430, 165, 251, 541, 1346, 1489, 1528, 1816, 1829, 1863, 1899, 1918, 1957, 1968, 2009 e infine 2020.
Non sono numeri legati all’informatica, sono le date nelle quali si sono sviluppate pandemie nel corso della storia umana documentata e documentabile. In termini di Sicurezza sono date che descrivono la pandemia o la sua variante “epidemia” come minacce concrete in un quadro di rischio definibile.
Sappiamo che 20 anni fa l’allora Presidente Bush chiese uno sforzo finanziario di parecchi miliardi al congresso americano per combattere gli effetti della “prossima” pandemia. E come dimostra la nostra esperienza di questi ultimi anni, non era questione di “SE“, ma di “QUANDO“.
Allo stesso modo la Crisi Energetica attuale che ha tra i fattori scatenanti il conflitto ucraino non è una crisi inattesa; c’erano state altre crisi in passato, si conosceva la delicatezza della situazione russo/ucraina, si era coscienti dell’impossibilità di rinunciare al gas russo e la propria dipendenza dal nucleare e dalle materie fossili, quantomeno nel breve/medio periodo.
Eppure ancora una volta sembra caderci tutto sulla testa. Sembra che ancora una volta nessuno abbia un piano B pronto, non si pretende che sia perfetto, ma quanto meno pronto.
Ha senso parlarne in uno spazio dedicato alla Sicurezza?
Assolutamente!
Photo by Acton Crawford on Unsplash
Come abbiamo scritto nell’articolo dedicato alla gestione del rischio, la Sicurezza parte dalla valutazione del rischio e quindi supportata da adeguate e specifiche professionalità non può che occuparsi di minacce o almeno dovrebbe.
Se esiste una valutazione del rischio terroristico o di attacchi informatici, per quale motivo non dovrebbe esserci una valutazione del rischio pandemia o energetico?
In un’azienda il rischio malattia o indisponibilità del personale è un elemento di valutazione, un possibile black-out è un elemento di valutazione, il rischio di allagamenti è parte delle valutazioni durante la progettazione del sistema informatico; una nazione è solo un’azienda più grande e non dovrebbe farsi trovare impreparata perché come ricorda un adagio popolare americano, non particolarmente fine, “Shit Happens“, traducibile con un educato “le cose brutte capitano”.
Certe, che prima o poi qualcosa accada, le aziende virtuose preparano due piani di azione:
- Business Continuity;
- Disaster Recovery.
In linea di massima questi piani sono preceduti da una fase di indagine durante la quale vengono raccolti i dati sulle minacce, sulle contromisure ed elaborati i profili di rischio. Se il profilo di rischio è alto, allora viene elaborato un piano attraverso:
- una fase di pianificazione che serve a preparare l’azienda a implementare i cambiamenti necessari;
- una fase di attuazione nella quale si mettono in atto i cambiamenti programmati (ad esempio installare dei gruppi elettrogeni);
- una fase di verifica utile a mantenere efficaci i piani del tempo, al passo con le nuove minacce e le nuove contromisure;
- una fase di correzione che serve per aggiornare i piani.
Fatta salva la fase di indagine che è preliminare e non necessariamente porta a dover implementare un piano, un modello di riferimento per la creazione dei piani di BC (Business Continuity) e DR (Disaster Recovery) è quello utilizzato nelle certificazioni ISO 27001, chiamato Ciclo di Deming: Pianifica (Plan), Fai (Do), Verifica (Check), Agisci (Act)
Detto come si creano non è difficile immaginare quale ne sia lo scopo.
Non appena si manifesta l’incidente il piano di Business Continuity ha il compito di impedire il blocco dell’azienda individuando quelle attività che assolutamente non si devono fermare, quelle che possono essere ridotte e quelle che sono puramente accessorie e quindi possono essere bloccate per ridistribuire risorse verso le attività fondamentali.
Una volta garantita la continuità aziendale scatterà il piano di Disaster Recovery che ha il compito di riportare l’azienda allo stato pre-incidente e quindi ad operare normalmente.
Questa è la teoria, nella pratica questi piani vengono raramente implementati a livello aziendale e ancora più raramente a livello politico e le ultime crisi lo hanno dimostrato in maniera inequivocabile. La Sanità Ticinese e Svizzera ha reagito bene all’emergenza Covid, ma ha reagito a crisi ampiamente iniziata e questo è costato vite umane. La politica ha reagito abbastanza velocemente, poi si è persa; ha cominciato a fare valutazioni lecite, ma che hanno causato ritardi e confusione.
Prendete ad esempio la riapertura delle attività di ristorazione di maggio 2020 e la “improvvisa” chiusura nel dicembre successivo.
Photo by Mick De Paola on Unsplash
Se io so oggi che domani devo chiudere, tutti i miei piani vanno all’aria, sarò impreparato, ma se sapessi oggi che tra 6 mesi dovrò probabilmente chiudere, avrei tempo di prepararmi. Potrò far accumulare ferie ai dipendenti, potrò programmare dei lavori che ho sempre rimandato, potrò contrattualizzare forniture su basi diverse.
Se so oggi di dover pagare, domani, 5.000 franchi, potrei andare in crisi, ma se sapessi di doverlo fare tra qualche mese comincerò a risparmiare per avere la cifra pronta. Avrò una perdita, ma programmata.
Questi ultimi due esempi presi dalla vita quotidiana ci dicono quanto sia fondamentale essere pronti. Business Continuity e Disaster Recovery non possono essere concetti meramente aziendali, le scelte politiche non possono essere prese nel mezzo di una crisi perché oggi una minaccia vola in poche ore da una parte all’altra del mondo e ci troverebbe ancora una volta indifesi che sia un virus, un malware informatico o una carenza di gas.
Header Photo by Edwin Hooper on Unsplash
