristiche:
Con la parola “neutralizzazione” si intende: ‘riduzione ad un livello non più finanziariamente dannoso per l’organizzazione’. Mentre la “interruzione del business” può derivare da disastri, incidenti ed emergenze.
La BIA analizza i risultati finanziari (Economics) derivanti da eventuali disastri (Componenti) che insistono su componenti aziendali essenziali (Viste).
Le principali misure Economico/Finanziarie sono le seguenti:
Le principali considerazioni sul disastro relativo ai Componenti di business:
Le principali Viste (Business, Operazione e Rischio), al fine di fornire i parametri necessari per la resilienza: RTO (Recovery Time Objective) e RPO (Recovery Point Objective):
Per calcolare i valori RTO e RPO è necessario confrontare le perdite economiche (Money Losses) dovute ad una disgregazione dei sistemi e dei servizi identificati, con il valore di Risk Appetite, ovvero il rischio aziendale. Tale importo deve corrispondere a una perdita per la Società di dimensioni ridotte affinché possa essere affrontata senza ripercussioni finanziarie e economiche. Per questo motivo, è stabilito coerentemente con le strategie di business.
La quantificazione della propensione al rischio (Risk Appetite) può essere correlata al valore del parametro EBIT, come derivato dallo stato patrimoniale, per una quota pari al 2%.
L’investimento deriva dalla somma delle contromisure selezionate per garantire il livello di rischio così calcolato.
Nel caso di EBIT negativo, si è in presenza di una società con una situazione finanziaria non solidissima, probabilmente in fase di startup. Applicando la teoria della Business Continuity in modo acritico, se ne deduce che la propensione al rischio (Risk Appetite) dovrebbe essere uguale a zero, imponendo l’implementazione di tutte le possibili contromisure e, dunque, investimenti importanti che, evidentemente, l’azienda non può sopportare.
Si rende necessaria un diverso modo di calcolare il Risk Appetite per Start-Up.
Per non imporre alla società un investimento in contromisure troppo ingente, si fa uso dell’EBIT Teorico, definito come:
Theoretical EBIT =(EBIT Margin )∗Last Company Revenue
Dove l’EBIT Margin è definito come:
EBIT Margin = EBIT/Revenue
Ed i valori plausibili sono ottenuti dalle figure finanziarie di:
I componenti e le viste necessari alla esecuzione della BIA possono essere disposti in un quadrato 3×3:
Dove, le colonne guidano alla identificazione degli eventuali eventi disastrosi (da destra a sinistra):
Le righe aiutano nel confronto delle grandezze economiche:
A cura di: Paolo Ottolino
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…