continuità operativa

Continuità operativa e coronavirus. Come fare?

Per anni le organizzazioni si sono poste il problema di come sopravvivere qualora venisse meno il proprio sistema informatico per garantire la continuità operativa. Più raramente hanno affrontato il rovescio della medaglia. Cioè come assicurare la continuità quando resta soltanto il sistema informatico.

Di certo l’emergenza Coronavirus ha posto la questione proprio in questi termini con risultati che potremo misurare soltanto quando tutto sarà passato. Di certo per molte realtà si tratta di uno “stress test” senza precedenti.

Un esempio di continuità operativa

A riguardo è chiara l’esperienza che stanno vivendo le università di tutta Italia. Nel giro di meno di una settimana migliaia di docenti e milioni di studenti si sono ritrovati tutti insieme appassionatamente su varie piattaforme di formazione a distanza.

Nonostante un carico di traffico senza precedenti, non senza difficoltà e disservizi di vario genere, il sistema ha retto.

La prima considerazione, quindi, riguarda:

  • La necessità di prevedere un’adeguata capacità dei sistemi in grado di tollerare alti carichi di lavoro.
  • La capacità di prevedere delle procedure che consentano di ottimizzarne l’utilizzo.

Quello delle università è un caso emblematico. Ciò perché le iniziali difficoltà delle piattaforme erano il più delle volte determinate dalla contemporaneità delle connessioni dei docenti che registravano le proprie lezioni.

Per un passaggio “indolore” probabilmente sarebbe bastato contingentare le attività aziendali. Un secondo tema che l’epidemia ha posto con forza è quello della filiera del mondo “reale”.

Nel momento in cui le misure di contenimento sono diventate fortemente restrittive. In tema di continuità operativa. Le aziende che producono beni materiali hanno dovuto guardare in faccia lo spettro del blocco.

Mentre per quelle considerate essenziali (pensiamo all’agroalimentare) si sono levate le legittime proteste dei lavoratori che si trovano in una inevitabile situazione di rischio.

Quando tutto sarà finito, il tema dell’automazione e soprattutto del controllo dei sistemi da remoto sarà un tema di cui molto si discuterà. E’ facile immaginare che entrambi i fronti (imprenditoriale e sindacale) avranno molto di cui discutere. Imprese fortemente digitalizzate avrebbero potuto consentire la minimizzazione della forza lavoro presente fisicamente sul posto di lavoro.

Cyber security e IoT

Chiaramente, in una situazione di normalità questo potrebbe determinare una riduzione del personale necessario per la produzione. Però si pone immediatamente un’altra questione che, facile intuirlo, è legata alla diffusione dell’Internet delle Cose.

Se veramente il Coronavirus produrrà una violenta accelerazione nella diffusione di sistemi industriali per la gestione e il controllo della produzione, come gli ICS e gli SCADA, governabili da remoto.

Quindi tramite la Rete, ecco che il tema della cyber security in questo settore diventerà una problema non trascurabile.

La superficie di attacco di aziende storicamente poco interessate al tema diventerà enorme ed esporrà all’esterno i loro “organi vitali”. Anche la nuova Direttiva Macchine si sta muovendo in tal senso.

La situazione può essere estremamente pericolosa proprio perché si tratta di realtà che non hanno ancora maturato alcuna consapevolezza in materia. Quindi stenteranno a comprendere quanto la cyber security sia essenziale.

Si troveranno ad affrontare investimenti significativi in termini di tecnologia. Facilmente cercheranno di risparmiare. La storia delle tecnologie dell’informazione insegna che, curiosamente, è proprio la sicurezza quella dove si cercherà di “tagliare”.

Tra dieci anni se commetteremo questo errore ci sarà un altro virus che farà danni paragonabili a questo, soltanto che sarà informatico e, probabilmente, comprometterà la continuità operativa delle aziende.

Il rischio di discontinuità dovuto alla pandemia

Il rischio di discontinuità dovuto a pandemia è stato quindi spesso sottovalutato nelle “Business Impact Analysis” delle organizzazioni. Ciò in quanto, il pur elevato impatto si combinava sempre con una bassa probabilità di accadimento (basata su dati storico-statistici). Facendo quindi diminuire l’importanza e l’urgenza delle azioni da mettere in campo a contrasto.

All’inizio del 2020, con l’entrata in scena del Coronavirus, il mondo è cambiato forse irreversibilmente. A partire dalla consapevolezza delle persone, siano essi cittadini, lavoratori, imprenditori, governanti.

Tutti indistintamente ci siamo resi conto che per evitare danni maggiori rispetto a quelli subiti semplicemente per non aver diffuso immediatamente l’allarme del contagio. Bisognava innanzitutto rimanere a casa. Il cosiddetto “distanziamento sociale”. Questo chiaramente per i fortunati che se lo potevano permettere.

Ancora, seguire le linee guida, e mandare al contempo al fronte un esercito eterogeneo. Fatto di medici e infermieri in trincea.

Ma anche di poliziotti e vigili. Farmacisti, autisti di mezzi pubblici e commessi di supermercati in seconda linea. Paragoni e terminologia bellica adottati nel seguito suonano tragicamente appropriati.

Il peggior incubo di un generale: non sapere quanti soldati e quali armi ha il nemico, neppure esattamente dov’è.

La continuità operativa come atteggiamento gestionale

E qui veniamo al concetto di “continuità operativa”. Che nel mondo ISO (International Organization for Standardization) è formalmente definito in modo chiaro. Si tratta della “capacità di un’organizzazione di mantenere la consegna di prodotti e servizi a livelli accettabili predefiniti a seguito di una interruzione”.

In altre parole. La continuità operativa corrisponde a un “atteggiamento gestionale”. Questo valuta il rischio di accadimento di interruzioni “produttive” dovute alle minacce cui è sottoposta l’organizzazione.

Questa predispone delle strategie di contenimento e contrasto. Mettendo a disposizione con anticipo (cioè in “tempo di pace”) le risorse (umane e materiali). Nonché le informazioni e le procedure.

Nell’ipotesi di pandemia un’organizzazione deve garantire:

  • La ridondanza delle risorse umane. In termini di quantità e di competenze. Sia per non abbandonare la trincea (il processo primario). Che per non far mancare l’appoggio dalle retrovie (i processi di supporto).
  • L’accesso ad infrastrutture produttive o di servizio alternative.
  • La disponibilità di fornitori alternativi, in caso di “default” dei principali.
  • Un adeguato dimensionamento delle scorte, per gestire i primi momenti di interruzione fino al ristabilimento della supply chain.
  • La definizione di canali e di modalità di comunicazione adeguate all’evento, perché l’informazione è uno strumento vitale per fronteggiare le crisi.

L’esperienza di questo periodo

Senza essere esperti di piani di business continuity. Abbiamo così sperimentato sulla nostra pelle di cittadini l’esigenza di avere in casa una linea Internet per “restare connessi” e fare smart working.

Una scorta di legumi, latte e farina. Ancora, una bottiglia di Amuchina … tutto ciò che etichettavamo come “manie” di un nonno esageratamente previdente. E’ ora diventato in alcuni casi il rimpianto di “non averci pensato prima”.

Anche gli ospedali e le comunità: come hanno rimpianto di non avere scorte di mascherine o di bombole di ossigeno, presto diventate merce rara per l’indisponibilità sul mercato.

E il Governo, e la Protezione Civile. Solo la grande capacità italiana di dare il massimo nei momenti più bui ha consentito di radunare in un giorno una task force di 300 medici con 7.900 candidature. In un momento in cui montava la polemica per i troppi medici mandati in trincea con la sola mascherina.

Anche le imprese sono dovute correre ai ripari non tanto per mantenere l’operatività, ma anche solo per non affondare.

Abbiamo partecipato senza orario al lavoro corale di definizione. Nonché alla applicazione di regole operative emergenziali. Queste ci hanno permesso di continuare a prestare i nostri servizi e a dare risposte ai clienti.

Quale lezione lascerà il Coronavirus sul tema della “continuità operativa”

Sicuramente la consapevolezza di dover individuare anticipatamente gli scenari di interruzione che possono verificarsi nella nostra organizzazione, valutandone il peso e l’impatto. Di conseguenza, pianificare la risposta per non restare schiacciati dall’evento e riuscire a governare la continuità. Da ultimo, ma non meno importante, a riconoscere anticipatamente i prodromi dell’evento per attivare, rapidamente, la risposta.

La formazione in materia di continuità operativa

Tra vari compiti che assumono i responsabili della continuità aziendale. Che in inglese viene chiamata business continuity management system. Vi è la previsione di varie tipologie di eventi, che possono avere  impatto sulla continuità operativa.

Un evento che spesso non viene preso in tempestiva considerazione è proprio il rischio di malattie. Queste possono. Anche senza raggiungere il livello di pandemia. Coinvolgere la continuità operativa dell’azienda.

Nei corsi di formazione per specialisti della security. Un apposito modulo è dedicato proprio a questi temi ed una specifica esercitazione prende in considerazione l’eventualità di una infezione alimentare in sala mensa.

Per permettere di inquadrare e gestire tempestivamente questi eventi, è a disposizione una lista di controllo per attivare un piano di gestione dell’attuale situazione pandemica. La lista viene presentata in Word, per facilitarne la compilazione e l’aggiornamento.

Conclusioni

Dopo l’esperienza fatta crediamo che per tante aziende. In particolare per quelle certificate iso 9001. Possa essere considerata prioritaria l’adozione di piani di disaster recovery per intervenire a seguito di un incidente.

In generale di un piano di continuità operativa deve essere tenuto in costante aggiornamento per migliorare continuamente i vari processi aziendali.

Confidando che questa lista possa costituire un modesto contributo a ridurre, almeno in parte, l’impatto della pandemia sull’ambiente vi invitiamo a scaricarla cliccando sul pulsante di seguito!