Chiunque abbia affrontato la predisposizione di un piano di continuità operativa sa bene quanto ripristinare il servizio sia il problema più complesso da risolvere. Che si tratti di uno stop forzato alle attività dei collaboratori o – peggio ancora – della temporanea indisponibilità dei servizi rivolti ai clienti, riuscire a individuare l'incidente occorso, i sistemi coinvolti e i dati persi in tempi rapidi è la chiave per quantificare il danno e – soprattutto – correre ai ripari. L'elemento di maggiore difficoltà nel fare tutto questo sta proprio nel minimizzare le tempistiche, ovvero nel consentire a processi, asset e risorse umane di rimettersi in moto nonostante le criticità innescate dall'evento inatteso. Molto, in questo caso, dipenderà dal modo in cui è stata architettata l'organizzazione, dalla cultura del rischio operativo in azienda e dall'effettiva portata degli strumenti di disaster ricovery programmati, ma anche dalle simulazioni condotte precedentemente per mettere alla prova la risposta del sistema a simili evenienze.
Nella migliore delle ipotesi, quindi, il business potrà ripartire nel giro di poche ore, registrando perdite più o meno preventivate da bilanciare con risorse finanziarie appositamente accantonate o con gli indennizzi derivanti dalle polizze assicurative attivate in previsione di possibili défaillance sul fronte della continuità operativa. Bisogna poi però calcolare anche gli eventuali danni di immagine subiti sul fronte reputazionale e in termini di conformità alla normativa: come detto, la situazione si aggrava nel momento in cui la vulnerabilità mette in luce disservizi che poi si ripercuotono su clienti e partner, generando una reazione a catena per gestire la quale occorre andare oltre la disciplina del disaster recovery e ricorrere al crisis communication management.
Cosa succede invece se ci si trova di fronte a un imprevisto che genera effetti non così semplici da mitigare, per cui tornare alla piena operatività richiede tempi più lunghi? La prospettiva, purtroppo, coinvolge un numero sempre maggiore di imprese. Questo dipende essenzialmente dalla spinta alla digitalizzazione dei processi in assenza di piani accurati di cyber security. Ne è purtroppo testimone il momento storico che stiamo vivendo, con l'emergenza coronavirus che ha portato molte organizzazioni a improvvisare sessioni di lavoro da remoto per non essere sottoposte al lockdown: se non si è dato vita a un programma di smart working strutturato in tempi non sospetti, i collaboratori possono trovarsi nella condizione di collegarsi ai sistemi aziendali utilizzando reti non protette e device adoperati durante il tempo libero, offrendo il fianco a intromissioni e attacchi sferrati da cyber criminali. Un data breach andato a buon fine in molti casi può essere individuato anche a settimane o addirittura mesi dal momento in cui è stata condotta l'operazione criminale. E quando se ne scoprono gli effetti, spesso è troppo tardi per attuare un'azione di ripristino del servizio in tempi rapidi e senza conseguenze per l'operatività. Naturalmente, in uno scenario del genere, si amplificano anche gli effetti negativi che a cascata coinvolgono partner e clienti, senza contare le conseguenze sul piano normativo in caso di perdita di dati sensibili, in funzione di quanto prescritto dal GDPR.
Ecco perché anziché puntare su piani di disaster recovery e sulla rapidità di ripristino del servizio in caso di incidenti, conviene che le organizzazioni adottino strategie di business continuity basate su un corretto approccio all'operational risk management: la gestione dinamica del rischio permette di costruire sistemi di identificazione e valutazione delle minacce sui diversi piani funzionali, consentendo la messa in atto di tattiche preventive e non reattive. Tattiche cioè che integrino indicatori ad hoc per il monitoraggio delle eventuali anomalie di sistema e che contemplino azioni in grado di correggere le difformità di processo che potrebbero generare criticità o peggio vulnerabilità. Attraverso l'istituzione di opportuni sistemi di controllo e aggiornamento, lo storico degli eventi che possono fungere da segnali di allarme rispetto all'avverarsi di un rischio viene costantemente arricchito di KPI e utili informazioni che permettono di monitorare con sempre maggiore efficacia l'evolversi della situazione. In questo modo, l'azienda è in grado di sviluppare una capacità predittiva che le permetterà, col tempo, di prevenire gli incidenti, anziché mitigarli, eliminando del tutto il problema del ripristino del servizio.