Alessio Pennasilico – Intervista al Cyber Crime Conference 2014
9 Febbraio 2016
Stefano Pinato – Intervista al Cyber Crime Conference 2014
9 Febbraio 2016

Il Business Continuity Management System (BCMS)

UN MODELLO DI SICUREZZA INTEGRATA PER LA PROTEZIONE DELL’AZIENDA

Il Business Continuity Management System (BCMS) è un sistema di gestione organizzativa che consente alle aziende di disporre dei propri processi, servizi, del personale e delle tecnologie – quindi di continuare le attività di business – nonostante il manifestarsi di incidenti inaspettati ed eventi catastrofici.

Il Sistema di Gestione della Continuità Operativa è ormai maturo nel mondo anglosassone, ma relativamente pioneristico e innovativo nel mondo latino (quindi anche in Italia) e in alcuni paesi europei, nel mediooriente e in Asia. Di recente, la materia è stata interessata da una direttiva internazionale (ISO 22301) e ciò ha determinato l’interesse da parte delle aziende anche in vista di possibili certificazioni.

In qualità di esperti di Business Continuity Management System stiamo supportando le aziende che desiderano implementare tale disciplina seguendo la metodologia proposta dalla direttiva sopra menzionata e le best practice internazionali. Tuttavia, in materia persistono ancora moltissimi malintesi: molte aziende si limitano ad implementare il Disaster Recovery – uno dei tanti capitoli del Business Continuity Management System – o a realizzare back up particolarmente avanzati dal punto di vista tecnologico.

Queste attività sono certamente importanti e anzi necessarie, ma assolutamente non sufficienti per garantire la continuità operativa di un’azienda a fronte di un incidente improvviso o di una vera e propria crisi. La metodologia di business continuity, infatti, è uno strumento potentissimo di management che si applica in materia trasversale alle funzioni aziendali e non si limita agli aspetti tecnologici: per intenderci, il Disaster Recovery Plan è solo uno dei piani tattici del Business Continuity Management System (BCMS). Nel BCMS invece sono contemplati piani strategici, piani tattici e piani operativi.

A titolo esemplificativo: un piano strategico può essere il piano di crisi, il piano di ritiro del prodotto o il piano pandemico; il piano tattico può configurarsi nel Disaster Recovery Plan o nel piano di continuità di una specifica funzione di un’organizzazione; il piano operativo tipico è il piano di emergenza. Fatte queste premesse, è opportuno ricordare come la metodologia preveda che le aziende interiorizzino il BCMS non solo per affrontare correttamente le interruzioni, ma anche e soprattutto per prevenire eventi critici e garantire resilienza all’intera struttura. Dalla gestione della crisi alla gestione della continuità operativa, dalla capacità di leggere i processi critici alla loro analisi di impatto: si tratta di mettere in atto delle strategie di continuità operativa, implementarle, mantenerle, revisionarle e chiaramente esercitarsi, attraverso test e fasi di convalida che servono a completare il processo dando vita al “ciclo di miglioramento continuo” al quale l’intera materia si ispira. In Italia, questa particolare disciplina è già obbligatoria in tre macro settori:

  1. Economico-finanziario;
  2. Pubblica Amministrazione;
  3. Infrastrutture Critiche.

Per quanto riguarda il settore economico- finanziario, va specificato che è stato il primo ambito a strutturarsi in questo campo, grazie ai principi di Basilea che hanno dettato le regole del rischio operativo. Sono facilmente immaginabili le conseguenze prodotte da un’ipotetica interruzione dei flussi finanziari verso i settori industriali (il classico effetto domino) e quanto sia necessario che le banche siano in grado di garantire la propria continuità operativa. Bisogna inoltre tenere in forte considerazione la stretta dipendenza tra innovazione e globalizzazione:

i progressi tecnologici hanno contribuito ad approfondire i legami commerciali e finanziari fra Paesi, mentre la globalizzazione ha contribuito a diffondere l’uso della tecnologia

[International Monetary Fund 2007e, p. 156]

La globalizzazione dell’economia, infatti, ha contribuito a far sì che la Banca Centrale Europea da un lato e la Federal Reserve dall’altro – così come, di conseguenza, tutte le banche centrali del mondo sviluppato – richiedano ed esigano la continuità operativa.

Per il settore della Pubblica Amministrazione, invece, è stato recentemente emanato il “Codice dell’Amministrazione Digitale” e attraverso l’articolo 50bis di tale codice sono state promulgate le linee guida per la continuità operativa. Tutto ciò è stato poi trasferito nella legge 235 del 2010 che concedeva 15 mesi di tempo alla Pubblica Amministrazione per mettersi in regola e dotarsi del Business Continuity Management System. Dal 24 aprile 2012, quindi, tutta la Pubblica Amministrazione dovrebbe avere un’efficiente continuità operativa. Purtroppo però non è ancora così, ma siamo convinti che gli enti pubblici siano consapevoli di tale carenza, se ne stiano preoccupando e abbiano in programma di provvedere rapidamente e procedere alla strutturazione di piani efficaci. Un’indicazione significativa per capire quanto la materia sia di fondamentale importanza è rappresentata dal fatto che essa sia spesso pretesa come prerequisito obbligatorio nei bandi di gara emessi per tutta la filiera dei fornitori della Pubblica Amministrazione.

Infine, per quanto riguarda il settore delle Infrastrutture Critiche, va segnalato che esse tipicamente erogano servizi utili alla cittadinanza e devono dunque garantire la continuità di erogazione del proprio prodotto per non provocare disagi alla comunità. In Italia tutte le cosiddette Infrastrutture Critiche son chiamate dai rispettivi regulators (controllori) a dare garanzie di Service Continuity (continuità di servizio) e quindi concentrano i loro investimenti nella gestione della Continuità Operativa unicamente in quei settori che erogano servizi al pubblico e sono visibili alla comunità focalizzandosi unicamente in quelle aree specifiche. Gli esperti di questa materia però sanno bene che la Service Continuity non può funzionare se non c’è – all’interno di tutta l’organizzazione – una sana e robusta Business Continuity. Occorre infatti implementare la continuità operativa non solo in quelle aree chiamate a erogare i servizi critici e visibili, ma in tutte le funzioni aziendali comprese quelle che non abbiano una diretta influenza nell’erogazione del prodotto o del servizio. In altre parole, un’azienda deve saper sfruttare al meglio la ricchezza di risorse – umane e tecnologiche – per garantirsi una continuità dei processi critici. Gli asset di un’organizzazione includono quelle funzioni che per loro natura non hanno un’urgenza di ritorno al servizio, ma possono – in caso di necessità – cooperare con i reparti preposti alla garanzia della continuità dell’organizzazione. La questione della Service Continuity e della sua insostenibilità in assenza della Business Continuity è assolutamente attuale. Negli ultimi tempi siamo stati testimoni di problemi di continuità di servizio di tutti i tipi: a Senigallia si è verificata un’interruzione delle telecomunicazioni molto critica e a Cortina d’Ampezzo un blackout di 50 ore – nel periodo peggiore dell’anno per il settore turistico locale – ha messo in ginocchio pressoché tutte le strutture alberghiere. Questi accadimenti sono purtroppo all’ordine del giorno e l’impatto economico e sociale che hanno è spesso molto grave. Per questo motivo dobbiamo pretendere che la continuità operativa venga praticata a un buon livello, perché si tratta di un fattore critico per la sostenibilità, resilienza, robustezza ed efficienza delle nostre imprese e quindi – di conseguenza – dell’intero Sistema Paese. Come in tutti i temi della Sicurezza anche e soprattutto nella business continuity la chiave è il coinvolgimento trasversale. La tutela dell’azienda non può e non deve essere un esercizio di pochi, ma un processo a 360° di formazione e informazione dell’intero personale. In caso di crisi, infatti, tutta l’organizzazione deve essere preparata a collaborare con gli esperti specializzati deputati al coordinamento.

La Business Continuity è quindi una disciplina trasversale che idealmente viene considerata ben implementata quando entra a far parte del quotidiano dell’organizzazione, ovvero quando rientra nelle Standard Operating Procedures (procedure standard) dell’azienda. Un’organizzazione è tanto più efficiente quanto più – nel lanciare un nuovo progetto, prodotto o servizio oppure nell’acquisire una nuova azienda – si preoccupa fin dall’inizio delle implicazioni di continuità operativa da tenere in considerazione per garantire sostenibilità al business dell’azienda. Questo si ottiene mediante: analisi di impatto, di processo e delle minacce; progettazione di strategie e tattiche di recupero; implementazione di un piano; test e manutenzione. In ogni caso, anche un’Azienda che pratica la continuità operativa con zelo ed efficienza non può dirsi veramente sicura se non integra completamente i processi di sicurezza nel territorio in cui opera. In Italia, abbiamo alcuni esempi di eccellenza in materie quali la continuità operativa e la Sicurezza più in generale. Organizzazioni che hanno investito molto per formare i propri dipendenti e adottare le più moderne tecniche e che vanno giustamente molto orgogliose dei risultati raggiunti. Tuttavia, se queste aziende dovessero restare dei casi isolati, la loro efficienza risulterebbe molto fragile finché il territorio circostante non abbia raggiunto lo stesso livello di professionalità e preparazione. Pertanto è di fondamentale importanza che le Infrastrutture Critiche più avanzate in questo campo si preoccupino del territorio, perché siamo tanto resilienti quanto l’anello più debole della nostra catena sociale. In sostanza, quando si parla di prevenzione e gestione della crisi: l’eccellenza individuale non ha alcuna valenza o possibilità di successo.

In Italia e in Europa è in corso da tempo un dibattito per l’individuazione delle Infrastrutture Critiche caratterizzanti i settori che provvedono i principali servizi nazionali e internazionali (ad esempio: energia, trasporti, telecomunicazioni, finanza, ecc.). L’Unione Europea ha emanato regole sui requisiti minimi fondamentali di Security per tali settori, imponendo un tipo di sicurezza definito come “verticale” ovvero sviluppato tenendo conto delle minacce al quale è potenzialmente soggetta una specifica Infrastruttura Critica.

