Scoperte diverse vulnerabilità nello stack TCP/IP utilizzato da milioni di dispositivi IoT
12 Gennaio 2021
Cinque passaggi per fermare un attacco ransomware quando ogni minuto è decisivo – Parte 1
18 Gennaio 2021

La resilienza delle supply chain

Introduzione

Le “supply chain” o filiere di fornitura si sono ritagliate un ruolo sempre più importante nella gestione aziendale. Queste sono un pilastro fondamentale dell’economia globale, dal momento che mettono spesso in contatto organizzazioni in diverse parti del mondo, da diversi settori e di diversa grandezza. Esistono tantissime variabili che interessano una corretta gestione delle supply chain, che possono riguardare il personale, i processi o i dati di diverse aziende. Basti pensare ad attori che operano in due aree geografiche con diverse legislazioni in tema di privacy o a fornitori basati in regioni afflitte da forti eventi atmosferici.

Il 2020 è stato indubbiamente un anno con molte difficoltà e sfide per le filiere, con un evento avverso dominante – la pandemia legata al Covid-19 – e molti effetti domino che hanno richiesto uno sforzo inusuale, creando un vero e proprio “Worst Case Scenario”. Ad ogni modo, nonostante possa sembrare un cliché, è non solo possibile ma d’obbligo cambiare radicalmente la visione della gestione aziendale e delle supply chain in relazione agli eventi accaduti. Mentre molti vedono come obiettivo principale il ritorno alla normalità, vecchia o nuova che sia, sarebbe invece importante accettare l’incertezza del contesto aziendale.

Saper cambiare per essere resilienti

Secondo un’indagine del Business Continuity Institute, tre supply chain su quattro subiscono almeno un incidente all’anno (questo succedeva già prima della pandemia). Il parco minacce include tipologie di incidenti estremamente diverse, come gli attacchi cyber, incidenti IT, mancanza di personale qualificato, cambiamenti politici, nuove legislazioni ed eventi atmosferici[1], in aggiunta ai vari cambiamenti della domanda e delle esigenze di mercato. Al momento esistono inoltre infrastrutture critiche per i trasporti completamente digitalizzate che sfruttano l’esistenza di una intera copia digitale di tutti i propri impianti, qualcosa di impensabile solo all’inizio di questa decade[2]. Alla luce di tutto ciò viene decisamente da chiedersi se il concetto stesso di normalità sia poi così affidabile e utile.

Lo stato dell’arte per quanto riguarda lo studio della resilienza delle supply chain include diverse componenti, come la visibilità dei rischi della filiera, la capacità di reazione nel minor tempo possibile e, soprattutto, la flessibilità[3]. Avere la capacità di riconfigurare la propria supply chain durante un periodo interessato da profondi cambiamenti o shock è infatti una qualità imprescindibile per una rete di fornitori. Questo si è rivelato evidente durante la prima ondata della pandemia, dove grazie alla reattività di alcune supply chain è stato possibile trovare soluzioni alternative per la produzione di materiale sanitario, come ad esempio le mascherine prodotte tramite stampanti 3D. Ad ogni modo, tale dinamica può essere riscontrata anche in casi passati, con aziende capaci di riconfigurare le proprie filiere tramite sistemi di back-up, diversificazione e stretta collaborazione anche con alcuni clienti.

È questo, ad esempio, il caso di Boeing, che durante gli allagamenti del 2011 nel sudest asiatico fu in grado di mantenere attiva la produzione facendo leva sullo stretto rapporto tra l’azienda focale e i fornitori, garantendo una efficace alternanza di soluzioni all’interno della filiera. Notevoli capacità di riconfigurazione furono dimostrate anche da Dell Inc., capace di arginare (a differenza dei suoi competitor) una serie di scioperi del personale portuale negli Stati Uniti nel 2002 utilizzando il trasporto aereo, rendendo così la continuità operativa un vantaggio competitivo[4].

Nonostante si possa pensare che la flessibilità e la pianificazione siano agli opposti, non è questo il caso. La flessibilità della supply chain viene creata pianificando diverse alternative ai processi di produzione utilizzati, in maniera tale che la capacità di reazione ad un cambiamento o uno shock nel mercato venga massimizzata. Negli anni si sono sviluppati dei sistemi di gestione che si pongono proprio l’obiettivo di aiutare le aziende – e le loro supply chain – a navigare attraverso i mercati di oggi, dove ricercare la normalità può diventare uno sforzo inutile.

Questo è il caso del Business Continuity Management, che tramite una serie di processi, suddivisi in più fasi, supporta le filiere in diversi modi:

  • Fornisce un’analisi delle minacce e dei cambiamenti tramite tecniche di horizon scanning;
  • Aiuta l’azienda ad individuare i propri fornitori critici grazie all’analisi di impatto aziendale;
  • Forma il personale e lo sensibilizza verso tali problematiche con sessioni di awareness;
  • Punta a coinvolgere il top management nei programmi riguardanti la resilienza e la continuità operativa;
  • Fornisce una mappatura dei singoli punti di cedimento e dei dipartimenti da proteggere da possibili shock o cambiamenti.

Il beneficio portato da sistemi di BCM non è solo teoria. In una recente indagine sulle sinergie tra BCM e sostenibilità, è emerso che la business continuity aiuta ad avere anche una maggiore visibilità dei rischi di tipo Environmental, Social and Governance (ESG), che al giorno d’oggi interessano le filiere come non mai per questioni di salute e sicurezza, compliance e reputazione. Tale indagine ha anche rivelato che le aziende dotate di sistemi di BCM hanno subito meno l’impatto degli effetti della pandemia. Ovviamente, questo si applica soprattutto a chi segue in maniera più rigorosa le buone pratiche descritte negli standard internazionali[5].

