Strategie

AssetProtection. La protezione del business non può essere low cost

di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) |

Un progetto di continuità operativa è l’occasione per far ragionare assieme gli esperti di Security e Business Continuity con quelli del business sulle possibili minacce ed opportunità, che vanno colte

L’altro giorno, parlando con un collega, ho appreso che una banca aveva chiesto tempo fa ad una importante società di revisione di redigere i suoi piani di continuità operativa. I vincoli assegnati erano tempi strettissimi e un importo molto basso, non essendo tale spesa a budget (possibile?). La società di revisione si è rivolta ad una azienda chiedendo se potesse, vista la sua recente esperienza in un’altra banca, condurre la business impact analysis (BIA), il risk assessment e redigere i piani di continuità: ciò possibilmente entro due mesi dall’assegnazione dell’incarico. La società rispose positivamente avendo già pronto un Business Continuity Plan da poter adattare a questo nuovo soggetto (Sic!). Non solo, ma, avendo un prodotto fatto in Excel (ma va!) per raccogliere le necessarie informazioni, poteva contenere i tempi e i costi entro l’obiettivo assegnato (ma che bravi!!).

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Questa società, ottenuto l’incarico di subappalto, reperì un consulente free-lance ai fini di eseguire il lavoro presso la banca in questione.

Che dire?

È per pura combinazione che proprio su questa rubrica un nostro socio afferma quanto segue: “Come se non bastasse, le aziende che cercano risultati veloci, piuttosto che un metodo strutturato di lavoro, incrementano l’esposizione del mercato alla libera circolazione di oggetti low-cost: componenti di modelli organizzativi e sistemi di gestione preconfezionati come risk analysis, piani di continuità ed altro materiale già pronto”.

Ma l’Autore credo non si riferisse ad una banca di un certo rilievo!

Vorrei spendere le prossime parole per cercare di far comprendere che errore compiono le imprese che si comportano in questo modo: cioè omettendo di citare al primo posto il mancato rispetto degli azionisti, della clientela e, non ultimo, della vigente normativa emanata dalla Banca d’Italia.

Inizio con alcune domande che vengono spontanee:

  • Si sono mai viste due aziende perfettamente uguali?
  • Possono essere due banche, non appartenenti ad uno stesso gruppo, di diversa dimensione, posizionate in regioni diverse, talmente uguali che l’approccio alla protezione del business, alla gestione degli incidenti, ed in generale alla resilienza sia lo stesso identico?
  • Possono due imprese condotte e gestite da persone differenti, con una differente cultura ed approccio al rischio, avere in comune come prevenire le minacce, sfruttare le possibili opportunità, intervenire in caso di grave disastro, comunicare all’interno e all’esterno in modo efficace ai propri stakeholder?

Io credo che, volendo “pensare bene”, oltre ai motivi citati dal nostro socio, ci sia in generale una forte ignoranza relativamente ai risultati che un corretto ed efficace programma di business continuity possa offrire ad una impresa e in generale ad una organizzazione.

Un progetto o programma di continuità operativa incentra l’attenzione del business sui prodotti e servizi più rilevanti per l’intera organizzazione. Si analizzano con le business unit gli effetti sui processi di business derivanti da un cambiamento nei valori attesi (volumi, qualità, tempi di consegna, eccetera): ciò indipendentemente da quali possono essere le cause.

Non si tratta di un’analisi delle sole minacce, ma di possibili minacce ed opportunità.

Tanto per far capire, ecco un esempio banale: nel corso delle interviste si discutono anche i possibili effetti di un utilizzo oltre ogni auspicata attesa di un sistema o prodotto innovativo. Come sappiamo, un eccesso di richiesta può comportare il blocco e quindi il fermo di una applicazione. In questo caso vi sono lamentele e l’esperienza insegna che le proteste finiscono anche sulla stampa. Pertanto, se l’organizzazione non è pronta anche a gestire questi eventi, positivi, l’opportunità può essere persa e addirittura divenire un danno. Non a caso, ricordo, che in letteratura si menziona continuamente l’attenzione alla reputazione.

La prevista analisi dei rischi, che viene eseguita prima o dopo la BIA, una volta individuati i processi più critici per l’organizzazione, è purtroppo generalmente un’analisi di minacce e non, come detto prima, anche di opportunità.

È soltanto nella fase chiamata di trattamento del rischio che insieme ad ogni singola business unit viene interessato il vertice aziendale e si prendono le dovute decisioni. Successivamente si scrivono assieme all’azienda le istruzioni, facili, semplici, condivise, su come operare qualora dovesse avvenire un evento che cambia, o che modifica, l’obiettivo atteso. Le istruzioni vanno scritte tenendo ben presente gli utilizzatori (non si usa dire: “parla come mangia il tuo uditorio”?).

Ciò che si ode nelle aziende che hanno operato un progetto di continuità operativa è che sono stati analizzati tanti possibili rischi, intesi però come minacce tese a bloccare o ad impedire la produzione e il servizio, e relative alle conseguenze su beni quali le infrastrutture, i siti, le persone, i documenti. Raramente si sente parlare del rischio informatico, essendo questo trattato dall’ICT (così come il disaster recovery management). Ma sappiamo che se un attacco informatico blocca dei processi altamente critici, può non essere sufficiente un disaster recovery, ma è necessario che le business unit coinvolte intervengano in qualche modo e, generalmente, manualmente per limitare i danni. Se queste business unit non hanno un adeguato piano già predisposto e non hanno operato delle esercitazioni onde verificare la bontà dei piani e comprenderne il contenuto, una eventuale indisponibilità dell’ICT può avere conseguenze disastrose.

A questo proposito, possiamo riflettere su alcuni dati sottomano e relativi ad una recente indagine della IBM (2015 IBM cybercrime security intelligence index):

  • Gli incidenti nel settore finanziario ed assicurativo sono sempre in testa ed anche aumentati in un anno rappresentando, nel 2013 il 23,80% del totale, ma il 25,3% l’anno successivo;
  • Ben il 55% degli incidenti sono avvenuti a causa di persone aventi accesso ai sistemi dall’interno, vuoi volutamente o per errore: ciò chiaramente deve far riflettere, ripensando a quanto detto prima; l’organizzazione va compresa e le opportune misure tarate su di essa.

Un progetto di continuità operativa è l’occasione per far ragionare assieme gli esperti di Security e Business Continuity con quelli del business sulle possibili minacce ed opportunità (da cogliere!).

Una organizzazione non può perdere una simile opportunità!  Il piano di azioni non può essere un copia ed incolla di “moine”!  Per favore!