Il Business continuity management e i suoi impatti sul profilo organizzativo

A partire dall’ultimo ventennio, ogni tipo di organizzazione ha cominciato a osservare con maggiore attenzione l’importanza della continuità operativa, conosciuta come Business continuity dagli esperti del settore. Considerando l’ambito bancario, si tratta di un concetto non nuovo, ma che solo con la presa in considerazione del rischio operativo ha effettivamente cominciato a essere realmente considerato, tenendo conto anche dello sviluppo tecnologico a livello esponenziale e al trattamento digitale dei dati.

Basti pensare, ad esempio, al black out a livello nazionale del 16 settembre 2003, causato non da una mancanza di energia, ma da una serie di problemi relativi all’Information Technology. Si è quindi ravvisata a livello internazionale la necessità di sviluppare regole e standards che spingessero allo sviluppo di normative a livello comunitario e nazionale; in Italia i primi interventi si ebbero nel 2003 con il d.lgs. n. 196/2003 noto come Codice della Privacy, nel quale si indica che il trattamento dei dati in via digitale risulta possibile solo se vengono

2

attuate una serie di procedure per la custodia della copia dei dati ai fini della sicurezza e il ripristino della disponibilità dei dati stessi e dei sistemi.1

A sua volta questo ha spinto alla nascita di una normativa più specifica a livello di settore, dal bancario alla pubblica amministrazione, che poi nel tempo son stati rielaborati in modo da tener conto dell’evoluzione delle prassi, best practices, innovazione tecnologica e nascita conseguente di nuove minacce e rischi.

Il momento chiave, che ha reso ancor più evidente la necessità di avere un approccio più attivo alla tematica della continuità operativa, è ancor più antecedente: si tratta dell’attentato alle Twin Towers dell’11/09/2001, il quale ha messo in crisi le modalità di gestione dell’operatività quotidiana da parte di tutti i settori, quindi anche del settore bancario. Infatti, si viveva un contesto di tecnologia ancora a costi elevati, che comportavano una spinta alle concentrazioni bancarie per permetterne l’accesso a costi ridotti. Dato che le probabilità di accadimenti quali quello dell’11/09/2001 e del black out nazionale del 16/09/2003 erano bassissime, le soluzioni adottate, seguendo la logica della minimizzazione dei costi, erano quelle di andare ad investire nella protezione da eventi più probabili e, per situazioni a bassa probabilità, acquisizione di polizze assicurative.2

Questi accadimenti hanno fatto sì che ci fosse maggior consapevolezza della necessità di operare con maggior vigore in questo ambito, in quanto ci si rese conto del fatto che le crisi finanziarie potessero derivare da situazioni di mercato ma non solo, anche situazioni infrastrutturali; si aveva la necessità allora di incrementare non solo la capacità di resistere a scenari avversi di mercato, ma anche di incrementare la resilienza delle infrastrutture e dei sistemi.

La crescente interrelazione tra attività tipiche del settore finanziario e l’evoluzione tecnologica ha fatto sì che si siano sviluppati concetti nuovi e che si rendesse sempre più necessaria una riforma a livello normativo in merito alla continuità operativa e la gestione di scenari avversi, soprattutto a livello informatico (in quanto principale driver di sviluppo delle attività tipiche) ma non solo, anche a livello logistico. La carenza di protezione di questi ambiti può comportare danni infatti elevatissimi, sia a di tipo economico che reputazionale3.

1 _{Rampazzo A., Business Continuity: come prevenire i disastri applicando le normative, Rubrica ICT e diritto, Mondo}

Digitale, articolo del 02/09/2009.

2 _{Wright C., Business continuity: stato dell’arte, seminario di Infosecurity Italia, Milano 11/02/2004.}

3 _{Baker, Yaacob, Udin, International Journal of Economics and Financial Issues, The effect of Business continuity}

3

Vengono a svilupparsi concetti e attività di protezione nuove per il settore bancario, quali il Business Continuity Plan, la Business Continuity Management, il Disaster Recovery Plan. Di fondamentale importanza in queste procedure diventa anche la Business impact analysis, la quale ha finalità di supporto nella definizione del piano di continuità operativa che, a sua volta, determina le linee guida della gestione della continuità operativa stessa ma anche del disaster recovery plan, che va a valutare tutte quelle situazioni con probabilità basse, essendo eventi quali i disastri naturali, ma con impatto in termini di perdite elevatissimo. Si tratta, come già detto, di concetti nuovi per il settore bancario perché non riguardanti direttamente le attività tipiche del settore, almeno non inizialmente, quindi non facili da capire e considerare, ma che in realtà erano già presenti in altri ambiti, specialmente in quello industriale.

Ciò rende quindi necessario un cambiamento di atteggiamento e di tipo organizzativo per quanto riguarda la gestione del rischio tecnologico e quindi di gestione di continuità operativa, che si potrebbe riassumere in sei principi:

 Adozione di un approccio business-first: esso è fondamentale nell’ambito dell’information security, in quanto si ha una moltitudine di situazioni pericolose che necessitano di massima attenzione (quali perdite di dati, transazioni fraudolente, fenomeni di attivismo). Le soluzioni di difesa da parte delle banche devono essere pianificate e sviluppate alla luce dei diversi impatti che tali minacce comportano. Ciò comporta la necessità di una stretta relazione tra le business unit e i manager IT, in modo da evidenziare per ciascuna quali siano i processi critici che necessitano di intervento. Su questo si basa il processo del risk assessment, ma esso da solo non è sufficiente, in quanto occorre un coinvolgimento dei veri risk owners, ovvero i responsabili delle business unit. Solo in questo modo le banche saranno capaci di investire sulla sicurezza IT con la massima efficienza possibile;

 Coordinamento tra le varie aree di gestione del rischio tecnologico: molte banche adottano modelli di gruppo societario per andare a gestire i diversi ambiti del rischio tecnologico nel complesso, mentre altre sviluppano rapporti di outsourcing. Questo fa sì che si generi una sorta di disconnessione tra le gestioni dei diversi ambiti del rischio tecnologico, che possono essere indicati come segue:

o Information and cybersecurity; o Resilience and disaster recovery; o Vendor and third-part management; o Project and change management;

4

o Architecture, development and testing; o Data quality and governance;

o IT compliance;

Occorre allora che questi ambiti siano effettivamente coordinati tra loro per ottenere sinergie in termini di mitigazione del rischio e per evitare situazioni di duplice intervento di protezione o di mancanza di protezione;

 Ridurre il gap con il sistema delle tre linee di difesa: è un approccio che viene utilizzato in tutte le aree di Risk management, ma che nel settore IT risulta più complicata rispetto ad esempio alla gestione del rischio di credito. Questa situazione è dovuta essenzialmente a due motivi, quali il fatto che nel primo livello di difesa si trovi l’area business interessata ma anche la funzione IT, implicando così che la seconda disabiliti la prima in termini di difesa; inoltre capita molto spesso di trovarsi di fronte a situazioni di difesa di livello “uno e mezzo”, cioè dove si osservano compiti sia della funzione di difesa del primo livello che del secondo livello. Queste situazioni possono risultare problematiche ad esempio nel caso di Disaster recovery, dove si ha necessità di prontezza di intervento e di chiarezza di responsabilità e ruoli. Le banche allora dovranno andare a definire, per ogni linea di difesa, ruoli e responsabilità in modo chiaro;

 Integrazione con l’Enterprise risk management: in molte banche non è insolito trovare situazioni di disconnessione tra la gestione del rischio di impresa e rischio tecnologico, ma anche tra quest ultimo e il rischio operativo. Ciò però impedisce di valutare correttamente le priorità di intervento. Un fattore che spesso contribuisce situazioni del genere è l’assenza di un sistema coordinato di gestione del rischio, con ovvi limiti in termini di flussi informativi;

 Diverse politiche di incentivi per i manager IT: le banche sviluppano spesso modelli di incentivo per i manager IT, in modo che essi rispettino tempistiche e budget nello sviluppo di progetti e che arrivino a livelli quasi di perfezione. Ciò è ovviamente importante, ma una eccessiva enfatizzazione di tale politica potrebbe comportare la tendenza del manager a sviluppare progetti con ottica di breve periodo, cioè di semplice raggiungimento dei risultati richiesti, senza però andare ad osservare il rispetto dell’obiettivo di lungo periodo di effettiva riduzione dei rischi;

 Investire in talenti e specialisti di settore: nell’ambito della gestione del rischio tecnologico son richieste competenze ed esperienze non di poco conto ed in più

5

ambiti, quello tecnologico, quello di risk management e del relativo business. Ovviamente trovare personale che abbia tutte queste competenze è impossibile e richiederebbe una remunerazione eccessiva. Conseguentemente le banche adottano politiche di training interno, di rotazione interna, modelli di staff part-time, che permettono di andare a ricercare esperti del settore IT che siano disposti a migliorare le proprie capacità in termini di risk management e per i quali vengono studiate appropriate modalità di training. Si sta andando quindi a creare una nuova categoria di esperti del settore IT che hanno anche conoscenze in termini di risk management e di business.4