Chi ha il compito di evitare il fermo impianto un’azienda dovrebbe tenere sempre presente che, tra gli eventi che minacciano l’attività lavorativa, si può sempre verificare anche lo scenario peggiore. Ora, assumere questo punto di vista, benché pessimistico, può essere d’aiuto, semplicemente perchè la probabilità zero non esiste: gli incidenti, i guasti, i disastri non accadono solo agli altri. Fortunatamente, la consapevolezza del rischio sta aumentando in tutto il mondo. Un’indagine del Business Continuity Institute di un paio di anni fa indicava come tre quarti delle aziende intervistate (oltre 700 in un’ottantina di Paesi) avessero in programma di aumentare gli investimenti diretti a migliorare la continuità operativa 

Fermo impianto e continuità operativa: la normativa

La stessa indagine rilevava che circa la metà delle aziende avevano già adottato come riferimento la normativa ISO 22301 (disponibile su www.iso.org), che è lo standard internazionale per la gestione della continuità operativa. La normativa specifica i requisiti per pianificare, definire, implementare, operare, controllare, verificare, mantenere e migliorare progressivamente un sistema di gestione documentato per: proteggere contro; ridurre la possibilità che si verifichi; rispondere a; e riprendersi da un incidente capace di sconvolgere l’operatività dell’azienda. 

Per evitare un fermo impanto, le aziende si sono dotate di un Business Continuity Plan (BCP) e hanno preso in considerazione una lunga serie di minacce, valutandone la probabilità e in base a quella agendo. Per esempio, hanno predisposto contromisure preventive per i rischi maggiori e preparato piani d’emergenza per quegli avvenimenti che si presumono rari. Ma quali sono questi incidenti? 

1. Fermo impianto e hacker 

Sempre facendo riferimento all’indagine citata prima, sembra che il rischio più temuto e ritenuto più probabile da quasi il 90% delle aziende sia l’attacco da parte degli hacker. Oggi, il panorama internazionale vede muoversi fra le pieghe di Internet diverse decine di gruppi di hacker, composti principalmente da cybercriminali. L’attività più praticata negli ultimi anni sembra essere l’attacco con ransomware: gli hacker infiltrano nella rete aziendale un malware che cripta l’intero file system, e una volta bloccata l’azienda chiede di pagare un riscatto per “sbloccare” i file. Niente riscatto, niente file, e quindi si rimane in una situazione di fermo impianto Ma anche se si paga non c’è alcuna garanzia di ricevere la chiave di decifrazione, quindi l’unica opzione se ricattati è di ricorrere ai backup, sperando che non siano stati compromessi anch’essi (alcuni ransomware si rivelano solo dopo diversi giorni di attività, quando hanno ormai criptato anche i file di backup). 

2. Blocco del sito web o fermo impianto fisico 

Oltre alle bande dedite al ransomware, ci sono quelle che si dedicano agli attacchi DDOS (Distributed Denial of Service) mediante botnet, ovvero reti di computer infettati da malware. In pratica, questi gruppi prendono il controllo di migliaia di PC, che poi vengono usati per esempio per bombardare di richieste uno specifico sito Internet, bloccando di fatto il suo funzionamento – cosa gravissima soprattutto per chi fa e-commerce. Altri gruppi di hacker, spesso collegati a governi con pochi scrupoli, conducono attacchi di tipo terroristico, per esempio causando veri e propri fermi impianto, o danneggiando via software specifici macchinari. Chi opera in settori critici come l’energia, l’oil&gas, le telecomunicazioni deve mettere in conto un’elevata probabilità che si verifichino in futuro attacchi di questo tipo. 

3. Furto di dati 

Appena un gradino sotto gli attacchi hacker, nella lista delle preoccupazioni delle aziende, c’è il “data breach”, ovvero la violazione dei dati sensibili, temuta dall’81% degli intervistati. E che è comunque collegata alla minaccia precedente, visto che la forma più tipica è il furto di database da parte di hacker; ma non mancano i casi di furti di dati da parte di dipendenti infedeli. Anche qui, si tratta di un evento abbastanza frequente, che va quindi prevenuto. Per esempio, adottando regole stringenti riguardo l’accesso ai dati sensibili, implementando sistemi di cifratura e via discorrendo. 

4. Fermo impianto e ICT 

Solo al quarto posto nella lista di preoccupazioni troviamo, con l’80% degli intervistati che la mettono in conto, l’interruzione dei servizi ICT. Forse perché negli anni l’informatica aziendale ha imparato a proteggersi dai principali problemi che portavano al fermo impianto. Ovviamente, bisogna pensarci prima: progettare correttamente il sistema informativo, sia dal punto di vista dell’impostazione e della configurazione, sia del dimensionamento delle varie componenti, è la prima regola per evitare blocchi causati da malfunzionamenti. 

5. Disastri & Privacy 

A chiudere la classifica dei rischi più temuti troviamo un classico e una “new entry”: disastri e privacy. Terremoti e inondazioni, insieme a eventi come incendi e black-out, preoccupano da sempre le aziende e se ne tiene conto nelle sedi opportune, spesso in fase di progetto. Le possibilità che questi eventi provochino un fermo impianto sono infatti estremamente elevate. Più recente, invece, la paura delle violazioni della Privacy, che sono cresciute parecchio in conseguenza dell’entrata in vigore della GDPR. Questa normativa introduce regole precise per la gestione dei dati e, soprattutto, multe severe (calcolate come percentuale del fatturato) per chi non li custodisse in modo sicuro. Inoltre, prevede anche l’obbligo di denunciare gli eventuali episodi di “data breach”, con effetti gravi anche sull’immagine aziendale. Ce n’è abbastanza per essere preoccupati… e agire preventivamente. 

Impossibile prevedere tutti i fermi impianti 

Insomma, gli eventi fortuiti che possono avere conseguenze anche gravi sulla continuità operativa di un’azienda sono davvero tanti, e anche senza essere pessimisti dobbiamo tener conto di un gran numero di possibilità avverse nei nostri piani di Business Continuity, i quali devono essere concepiti per evitare il più possibile i cosiddetti “single point of failure”.