COVID-19 e rischi della Business Interruption per le aziende

Emanuele Capra, Responsabile Business Continuity e Cyber Security di ASSITECA, spiega a Tiscali News come le aziende possano affrontare l’emergenza.

COVID-19 e rischi della Business Interruption per le aziende

Le misure di prevenzione e protezione imposte delle Autorità per combattere il COVID-19 stanno generando grandi difficoltà per le aziende di tutti i settori. Oggi le imprese sono divise in due gruppi: quelle operative pur tra mille difficoltà, e quelle che hanno dovuto interrompere le attività produttive e, almeno parte, sono ancora attive grazie al personale in smartworking.

Occorre quindi lavorare sulle misure di prevenzione e protezione delle imprese che sono operative e progettare gli interventi che dovranno essere attuati dalle altre aziende, alla ripartenza. Fondamentale, soprattutto, capire a chi rivolgersi per attivarsi velocemente nella direzione giusta.

ASSITECA si è attivata per assistere i clienti con alcune iniziative in ambito business continuity, che integrano il tradizionale servizio di brokeraggio assicurativo. Emanuele Capra, Responsabile Business Continuity e Cyber Security di ASSITECA, con una ventennale esperienza nel risk management, nella sicurezza informatica e nella data protection (GDPR), spiega a Tiscali News l’importanza della formazione e della progettazione: prevenire e mitigare gli effetti di un contagio e prepararsi per essere in grado di ripartire prima possibile.

Sig. Capra, per fortuna non tutte le aziende hanno subìto stop totale delle attività. Molte continuano a produrre e fornire servizi, seppure con le difficoltà che ben sappiamo. È possibile valutare i principali fattori di rischio?

“Un piano di Business Continuity prevede una prima fase di valutazione dei rischi - la cosiddetta Business Impact Analysis (BIA) - che individua i processi essenziali dell’azienda, i clienti e i fornitori critici e le risorse (persone, infrastrutture produttive, materie prime e sistemi informativi) che devono essere garantite. Ogni azienda stabilisce i criteri per valutare rischi ed effetti di un evento critico e definisce il livello minimo di operatività e il tempo minimo di ripristino necessari alla sua sopravvivenza o per rendere sopportabili gli impatti economici, commerciali e reputazionali.

In base a questa analisi è possibile definire gli interventi di prevenzione e mitigazione e una strategia di ripristino, in caso l’evento critico accada comunque. La pandemia rappresenta purtroppo uno degli scenari più complessi ed impegnativi in cui attuare un Business Continuity Plan.

Le aziende hanno adottato oggi misure di prevenzione e mitigazione sia tecniche (es. mascherine e sanificazioni) sia organizzative (es. distanziamento; turni di lavoro, smartworking). Un incidente, però, può sempre capitare. Per questo è necessario avere una procedura per la gestione di un’eventuale contaminazione, analizzare la struttura della propria supply chain - catena di fornitori e clienti -, prevedere l’evoluzione della domanda, interpretando anche i cambiamenti delle abitudini e delle modalità di acquisto e consumo dei clienti”.

È possibile formare il management, in tempi record, in modo tale che possa fronteggiare, o mitigare, eventuali impasse, di breve e lungo periodo?

“Nella situazione attuale di emergenza, per garantire un supporto immediato ai nostri clienti, stiamo organizzando workshop on-line personalizzati che coinvolgono la Direzione Generale, l’HR, l’IT e il Finance Manager, i responsabili delle aree dedicate alla produzione, alla supply chain, alle vendite e al marketing.

Forniamo un supporto pratico nella gestione della situazione contingente, dando rapidamente informazioni e metodologie utili a valutare il livello di preparazione attuale, e quindi aiutando a identificare ulteriori misure di prevenzione e mitigazione. Si riflette insieme su come prepararsi per quello che potrebbe succedere nel medio periodo e si definiscono le attività da svolgere nei prossimi giorni e settimane. Il passo successivo sarà lavorare ad un vero e proprio Business Continuity Plan per essere pronti anche in futuro a possibili nuovi eventi”.

Quali le Sue impressioni sulla capacità di reazione delle aziende italiane alla situazione contingente, davvero unica nella sua drammaticità e così difficile da “prevenire”?

“Nelle ultime settimane abbiamo supportato diverse aziende. È un’attività molto impegnativa ma estremamente gratificante. Ogni impresa sta affrontando questa emergenza influenzata dal contesto in cui opera e dalla cultura aziendale. Tutte con il massimo impegno e determinazione. Le misure previste dai vari DPCM e dal Protocollo Sindacati-Imprese del 14 marzo sono state adottate rapidamente e molte aziende hanno attivato anche interventi supplementari.

Quello che secondo noi deve essere rafforzato sono i controlli di effettività. Occorre verificare regolarmente che le misure preventive e le procedure siano eseguite regolarmente dai dipendenti. Questo è più facile in settori come l’alimentare, il farmaceutico e il biomedicale, dove il personale è già addestrato, abituato ad indossare DPI e adottare scrupolosamente le procedure previste. In altri, come il manifatturiero o i servizi, dopo qualche tempo i lavoratori tendono a dimenticare di applicare questa o quella misura. Non si tratta di incuria ma solo di scarso allenamento.

La nostra sensazione è che comunque lavoratori e aziende si adatteranno velocemente e che questo potrà generare anche un miglioramento, nel lungo periodo, della sensibilità generale sulle condizioni generali di benessere, salute e sicurezza.

