BCI (Business Continuity Institute) Italian Forum 2015

 

il 17 novembre si è svolto a Milano il 2° convegno annuale del BCI Italian Forum. L'incontro ha avuto come focus due tavole rotonde incentrate sul tema:

 * Circolare 285/15 (ex 263/06) Bankit, Direttiva 2009/138/CE “Solvency II” e Regolamento ISVAP n. 20/2008 - Sfide per la Continuità Operativa del Mondo Finanziario e Assicurativo

 

* Norma ISO 22301:2012 & BCI Good Practice Guidelines - Il Valore Aggiunto di un Sistema di Gestione della Continuità Operativa conforme a Standard e Best Practice Internazionali

 

Dagli interventi sono emerse interessanti spunti di riflessioni, che, riportando le parole di Susanna Buson (moderatrice della 1° tavola rotonda) devono essere "cibo per la mente" per far crescere la cultura della business continuity.

 

Seppur decontestualizzati, di seguito riporto alcuni elementi emersi nelle due tavole rotonde.

  • Norme e regolamenti devono essere un aiuto all'Organizzazione e nonl'obiettivo per assicurarsi la continuità di fornitura.
  • La misurazione della sensibilizzazione/consapevolezza sulla BC può avvenire inserendo nella scheda di valutazione annuale anche gli elementi di BC (oltre a quelli std e sulla safety).
  • Essendo la BC un elemento trasversale all'azienda diventa indispensabile l'utilizzo di una terminologia comune (con riferimento alla norma ISO 22301).
  • Implementare un progetto di continuità operativa richiede di mappare e analizzare l'Organizzazione per "processi" (il lavorare per silos è dispendioso sia a livello di energie sia a livello economico); - Inoltre occorre tener ben presente due aspetti: quello strategico del Top-Management e quello della cultura aziendale.
  • Si è parlato anche di costi, o meglio di investimento poiché tutti hanno convenuto che "è un costo non avere un Sistema di Gestione di Business Contunuity" - Una delle sfide maggiori per il Business Continuity Manager sarà quella di "fare di più a parità di costo" (cioè essere più efficienti).
  • Nelle PMI, è emerso che la difficoltà maggiore è creare al proprio interno figure/ruoli dedicati alla BC.

In riferimento alle ultime tre affermazioni evidenzio che implementare un progetto di continuità operativa aziendale consente di razionalizzare i processi aziendali con una conseguente riduzione degli sprechi (minor costi sostenuti dall'Organizzazione) - Diventa pertanto utile (o meglio indispensabile) farsi supportare da un professionista con comprovata esperienza e possibilmente certificato. Questi due elementi sono una prima discriminante fra l'essere un "espertone" di BC o un professionista qualificato e certificato.

 

Nella giornata piacevole sorpresa fattami dal board del BCI Italian Forum è stato ricevere una targa riconoscimento con la seguente motivazione:

"la passione e costanza con cui ho portato i miei contributi sugli argomenti di Business Continuity trattati nell'anno all'interno del forum".

C'è ancora tanto da fare, per chi volesse entrare a far parte di questa comunità può iscriversi al forum www.thebci.it/

 

di seguito l'intervista https://youtu.be/QnNizjhzpHQ 

 

 

Cyber Security: prepariamoci all'impatto

 

il 1° Ottobre si è concluso a Verona il "Security Summit 2015" promosso da Clusit (Associazione Italiana per la Sicurezza Informatica).

Nel rapporto sulla sicurezza ICT in Italia aggiornato a Settembre 2015, dopo un'attenta analisi sono evidenziati i settori, che tendenzialmente, saranno maggiormente soggetti ad essere attaccati, che sono:

  • Social Network: le piattaforme del Social Networking saranno utilizzate non solo, come già avviene, come uno dei principali vettori di attacco per la diffusione di malware e per effettuare frodi basate su social engineering, ma anche come campo di battaglia nella lotta tra governi ed organizzazioni terroristiche. In questa ottica, gli utenti saranno oggetto di crescenti attività di psychological warfare e di perception management su larga scala.
  • POS, il tallone d'Achille del Retail : data la fragilità intrinseca dei sistemi POS rispetto all'evoluzione delle minacce occorse nel 2014, la difficoltà oggettiva nel sostituirli rapidamente e la facilità con i quali i criminali possono monetizzare questo genere di attacchi, questi apparecchi saranno sempre più bersagliati.
  • Internet of Things, il prossimo bersaglio : il rapidissimo sviluppo di device "smart" connessi in Rete, dai sensori per la domotica, agli elettrodomestici intelligenti alle automobili, non corrisponde ad oggi l'adozione di misure di sicurezza adeguate. Questo nuovo fronte di sviluppo dell'ICT sarà oggetto di crescente attenzione da parte di criminali e malintenzionati in genere, elevando in modo significativo il livello di rischio per aziende e privati cittadini.
  • Mobile, strategie da rivedere velocemente : la grande rapidità mostrata dagli attaccanti nel cambiare "modello di business" unita alla definitiva affermazione dei device mobili (smartphone, tablet) sui PC tradizionali implica un aumento sostanziale di attacchi verso questo genere di strumenti.
  • Ricatti ed estorsioni nei confronti di Aziende, PA ed Infrastrutture Critiche : la crescita inarrestabile del Cybercrime porterà alla ulteriore diffusione di quelle logiche estorsive. Gli attacchi di questo tipo saranno compiuti sia per ragioni economiche che politiche, consolidando un trend di crescente collaborazione tra gruppi cyber criminali e gruppi terroristici.

 Se il contesto descritto è inquietante, sempre all'interno del Rapporto Clusit vengono fornite alcune semplici regole che possono limitare la probabilità di compromissione del proprio computer e delle proprie credenziali e limitare l'impatto di azioni fraudolente, che sarebbe opportuno, che tutti seguissimo:

  • Diffidare da email non richieste o provenienti da mittenti sconosciuti o non credibili specie se invitano ad accedere a contenuti esterni alla mail come ad esempio cliccare su link o aprire allegati.
  • Assicurarsi di aver abilitato sul proprio antivirus la funzione di scansione link e le analoghe funzioni sul browser.
  • Usare la massima cautela nell'aprire allegati, attendere sempre che l'antivirus ne completi la scansione.
  • Mantenere aggiornato il Sistema Operativo e tutto il software applicativo, abilitando i meccanismi di aggiornamento automatico e verificandone periodicamente il corretto funzionamento.
  • Ridurre la superficie di attacco verificando periodicamente i plug-in installati all'interno di tutti i browser, rimuovendo quelli non necessari o non utilizzati recentemente, aggiornando quelli necessari e disabilitando i plug-in vulnerabili per i quali non esistono aggiornamenti (i browser più comuni hanno strumenti automatici di verifica).
  • Configurare il livello di sicurezza di Java su "Alto" o "Molto alto".
  • Limitare l'esecuzione di applicazioni Java non firmate digitalmente o per le quali il certificato digitale non soddisfi i controlli operati dal browser.
  • Preferire eseguibili firmati digitalmente, per i quali il controllo del certificato operato dal sistema operativo consenta di verificare con certezza l'origine del software.
  • Aggiornare costantemente il Java Runtime Environment, configurando possibilmente l'aggiornamento automatico.
  • Verificare il corretto funzionamento dell'antivirus, in particolare relativamente agli aggiornamenti che devono essere almeno giornalieri.
  • Iniziare quanto prima ad utilizzare soluzioni specifiche anti-malware che impediscono attacchi man-in-the-browser e proteggono la confidenzialità e l'integrità delle scansioni di navigazione ai siti di online banking.
  • Accertarsi sempre della fonte e dell'autorevolezza del software installato specie quando si tratta di software gratuito cercato su internet.
  • Fare backup periodici dei propri dati (con frequenza quotidiana o almeno settimanale) su supporti esterni, multipli (almeno due diversi), alternati periodicamente e mantenuti in località diverse.

Per chi volesse saperne di più può richiedere il Rapporto 2015 direttamente al Clusit ( www.clusit.it ).

 

 

 

Trasferire il Rischio in Caso di Crisi

 

Assicurarsi contro un determinato evento avverso è una strategia di continuità operativa assolutamente plausibile, ma che richiede competenze piuttosto specialistiche e decisioni ben ponderate.

In caso di evento critico e conseguente cessazione dell'attività di un'Azienda, i costi fissi sostenuti durante il periodo di fermo totale o parziale, le spese straordinarie sostenute per la ripresa della regolare attività (come ad esempio l'affitto di nuovi locali, il lavoro straordinario, i costi per la manodopera esterna, le lavorazioni affidate a terzi, ecc.), i costi di bonifica e ripristino potrebbero essere considerati all'interno di una polizza.

 

In questi casi chi si occupa di Business Continuity deve avere anche una buona conoscenza dei prodotti assicurativi e interfacciarsi con regolarità con chi in Azienda si occupa di coperture assicurative.

Meglio sarebbe se vi fosse sinergia fra le funzioni aziendali che si occupano di continuità operativa, di rischi e il Broker; "deve essere un lavoro di squadra" in cui ogni professionalità fornisce gli elementi e le giuste valutazioni per ridurre al minimo il danno in caso di evento avverso con il minimo costo per l'Azienda.

 

Sull'argomento di seguito riporto due considerazioni di cui è importante soffermarsi a riflettere.

 

1°) da un'indagine ANIA sulle piccole e medie imprese, dal campione preso in esame risulta che la copertura assicurativa per ramo ha i seguenti valori percentuali:

* Incendio e danni                        86%

* RC verso terzi e dipendenti       68%

* Furto                                          62%

* Merci                                         30%

* Rischi Tecnologici                     28%

* RC Prodotto                              23%

* Credito e Cauzioni                    15%

* Polizze per Dipendenti              14%

* Rischio Ambientale                   12%

* Business Interruption              3%

 

Nonostante questi dati facciano riferimento al 2010, ad oggi poco è cambiato a causa della scarsa consapevolezza sui rischi aziendali e delle loro conseguenze, unite alla percezione che le assicurazioni possano costare troppo (e per questo spesso ci si sotto-assicura).

Considerando che la Gestione della Business Continuity non è ancora molto sviluppata nelle Aziende (quindi mancano totalmente i piani di continuità operativa), il dato allarmante è che solo il 3% delle PMI ha una copertura per l'interruzione dell'attività causata da un evento catastrofico.

Al verificarsi di un evento avverso in assenza di un Sistema di Gestione della Continuità Operativa, di coperture sui danni indiretti, copertura costi di bonifica e ripristino porta al fallimento oltre il 43% delle PMI nei successivi 2-5 anni.

Meditate gente, Meditate!

 

2°) Quando ci si avvale di consulenti per sviluppare i Piani di Continuità Operativa, è importante accertarsi che tali piani siano sviluppati da professionisti qualificati che collaborano in sinergia con il Risk Manager (e/o la società di brokeraggio) rispettando la logica definita dalle Good Practice Guideline per i Sistema di Gestione della Business Continuity che prevedono a seguito della definizione della policy, l'analisi (business impact analysis e la mitigazione dei rischi), per poi definire le strategie di continuità che consentono di elaborare (finalmente) i piani di continuità ai tre livelli (Strategico, Tattico e Operativo) per terminare con la validazione dell'efficacia del sistema sviluppato.

È importante che tutte le fasi del sistema vengano analizzate e implementate, limitarsi a fare solo i Piani di Continuità Operativa (senza aver fatto le attività precedenti) porta ad una fiducia mal riposta che in caso di evento avverso metterebbe in serie difficoltà l'Azienda nel gestire la crisi.

 

A questo punto diventa indispensabile verificare a priori le capacità di chi opera nello sviluppo delle attività di Business Continuity; oltre all'esperienza comprovata, uno degli elementi discriminanti è accertarsi che sia qualificato e certificato (dal BCI o dal DRI).