IL CRISIS MANAGEMENT IN AZIENDA. Norma ISO 22301:2012 & BCI Good Practice Guidelines

Transcript

1 IL CRISIS MANAGEMENT IN AZIENDA Norma ISO 22301:2012 & BCI Good Practice Guidelines 1 Sessione di Studio AIEA - Milano, 17 aprile 2015

2 AGENDA INTRODUZIONE NORME E STANDARD IL BUSINESS CONTINUITY MANAGEMENT SYSTEM CASI DI STUDIO DIBATTITO E CONCLUSIONI 2

3 INTRODUZIONE Il Crisis Management in Azienda 3 Sessione di Studio AIEA - Milano, 17 aprile 2015

4 EVOLUZIONE DELL APPROCCIO AL RISCHIO La comunicazione inerente ai temi della gestione del rischio e degli eventi critici cresce il senso di sicurezza diminuisce! 4

5 RISCHIO E PAURA DEL RISCHIO Condizione di paura molto simile a quella delle popolazioni primitive per cui si assiste ad una perdita di ottimismo e a una crescente condizione di paura legata alla percezione del rischio proprio nei sistemi sociali avanzati, supertecnologici! 5

6 CAMBIA IL CONCETTO DI RISCHIO Nelle Società pre-moderne Nelle Società avanzate era soprattutto legato ad eventi naturali esterni all individuo appare insito nell uomo, legato alle sue decisioni e proiettato perciò nel futuro 6

7 LA SOCIETÀ DEL BENESSERE Il rischio appare sempre più legato all agire umano più una società eleva gli standard di benessere, più si espone ai rischi! 7

8 RESILIENZA AL RISCHIO - DEFINIZIONE La resilienza è definita come la capacità di un materiale di resistere a forze impulsive Un organizzazione è resiliente quando ha la capacità di cambiare e adattarsi prima che il rischio di riferimento la costringa a farlo! 8

9 CRISI - DEFINIZIONE «Una crisi è un evento grave che distrugge tutte le nostre precedenti convinzioni» - Prof. Ian Mitroff - 9

10 QUALCHE NUMERO Fonte: Economic Perspectives On Terrorism Insurance published in May 2002 by the Joint Economic Committee of the U.S. Congress Evento Numero di Vittime Perdite Economiche World Trade Center (2001) Bomba Aeroporto Colombo (2001) Bomba Oklahoma City (1995) Bomba Londra (1993) Bomba World Trade Center (1993) mld $ mln $ 145 mln $ 907 mln $ 725 mln $ 1 Il 43% delle organizzazioni non si è mai ripreso dalla Crisi 2 3 Il 90% dei business che perdono i dati come conseguenza di un disastro chiudono nel giro di 2 anni L 80% dei business sprovvisti di un piano di recupero sono costretti a chiudere entro 1 anno dal disastro Fonte: London Chamber of Commerce and Industry Disaster Recovery: Business Tips for Survival, May

11 NON SI SCHERZA PIÙ Un test PsyOps, via Twitter (dal Syrian Electronic Army, un gruppo mercenario pro-assad) Fonte: Evoluzione delle minacce e degli attacchi: dati del 2013, scenari e tendenze, A. Zapparoli Manzoni, Clusit Education 11

12 NON SI SCHERZA PIÙ Il sabotaggio dell account Twitter di Associated Press causò al NYSE una perdita di 53 mld $ in 5 minuti Fonte: Evoluzione delle minacce e degli attacchi: dati del 2013, scenari e tendenze, A. Zapparoli Manzoni, Clusit Education 12

13 LE CONSEGUENZE DELLA CRISI In ogni crisi vi è un «costo psicologico» Ogni crisi comporta un ulteriore, più profonda crisi sul significato e scopo della nostra esistenza, che può portare a una sindrome post traumatica da stress. Tuttavia L origine della parola crisi (dal greco Krisis) significa scelta, decisione In Cinese la parola "crisi" è formata da due caratteri che significano rispettivamente: 危 pericolo 机 opportunità 13

14 BUSINESS CONTINUITY: EVOLUZIONE STORICA Tecnologia Business Executive Management Disaster Recovery Business Continuity Crisis Management Back-up dei dati/on-line mirroring Trading Room attrezzate Recovery desks Duplicazione/Affitto locali CED Archiviazione Nastri in Siti Remoti Investimenti in Telecomunicazioni Ogni linea di Business partecipa attivamente ai test riflette sui processi critici e sulle risorse investe nella Business Continuity Business Impact Analysis Definizione di RTO - Recovery Time Objectives Definizione di RPO Recovery Point Objectives Piani di Business Continuity Management segue un preciso protocollo coordinato dal Crisis Management Team Le decisioni prese più rapidamente. Maggior focus sulla sicurezza delle persone Calling Tree e Piani di Evacuazione Piani di Crisi con distribuzione delle attività nel Management Test con Simulazione Scenari di Crisi Crisi di Zona Attività Metodologia 14