Occorre inoltre aiutare le imprese a prepararsi meglio al periodo post pandemico. Quando le aziende saranno autorizzate a riprendere le attività si troveranno ad affrontare numerose sfide. Non solo per l’incertezza dei mercati ma anche per la gestione dell’operatività: come evitare un successivo contagio o ridurre al minimo la conseguente interruzione forzata; come limitare i danni reputazionali di un ulteriore blocco produttivo; come trasmettere efficacemente e costantemente ai clienti le informazioni sulla propria operatività; come gestire i ritardi e le difficoltà dei trasporti, soprattutto internazionali; come garantire le forniture di materie prime ma anche dei ricambi e delle manutenzioni necessarie alla produzione. E non dimentichiamo i problemi finanziari: senza liquidità non si può fare quasi nulla.

Tutto questo va studiato e pianificato oggi, per ridurre al minimo gli effetti negativi della situazione, per cercare di recuperare, ove possibile, i volumi produttivi perduti ma anche per essere in grado di cogliere tutte le opportunità di business che potrebbero presentarsi nei prossimi mesi”.

Molte realtà si sono organizzate consentendo ai dipendenti di lavorare in modalità smart, da remoto. C’è consapevolezza dei rischi legati alla sicurezza, anche in termini di GDPR?

“La percezione dei rischi cyber è in aumento anche in Italia, ma ancora insufficiente: basti pensare che solo il 19% delle aziende si tutela con delle specifiche polizze sui rischi informatici.

Per l’emergenza Covid-19 molte imprese hanno adottato lo smart working senza aver prima organizzato un piano adeguato di sicurezza informatica. Quanti di noi hanno mai cambiato la password del Wi-Fi di casa da quando è stato installato? Eppure, in azienda ci obbligano a sostituirla con frequenza. Il lavoro in smartworking diventerà parte della vita lavorativa di molti ma necessita di una specifica organizzazione e richiede un certo periodo di apprendimento.

In questi giorni la Polizia Postale sta registrando un incremento importante di tentativi di cyber attack, di phishing e di truffe. Oltre a sfruttare queste situazioni ancora improvvisate di lavoro da remoto gli hacker cavalcano il panico che l’epidemia sta generando nelle persone.

In un momento critico come questo, l’effetto di un attacco cyber o di un furto di denaro è potenzialmente devastante. Nell’ultimo trimestre del 2019, i crimini informatici verso le aziende italiane avevano superato tutte le statistiche precedenti. Se il blocco dei sistemi informativi e delle attività operative, a causa di un cryptolocker o il furto di denaro tramite phishing, erano già un avvenimento critico nei mesi passati, in un’organizzazione distribuita in smart working diventa ancora più difficile capire prontamente la situazione e reagire di conseguenza.

Le imprese si trovano a combattere contemporaneamente sia il COVID-19 sia i virus informatici, vanno attivati, con il supporto di consulenti specializzati come ASSITECA, specifici servizi di assessment organizzativi e tecnologici sulla sicurezza informatica e le più efficaci coperture assicurative sui rischi cyber.

In materia di GDPR, lo svolgimento del rapporto di lavoro in modalità smart rende necessario un nuovo e corretto inquadramento dei rischi da parte dell’azienda, in qualità di Titolare del trattamento e Datore di Lavoro. Software o altri strumenti che permettono un contatto e, a volte, un controllo da parte dell’azienda richiederanno contratti e accordi chiari e completi. Il Datore di Lavoro dovrà, inoltre, adottare misure e soluzioni tecniche idonee a prevenire la diffusione, l’utilizzo non corretto o la perdita dei dati personali e del know-how aziendale. Sia per garantire il rispetto dei principi della Privacy e dei requisiti normativi nei confronti del lavoratore e dei clienti, sia per la tutela degli interessi aziendali”.

Quando usciremo dalla crisi, si spera presto, non tutto tornerà come prima. Le Aziende hanno dovuto modificare velocemente, irreversibilmente, modelli di business atavici. Quale il Suo punto di vista in merito ai modelli adattivi che lasceranno un’impronta positiva, nonostante tutto?

“Ci troviamo ad affrontare un periodo di cambiamenti epocali. Le nostre abitudini di vita stanno cambiando. I mercati subiranno profonde trasformazioni e non tutte saranno negative. I modelli organizzativi delle imprese dovranno essere modificati per superare le difficoltà della pandemia di oggi ma anche per affrontare tutte le crisi che potranno presentarsi nei prossimi anni.

Siamo sicuri che le imprese italiane sapranno adattarsi e, in questo ambito, l’importanza di adottare un piano di Business Continuity risiede proprio nel fatto di permettere alle aziende di sviluppare, nel tempo, la propria resilienza. Essere resilienti vuol dire migliorare la capacità di gestione e comunicazione della crisi, la protezione della salute e del benessere dei dipendenti, la rapidità di ripristino delle attività operative; l’affidabilità della Supply Chain e la sicurezza dei sistemi informativi. Un piano di continuità operativa assicura una risposta pronta, finalizzata a minimizzare l’interruzione dell’operatività, a proteggere gli interessi degli stakeholder, la reputazione e la competitività aziendale.

ASSITECA continuerà ad assistere i propri clienti su questi argomenti e a fornire servizi e soluzioni innovative a supporto del loro business”.