Il Grande Malinteso – Business Continuity e Cyber Resilience
Scrivo e ripeto spesso di quanto la business continuity sia una delle metodologie più abusate all’interno delle organizzazioni e non solo.
Poiché si basa su principi di buon senso, spinge molti professionisti a pensare di poterne parlare e praticarla senza una vera conoscenza di fondo della disciplina. Con risultati spesso scadenti se non nocivi per la business continuity stessa e per le organizzazioni che ne fanno un uso approssimativo.
In realtà non vi è nulla di più difficile che applicare un metodo al buon senso. A questo proposito, gli inglesi dicono con un gioco di parole che common sense (il buon senso) is not so common (non è così comune). Proprio perché è per sua natura intuitivo, spesso viene sottovalutato e applicato con imprecisione.
Con queste premesse, se le organizzazioni non hanno al proprio interno professionisti di continuità operativa, o peggio ancora si fanno seguire da consulenti impreparati in materia, i risultati di implementazione sono mediocri, gli strumenti utilizzati sono oltremodo complessi e di conseguenza l’utilità della materia non è apprezzata come dovrebbe, anzi.
Per arginare questa tendenza all’abuso della business continuity, vorrei dare alcune indicazioni su come modificare la cultura organizzativa al fine di sfruttare pienamente l’efficacia della metodologia.
Una questione di cultura
Innanzitutto, bisogna partire dalle motivazioni giuste. La business continuity non deve essere implementata unicamente perché è previsto dalla legge e dai regolamenti, perché viene richiesta da un cliente oppure per soddisfare gli auditor. Se l’approccio alla materia fosse questo, sarebbe davvero un’occasione persa, costosa e del tutto inutile.
Altra cosa è se la business continuity viene implementata perché ci si crede davvero e perché esiste una cultura avanzata circa i principi di continuità e sostenibilità. In questo caso, i risultati saranno migliori e visibili a tutti.
La continuità è in tutto e per tutti
Poi, è importante fare chiarezza su altri due aspetti: la continuità operativa non è un’applicazione tecnica in più; non è neanche un processo gestito da una singola persona o da un gruppo ristretto che si adopera per tutti gli altri, come se il resto dell’organizzazione fosse un corpo estraneo.
In realtà, tutte le procedure, le applicazioni e i sistemi dell’organizzazione devono avere la continuità operativa integrata nelle proprie attività quotidiane. Così come tutti i collaboratori dell’organizzazione, nessuno escluso, devono lavorare seguendo i principi della continuità operativa.
Il compito del Business Continuity Manager deve essere quindi di lavorare per rendere più semplice e fluida possibile l’esecuzione delle analisi da parte dei diversi titolari di prodotto, servizio o processo. E, fondamentale, non deve essere lui stesso a effettuare le analisi al posto dei titolari.
Il template della BIA (Business Impact Analysis) deve consentire ai vari owner di identificarsi subito nelle descrizioni dei diversi impatti. Allo stesso tempo, il top management deve ricevere dati coerenti e funzionali per capire la capacità di prevenzione della propria organizzazione rispetto a tutte le potenziali interruzioni.
Se sussistono queste condizioni, all’interno di un buon sistema di gestione della continuità operativa sono già presenti tutti gli elementi per essere preparati e resilienti di fronte a QUALUNQUE evento: sia esso un attacco cyber, l’avvelenamento di un prodotto sullo scaffale del supermercato, il rapimento di un collega, un attacco terroristico o la caduta di un sistema. La metodologia di Business Continuity può quindi condurci alla Cyber Resilience della nostra organizzazione, senza bisogno di ricorrere a nuovi strumenti inventati ad-hoc.
La Business Continuity è una metodologia che si applica a ogni tipo di evento
Negli ultimi anni i nuovi rischi hanno determinato la nascita di un’ondata di nuovi strumenti come la PIA (Privacy Impact Analysis) e la DPIA (Data Privacy Impact Analysis). Molto recentemente ho sentito parlare anche di CRIA (Cyber Resiliency Impact Analysis).
Ma la verità è che non occorre inventare nuovi tipi di analisi di impatto o creare discipline di prevenzione diverse dalla continuità operativa.
La metodologia di Business Continuity ha le sue linee guida dal 1994, data di fondazione del Business Continuity Institute, e se un’organizzazione applica correttamente i vari principi, avrà già analizzato tutti i possibili impatti e progettato le possibili soluzioni per ogni tipologia di ipotetica interruzione, incluse quelle determinate da attacco cyber.