Gli standard internazionali: il punto di Gianna Detoni, Project Leader della nuova ISO/TS 22318 sulla resilienza delle supply chain.

Le discipline di continuità e resilienza sono praticate da più di 30 anni. Tuttavia, solo recentemente hanno riscosso maggior interesse da parte delle organizzazioni che hanno realizzato, anche grazie a lezioni apprese da gravi interruzioni subite, che non possono fare a meno di queste importanti metodologie di tutela di tutti gli asset organizzativi.

Nel 2012 sono state emesse le prime ISO per la certificazione delle organizzazioni (ISO 22301 e ISO 22313). Entrambe sono già passate attraverso una revisione della Commissione Tecnica e sono state riemesse nel 2019 e nel 2020. A seguire, si è sentita l’esigenza di emettere le Specifiche tecniche relative ad aree della continuità e resilienza. Quindi, nel 2015 sono state emesse le ISO/TS 22317 (relativa alla Business Impact Analysis) e la ISO/TS 22318 (relativa alla Supply Chain Continuity). Entrambe queste technical specification sono oggetto di revisione quest’anno e la data stimata di emissione sarà nel luglio 2021. Molte altre negli anni sono state emesse per le esercitazioni, le strategie e le soluzioni di continuità, per la continuità delle persone. Ulteriori informazioni si possono trovare al link: https://www.iso.org/committee/5259148.html).

Avendo l’onore e il privilegio di rappresentare l’UNI e l’Italia nelle commissioni tecniche relative alle discipline di Continuità e Resilienza, ho partecipato e partecipo con PANTA RAY a tutti i lavori di emissione e revisione degli standard internazionali. Inoltre, quest’anno mi hanno nominato Project Leader della revisione della ISO 22318. La continuità della supply chain era un tema molto sentito già prima del 2020. Molte organizzazioni nel passato avevano infatti riportato gravi conseguenze proprio per interruzioni nella propria catena di fornitura. Quindi, si era sentita l’esigenza, e presa la decisione di revisionare la ISO/TS 22318 già a settembre 2019. È indubbio che il periodo storico che stiamo vivendo quest’anno ha portato il tema della continuità della supply chain sui tavoli del top management e sicuramente tutti i cambiamenti effettuati nello standard internazionale saranno molto utili agli stakeholder – ai team di business continuity, al procurement, ai titolari dei processi di supporto e di business e al top management – per applicare una metodologia che assisterà in questo complesso controllo indiretto che tutte le organizzazioni devono esercitare per tutelare il proprio business e i propri clienti in caso di interruzioni della catena di fornitura. Nella nuova ISO/TS 22318 ci siamo molto concentrati sia sulla parte upstream che downstream della supply chain, tenendo presente non solo il primo livello (tier 1), ma gli altri livelli (tier 2, 3 ecc.) per eventuali interruzioni dei fornitori dei nostri fornitori. Abbiamo anche migliorato la metodologia, semplificando il processo di presupposti e di azioni da compiere. Abbiamo applicato l’esperienza acquisita in questi anni (inclusa la pandemia) e inserito delle appendici con esempi pratici relativi, ad esempio, ai questionari da inviare ai fornitori, alle azioni da eseguire durante una crisi, alle possibili esercitazioni da eseguire con i fornitori.

Il controllo della continuità dei fornitori non è semplice e sono fermamente convinta che senza una metodologia le organizzazioni saranno in difficoltà in caso di crisi e interruzioni nella supply chain.

 

Note

[1] BCI Supply Chain resilience Report 2019. The BCI. 2019.

[2] https://www.start4-0.it/

[3] Christopher and Peck, 2004.

[4] Resilience Strategies for Complex Supply Chains. PANTA RAY. 2019

[5] Business Continuity and Sustainability Report 2020. PANTA RAY. 2020.

 

Articolo a cura di Gianna detoni e Gianluca Riglietti

Gianna Detoni, Presidente PANTA RAY e BCI Global Industry Personality 2017

Con un passato nella gestione della Risk Resilience in JPMorgan Chase, Gianna Detoni è Presidente e Fondatrice di PANTA RAY, società leader nella consulenza e formazione in ambito continuità e resilienza.

È considerata uno dei massimi esperti internazionali in queste materie. Per questa ragione il Business Continuity Institute (BCI) l’ha eletta ‘Global Continuity & Resilience Industry Personality of the Year 2017’.

Nel ruolo di BCI Approved Instructor, ha dato un importante contributo alla realizzazione dell’attuale edizione delle Good Practice Guidelines del BCI, il testo di riferimento per i professionisti di continuità e resilienza.

Inoltre, Gianna è spesso ospite di importanti conferenze e tavole rotonde internazionali come esperta nelle tematiche di sua competenza.

Gianluca Riglietti si occupa dello sviluppo di ricerca e contenuti nell’ambito della continuità operativa e della resilienza. La sua esperienza include la gestione end-to-end di progetti di ricerca su scala globale per aziende ed enti come BSI (British Standards Institutions), Zurich, Siemens, Everbridge, Regus e SAP. È inoltre molto attivo nella diffusione della cultura di continuità operativa, tramite la regolare partecipazione ad eventi e webinar su scala globale.

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy