Di solito ben pochi si interessano al problema della continuità operativa, finché non ci ritroviamo in situazioni come quella attuale.

Anche le aziende che ritenevano di avere implementato piani esaustivi possono scoprirsi vulnerabili, di fronte alla rapida diffusione del nuovo Coronavirus (COVID-19) e alla conseguente pandemia globale. Ben pochi avrebbero previsto l’enorme portata e/o la rapidità degli sconvolgimenti che hanno determinato l’interruzione delle supply chain globali o gli ordini di lockdown che hanno costretto le aziende a utilizzare la propria forza lavoro da remoto, praticamente dall’oggi al domani.

E quindi, quali insegnamenti si possono trarre da questa esperienza per aiutare le aziende a prepararsi per affrontare ulteriori incertezze, nell’immediato futuro e negli anni a venire? Di fronte a eventi destabilizzanti come quelli di oggi, le imprese devono aumentare la propria resilienza. La storia ci insegna che le pandemie, come quella del COVID-19, si sviluppano a ondate, pertanto è ragionevole prevedere ulteriori sconvolgimenti futuri.

Basandoci sulla nostra esperienza nella pianificazione e nella preparazione della continuità operativa, abbiamo individuato una serie di misure che le aziende possono adottare fin da ora:

  • Valutazioni del rischio. Si tratta di un’analisi che aiuta le imprese a identificare i processi e le risorse critiche per le loro attività di base, come una sorta di triage dei pazienti in un ospedale. Senza queste informazioni essenziali, è impossibile individuare le aree in cui concentrare le risorse aziendali a mano a mano che la crisi peggiora.
  • Pianificazione della catena di comando. Tutte le imprese dovrebbero formare un team di gestione della crisi, per definire una catena di comando in ogni singola area a rischio. In condizioni normali, il Consiglio di Amministrazione definisce un piano di successione per le figure più importanti. La definizione di una catena di comando deve penetrare molto più a fondo nell’organizzazione, identificando i ruoli funzionali chiave e le persone che dovranno ricoprirli, per evitare di trovarsi senza leader qualora le persone incaricate dovessero assentarsi improvvisamente, come sta avvenendo oggi.
  • Coordinamento di monitoraggio e risposta. Le aziende che operano su scala globale dovrebbero anche monitorare gli avvisi e rispondere come necessario. In una situazione di pandemia, che può dare luogo a uno sconvolgimento su vasta scala, l’attivazione di un piano di continuità basato sul primo evento scatenante può aiutare l’azienda a procurarsi le risorse critiche per continuare a lavorare, che potrebbero diventare introvabili a mano a mano che la situazione peggiora, e a riorganizzare i dipendenti in modo da ridurre al minimo le interferenze qualora fosse necessario chiudere o spostare uffici, call center o altri spazi condivisi. Molte aziende predispongono piani di continuità con i provider di servizi, al fine di creare ambienti d’ufficio remoti utilizzabili in caso di emergenza, che possono essere costituiti da strutture dedicate o da spazi multi-tenant condivisi. In situazioni come quella attuale, le aziende che hanno stipulato un contratto per una struttura dedicata possono avvalersi di questa risorsa. Le strutture condivise, oltre a risultare meno idonee in caso di pandemia, potrebbero semplicemente non essere disponibili.
  • Valutazione dei rischi di sicurezza informatica. In qualunque situazione di crisi le aziende devono prepararsi anche ad affrontare un aumento degli attacchi informatici. Nel report globale sulla Threat Intelligence di DXC pubblicato in aprile viene stimato che l’80% del panorama attuale delle minacce sfrutta il COVID-19 come tema per gli attacchi. Le aziende che sono state improvvisamente costrette ad adottare metodologie di lavoro remoto sono particolarmente a rischio. I dipendenti abituati a lavorare nell’ambiente protetto dell’azienda si trasformano in un obiettivo per sofisticati attacchi di phishing e altri schemi con lo scopo di rubare credenziali e penetrare nei sistemi aziendali. Spiegare ai dipendenti come gestire queste minacce è fondamentale per evitare di peggiorare una situazione già abbastanza difficile.
  • Pianificazione del ripristino di emergenza. In una situazione come questa le aziende dovrebbero anche rivedere i propri piani per il ripristino di emergenza, incluse le procedure adottate per la creazione delle copie ufficiali delle applicazioni e dei dati critici, memorizzate in postazioni offline protette. In caso di violazione della sicurezza tali dati protetti diventano essenziali per pianificare il ripristino del data center e possono essere utilizzati per ripristinare i sistemi di produzione e i dati compromessi.

 

Nessuno può prevedere gli ulteriori sviluppi della pandemia attuale e molte aziende si stanno concentrando completamente sulla sopravvivenza di base, ma vale la pena di fermarsi un attimo a riflettere su come prepararsi ad affrontare quello che deve ancora succedere. Qualunque cosa sia.