L’analisi di impatto non si focalizza infatti sul rischio del momento, ma studia le conseguenze di qualunque tipo di interruzione sui prodotti, i servizi, i processi e le attività prioritarie dell’organizzazione. E l’analisi non è soggettiva, ma oggettiva. Si basa quindi sull’ipotesi di scenario peggiore possibile e non analizza gli impatti per scenario, ma si concentra sulle conseguenze a seguito di un’interruzione, a prescindere dalla causa della stessa.
Per questa ragione, nel mondo della Business Continuity abbiamo iniziato a trattare temi come la cybersecurity, il rischio terrorismo o i rischi della catena fornitori già da alcuni anni. Gli Horizon Scan Report pubblicati dal Business Continuity Institute ci hanno permesso di indirizzare l’analisi verso i nuovi trend e elaborare piani di gestione specialistici di gestione di crisi orientati ad esempio al data breach, al ransomware e a altre forme di attacco cyber.
Tutto questo, ben prima del panico e della corsa affannata alla gestione di quanto sopra dovuta all’imminente varo del GDPR (General Data Protection Regulation), che entrerà in vigore il 25 maggio 2018.
Nessuna disciplina ha l’egemonia sulla resilienza
Il sistema di gestione della Business Continuity, integrato nelle procedure operative standard, è uno strumento di coordinamento e di supervisione affinché tutti gli elementi che concorrono nella protezione e la tutela degli asset, dello staff, del profitto, della reputazione e della sostenibilità dell’organizzazione collaborino. Una parola chiave per i professionisti di BC è dunque il coinvolgimento.
Il coinvolgimento è anche la parola chiave della resilienza. Leggendo la ISO 22316 (Security and resilience — Organizational resilience — Principles and attributes), emessa nel 2017 e che chiarisce una volta per tutte cos’è la resilienza organizzativa, si capisce che nessuna disciplina può dichiarare di avere l’egemonia sulla resilienza. Ci sono almeno venti discipline che concorrono a supportare la resilienza di un’organizzazione. Tra queste sono elencate il business continuity management, il crisis management e l’emergency management. Queste tre discipline fanno parte dell’intero sistema di gestione della continuità operativa.
Tra queste venti c’è ovviamente anche la cybersecurity, di cui non serve rimarcare l’importanza. Basti pensare che cyber attack e data breach occupano da ormai molti anni i primi due posti nella top 10 delle minacce segnalate nell’Horizon Scan Report del Business Continuity Institute.
È però improduttivo affidarsi a pratiche collaterali, a BIA “specialistiche” e a metodi improbabili quanto inefficaci per cercare di analizzare queste minacce che, proprio perché sono di grande attualità, avranno meno difficoltà ad attirare l’attenzione del top management e di conseguenza gli investimenti in cybersecurity.
La cybersecurity è necessaria ma non sufficiente alla resilienza organizzativa
Infine, occorre dire a chiare lettere che, per quanto investiamo in sicurezza cyber, rimaniamo comunque vulnerabili. Un attacco può avvenire, a prescindere di quanti soldi spendiamo per la nostra difesa tecnologica, per l’allerta precoce dei segnali di intromissione o per la formazione e sensibilizzazione.
Perciò essere preparati, avere solidi back up e soluzioni alternative, piani specialistici per gli attacchi cyber, per la comunicazione immediata interna ed esterna, è doveroso. È per questo che senza un sistema di gestione della continuità non possiamo inserire il termine “resilienza” nel vocabolario della nostra cultura organizzativa.
A cura di: Gianna Detoni
Gianna Detoni, Presidente PANTA RAY e BCI Global Industry Personality 2017
Con un passato nella gestione della Risk Resilience in JPMorgan Chase, Gianna Detoni è Presidente e Fondatrice di PANTA RAY, società leader nella consulenza e formazione in ambito continuità e resilienza.
È considerata uno dei massimi esperti internazionali in queste materie. Per questa ragione il Business Continuity Institute (BCI) l’ha eletta ‘Global Continuity & Resilience Industry Personality of the Year 2017’.
Nel ruolo di BCI Approved Instructor, ha dato un importante contributo alla realizzazione dell’attuale edizione delle Good Practice Guidelines del BCI, il testo di riferimento per i professionisti di continuità e resilienza.
Inoltre, Gianna è spesso ospite di importanti conferenze e tavole rotonde internazionali come esperta nelle tematiche di sua competenza.