Il parere di Associazione HI CARE, tuttavia, è che non ci sia sufficiente focus sulla Sicurezza trasversale.
Per questo motivo abbiamo lanciato da tempo il concetto di Social Continuity® e ci occupiamo di progetti che mirano ad identificare alcune città dall’importanza strategica – quali ad esempio Roma o Milano – come vere e proprie Infrastrutture Critiche, ovvero città che se soggette a un’interruzione minaccerebbero la sostenibilità del Sistema Paese. Il 25 marzo 2014, al Palazzo dei Gruppi Parlamentari di Roma, si è svolto un importante convegno sul tema fortemente voluto dall’Associazione. In quell’occasione sono stati discussi gli impatti di una potenziale crisi sul territorio della capitale: le ripercussioni a livello nazionale avrebbero verosimilmente ricadute sul PIL tali da poter influenzare anche l’economia di altri paesi. Gli esempi nel mondo sono già molti (in particolare il caso dell’11 settembre 2001), ma anche in Italia abbiamo avuto evidenza di crisi di grave portata con il terremoto che ha impattato un territorio produttivo come quello dell’Emilia Romagna.

Già il terremoto de L’Aquila aveva scosso molti animi per la complessità della gestione della crisi, ma il terremoto in Emilia ha avuto ripercussioni molto gravi anche da un punto di vista strettamente economico e ha dato vita a una riflessione ampia sulla necessità di mettere in Sicurezza il territorio tenendo in considerazione anche i modelli organizzativi per la gestione della continuità operativa. Con il contributo del Dr. Joseph F. Bruno – Commissioner del New York City Office of Emergency Management abbiamo provato a capire quali potrebbero essere gli impatti di una crisi sul territorio di una città di importanza sistemica come Roma. Fortunatamente, in virtù di una conoscenza iniziata anni fa, godiamo dell’amicizia e della stima di un’eccellenza mondiale nel Crisis Management come Joseph Bruno. Siamo stati più volte a visitare la sua organizzazione in passato e tuttora abbiamo un dialogo costante con la sua struttura per condividere temi e criticità. Il modello operativo proposto dalla città di New York prevede che una crisi debba essere gestita non solo dalle istituzioni e dalle forze dell’ordine, che logicamente hanno comunque il compito di coordinare tutti gli attori coinvolti nel processo di prevenzione e reazione, ma anche dal tessuto economico e sociale del territorio.

New York ha capito che la partnership pubblico-privato è essenziale a questo scopo. Pertanto, l’Office of Emergency Management ha razionalizzato i settori economici della città in una ventina di categorie aventi rappresentanza nella Sala Crisi del Municipio. Inoltre, ha affidato a ciascuno di questi settori il compito di prevedere uno specifico piano di gestione della crisi che tenga conto delle possibilità delle Istituzioni e soprattutto delle necessità degli altri settori. Associazione HI CARE ha l’obiettivo di realizzare questo livello di partnership anche in Italia, chiaramente adattando il modello alle caratteristiche proprie del nostro tessuto economico e sociale. Siamo convinti che ogni organizzazione – a prescindere dalle dimensioni e dall’ambito di appartenenza – possa rivelarsi una risorsa per la gestione degli incidenti attraverso la pianificazione e la preparazione. In caso di crisi sistemica grave (ad esempio: terremoto, attacco terroristico, attacco DoS – Denial of Service, ovvero un’interruzione generata dal cybercrime, ecc.), le forze dell’ordine hanno delle priorità e non possono salvare tutti. Per questo motivo le aziende si devono attrezzare e devono provvedere attivamente alla Sicurezza del proprio staff, dei propri asset e del territorio circostante tenendo in forte considerazione le fasce deboli della catena sociale (asili, ospedali, ecc.). Molto è già stato fatto, ma rimane ancora tantissimo da fare: Associazione HI CARE intende quindi avere un ruolo proattivo nella facilitazione di progetti che identifichino nella partnership pubblico-privato il modello ideale per la gestione della crisi.

ASSOCIAZIONE HI CARE

Associazione HI CARE si propone di sviluppare e promuovere il concetto di Social Continuity® intesa come l’implementazione di un modello di gestione delle crisi che integri i contributi del maggior numero possibile di soggetti, pubblici e privati, e ne coordini le fasi operative. Il punto di partenza è la consapevolezza che l’eccellenza individuale, in caso di crisi, si dimostra insufficiente.

L’Associazione vuole essere riconosciuta a livello nazionale ed internazionale dai professionisti di aziende, associazioni pubbliche e private ed Istituzioni come punto di riferimento culturale, organizzativo e strategico per lo sviluppo di Piani di Crisi Territoriali Integrati in collaborazione e a supporto delle Istituzioni e della Società.

http://www.hi-care.eu

A cura di Gianna Detoni, Presidente di Associazione HI CARE

Articolo pubblicato sulla rivista ICT Security – Giugno 2014

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy