La tecnologia informatica ci ha ormai abituato a continue e radicali trasformazioni anche nella conduzione delle attività imprenditoriali; i vantaggi che ne derivano sono sotto gli occhi di tutti ma non sono purtroppo ottenuti senza un corrispettivo, rappresentato dall'incremento dei rischi che aumentano in relazione alla diffusione e alla complessità dei sistemi informatici ovvero alla sempre più spinta dipendenza dai computer dell'organizzazione aziendale. Il management pertanto, oltre che guidare il cambiamento, deve essere consapevole di questi rischi emergenti in un ambiente spesso non ancora troppo familiare. Se nel passato il management si è tenuto a una distanza di sicurezza da un vero coinvolgimento negli aspetti collegati ai sistemi informativi e ha lasciato quest'area ai professionisti del settore, ora questo approccio sta finalmente cambiando, probabilmente perché l'impiego della tecnologia informatica non è più limitato alle sole attività di routine ma spazia sempre più nel governo del business. Questa maggiore frequentazione rende possibile la migliore conoscenza dello strumento e la conseguente possibilità di dominano disponendo dell'autorità e dei mezzi per attivare gli interventi necessari affinché siano minimizzati i fattori negativi. Interventi che dovrebbero dar luogo ad azioni dirette a:

• definire politiche chiare, obiettivi realistici e standard applicabili;
• identificare e allocare le risorse necessarie;
• assegnare le responsabilità per l'esecuzione e la supervisione;
• misurare le capacità e le prestazioni del sistema.

UNA POLITICA DELLA SICUREZZA

Il grado di dipendenza dal computer è conseguente alla sempre più accelerata informatizzazione originata tra l'altro dalla necessità di gestire grandi volumi di informazioni, tenere sotto controllo il costo del lavoro, utilizzare sistemi informativi orientati al governo dell'azienda e disporre in tempi brevi di informazioni aggiornate. Le aziende, in genere, adottano un'organizzazione in cui il trattamento dei dati costituisce una componente strutturale essenziale e dove la gestione dell'operatività dei fatti gestionali si sposta sempre più marcatamente dall'uomo alla macchina. Benché tale consapevolezza sia diffusa, a volte si stenta a comprendere quanto l'azienda dipenda effettivamente dal suo sistema informatico e si è indotti a non dare la giusta valenza alle minacce che ne derivano.

Se è estremamente pericoloso ritenere, ad esempio, che non possa verificarsi una perdita dei dati archiviati o che eventi di vario tipo non possano avere ripercussioni negative sui fatti aziendali, rasenta l'incoscienza pensare che qualora l'evento dovesse proprio accadere, ovviamente per sfortuna e non per imprevidenza, si possa disporre del tempo necessario e delle risorse sufficienti per affrontarlo nel migliore dei modi. La realtà dimostra che gli eventi negativi purtroppo si verificano e le risorse indispensabili per farvi fronte non sono normalmente disponibili nei tempi, quantità e qualità voluti. E' pertanto fondamentale essere preparati all'evento, piuttosto che essere costretti ad inventare al momento le misure di ripristino necessarie. Occorre adottare una politica della sicurezza, che è la prima e indispensabile misura preventiva ed è la dimostrazione della presa di coscienza manageriale del fatto che il sistema informatico è un elemento critico e vitale e contiene al suo interno il patrimonio informativo dell'azienda che deve essere difeso in modo opportuno da qualsiasi tipo di attacco sia accidentale sia premeditato, in modo pianificato e professionale.

Alcune statistiche d'oltreoceano riportano che il 90% delle aziende che ha subito un disaster e che non aveva predisposto le opportune misure di ripristino ha cessato la propria attività nell'arco di diciotto mesi, altre riferiscono che il 60% delle aziende non sarebbe oggi in grado di sopravvivere alla perdita/mancanza del proprio sistema informativo per più di tre giorni. A parte una certa dose di terrorismo psicologico che certamente è riscontrabile in questi studi, è necessario affrontare questa tematica molto seriamente in ogni azienda.

UN PIANO DETTAGLIATO

Le attuali procedure di salvataggio sono in grado di evitare la perdita parziale/totale, per cause impreviste (incendio, allagamento, esplosione, ecc.), del patrimonio informativo? E' forte la convinzione che siano poche le aziende prudenti che abbiano analizzato/individuato accuratamente cosa dovrebbe essere predisposto per affrontare con professionalità e serenità eventi che dovessero colpire la normale attività del proprio sistema. Sia che si tratti di un piccolo istituto, sia di uno di grandi dimensioni, la perdita anche parziale dei propri dati potrebbe avere implicazioni veramente devastanti sull'attività societaria. Se un istituto intende rimanere sul mercato per continuare a produrre profitto deve imporsi un approccio realistico anche in questo campo ovvero realizzare un efficace piano di continuità aziendale ove la salvaguardia del patrimonio informativo rappresenti il tassello fondamentale.

In ogni approccio metodologico, sia estero sia nostrano, è ben rimarcato che il primo passo da compiere consiste nell'effettuazione della cosiddetta analisi dell'impatto sull'attività societaria. Processo che presuppone, tra l'altro, l'identificazione delle funzioni critiche e delle risorse necessarie al mantenimento di un accettabile livello di attività societaria e conseguentemente di redditività (proteggendo le risorse essenziali e identificando le fonti alternative per ciascuna di esse) sino a che le normali operazioni non siano state ripristinate.

Devono quindi essere considerate in modo globale tutte le aree dove sono effettuate attività critiche e di conseguenza individuate tutte le risorse informative coinvolte. Per la loro individuazione si potrebbe ad esempio iniziare a considerare le attività la cui indisponibilità anche temporanea provocherebbe maggiori ripercussioni sulle entrate e sul profitto oppure con implicazioni di responsabilità legale o che potrebbero danneggiare il servizio alla clientela. Esempi a parte, è certamente auspicabile affidarsi a una collaudata metodologia di analisi del rischio ed è necessario, dopo avere identificato le attività critiche, individuare le risorse informative a esse collegate e da considerare essenziali per la continuità delle funzioni aziendali.

Gli obiettivi della preparazione del piano dovrebbero:

• definire e documentare in modo dettagliato le procedure e le attività richieste per la sua realizzazione;
• assicurare che sia redatto in modo che permetta di essere facilmente utilizzato e aggiornato;
• assegnare le responsabilità e fornire le basi conoscitive in modo che il personale possa essere correttamente informato e il più possibile coinvolto.

Dire che è necessario collaudare il piano per accertarsi della sua validità e praticabilità equivale ad affermare una cosa ovvia, ma la pratica ha ormai insegnato che, parlando di sicurezza, non si deve dare per scontato nulla. Dopo il collaudo, i risultati devono essere valutati comparandoli con criteri predefiniti in modo da poterne determinare anche l'efficienza, fattore che in un contesto di emergenza potrebbe assumere una connotazione di grande rilievo. Sarà infine probabilmente necessario modificare alcune parti in modo da mettere a frutto le esperienze acquisite durante il collaudo.

Queste attività hanno un costo che però non dovrebbe essere considerato aggiuntivo ma piuttosto equiparabile al premio di una polizza assicurativa e in ogni caso un onere necessario per continuare a produrre profitto. Quando si perviene ad affrontare queste tematiche significa che, nell'ambito della sicurezza informatica, si è probabilmente raggiunta la maturità.

Passando a esaminare il problema dei costi, potrebbe essere opportuno prendere in considerazione le possibilità offerte dall'outsourcing per varie ragioni, ad esempio:

a) sono diverse le forme di terziarizzazione utilizzate (ognuna delle quali offre spunti positivi sotto il profilo gestionale), che vanno dalla cessione dell'esercizio/proprietà dell'intero centro Edp, all'amministrazione della rete di trasmissione dei dati, allo sviluppo anche remoto del software applicativo, sino ad arrivare alla archiviazione sicura dei supporti magnetici e/o documenti cartacei,

b) sono molti i fattori oggettivamente allettanti, di carattere economico e non, che meritano un attento esame per accertare opportunità/possibilità di acquisire i servizi disponibili anche per la propria organizzazione aziendale. Per delineare meglio il problema, potrebbe essere di qualche utilità esaminare ad esempio alcune motivazioni a favore di una scelta di terziarizzare il processo di archiviazione dei supporti critici:

• non ci si deve più far carico dei costi e delle preoccupazioni derivanti dalla costante disponibilità dei dati critici:
• la possibilità di impiegare competenze esterne, in grado di seguire la complessa e turbinosa evoluzione tecnologica, consente di evitare di esserne costantemente coinvolti sia in termini di pianificazione, all'interno dell'azienda, sia nella gestione quotidiana;
• i compiti e le problematiche attinenti alle banali funzioni operative provocano normalmente un carico oneroso che ostacola/rallenta la focalizzazione dell'impegno sulle reali attività aziendali.
• l'outsourcing consente di non impegnare il personale su lavori di routine, svolti sovente da personale specializzato (e quindi normalmente ben remunerato) e permette di concentrarlo su attività di gestione delle informazioni maggiormente necessarie e qualificate e che è preferibile non delegare all'esterno.

Sotto questo profilo due sono i punti che dovrebbero essere adeguatamente analizzati:

• viene privilegiata ovviamente la logica del mercato (riduzione dei costi) rispetto all'organizzazione (ricerca di soluzioni organizzative/tecniche che comportino la rimozione delle sacche di inefficienza);
• il partner con cui intraprendere questo nuovo cammino deve essere, per quanto ovvio, scelto accuratamente e assolutamente affidabile, sotto tutti i punti di vista: dalla solidità finanziaria alla provata competenza professionale specifica.

Affidare ad altri l'esecuzione di attività che questi sanno fare meglio (è il loro mestiere) non equivale alla rinuncia all'esercizio della propria abilità ma piuttosto alla presa di coscienza dei propri limiti. Questa delega può rappresentare un atto di intelligenza. Se poi i servizi offerti dall'ente esterno risultano essere meno onerosi di quelli analoghi resi dalla struttura interna, si può ben dire che la terziarizzazione rappresenti un doveroso atto di concretezza manageriale e non una rinuncia.