15 BUSINESS CONTINUITY: ERRORI COMUNI La materia è ancora assolutamente pionieristica per il nostro Paese e non è infrequente incorrere in fraintendimenti ed errori metodologici. Di seguito i più comuni: 1 LA BUSINESS CONTINUITY FA PARTE DEL RISK MANAGEMENT FALSO Il Risk Management si fonda - per definizione - su un approccio probabilistico, mentre la Business Continuity parte dal presupposto che un interruzione può avvenire per qualsiasi motivo (probabilità di accadimento = 1) e che quindi bisogna rendere l organizzazione resiliente a prescindere dal rischio specifico di un determinato evento avverso. Le due discipline sono quindi assolutamente complementari ed entrambe fondamentali. 2 LA BUSINESS CONTINUITY SI APPLICA SOLO AL «RISCHIO RESIDUO» FALSO Pensiero estremamente pericoloso e responsabile del fallimento di numerose organizzazioni: applicare la Business Continuity al solo «rischio residuo» significa considerare infallibili i modelli probabilistici su cui si fonda il Risk Management. La Business Continuity va applicata a tutti i processi, prodotti o servizi aziendali. 3 LA BUSINESS CONTINUITY È MATERIA DI PERTINENZA DELL ICT DEPARTMENT FALSO La Business Continuity è una disciplina che mira a conferire resilienza all organizzazione nel suo complesso. Sebbene con l evoluzione tecnologica l ICT abbia permeato sempre più i processi aziendali, esso rimane solo una parte (comunque fondamentale) del Sistema di Gestione della Continuità Operativa. Il Disaster Recovery è infatti solo un sottoinsieme della Business Continuity. 15

16 APPROCCIO ALLA MATERIA Approccio Reattivo Pro: - Semplicità di comprensione (da parte del Management) - Semplicità di realizzazione Approccio Proattivo Pro: - Massimizzazione delle sinergie - Minimizzazione delle perdite economiche - Maggiore efficacia - Maggiori margini di analisi Contro: - La fretta comporta errori - Massimizzazione delle perdite e minimizzazione delle sinergie Contro: - Difficoltà di comprensione (da parte del Management) - Difficoltà di realizzazione 16

17 COSTO O INVESTIMENTO? Organizzazioni Reattive Organizzazioni Proattive Si preoccupano di generare profitti! Si preoccupano di fare la cosa giusta! Suprema ironia, le organizzazioni proattive: Fanno molti più profitti! Statisticamente subiscono meno crisi! Ritornano al business più velocemente e con meno cause legali! 17 Fonte: Prof. Ian I. Mitroff ( University Professor, Alliant International University di San Francisco e University of California Berkeley - President, Comprehensive Crisis Management, Oakland, CA

18 NORME E STANDARD Il Crisis Management in Azienda 18 Sessione di Studio AIEA - Milano, 17 aprile 2015

19 DOVE LA NORMA È GIÀ COGENTE Istituzioni Finanziarie Infrastrutture Critiche Pubbliche Amministrazioni Basilea II Buoni Principi di Gestione del Rischio Operativo D.Lgs. 61/2011 D.Lgs. 235/

20 ISO 22301:2012 & EUROPEAN NORMS 1 PREMESSA 2 La Norma ISO 22301:2012 è stata recentemente inclusa nell elenco delle European Norms 1 (ENs), ovvero documenti ratificati da una delle tre European Standardization Organization competenti in materia di produzione di standard tecnici come da Norma UE n. 1025/ REAZIONI DEL MERCATO 4 Sono già diverse le organizzazioni europee che hanno intrapreso un percorso verso la certificazione secondo i principi dettati dalla Norma ISO 22301:2012. Tra di esse, molte aziende pubbliche o private appartengono alle cosiddette Infrastrutture Critiche o a settori ad esse funzionali (fornitori). SENTIMENT DEGLI ESPERTI Cultori della materia ed esperti a livello internazionale concordano nel pensare che qualora il Parlamento Europeo dovesse decidere di regolamentare la continuità operativa delle Infrastrutture Critiche, la ISO 22301:2012 si trasformerebbe da un «semplice» standard a una norma cogente. PROSPETTIVE PER INFR. CRITICHE Le Infrastruttura Critiche sono quindi fortemente incentivate all adozione dello standard a prescindere dall obbligo normativo. Un Sistema di Gestione della Continuità Operativa conforme alla Norma ISO 22301:2012, infatti, conferisce resilienza ed efficienza a tutta l organizzazione Una EN diventa automaticamente lo standard di riferimento in vigore negli Stati membri del sistema CEN- CENELEC Vantaggi della Certificazione ISO 22301:2012 Resilienza organizzativa Efficienza operativa Perdite derivanti da interruzioni Rischi reputazionali

21 ISO 9001: CONTINUITÀ E QUALITÀ A settembre 2015 verrà pubblicata ufficialmente la revisione della Norma ISO 9001:2008 sul tema della «Gestione per la Qualità», ad oggi in pubblica inchiesta. Questo aggiornamento prevede una serie di innovazioni che hanno diversi punti di contatto con la Business Continuity: 1 METODOLOGIA BASATA SUL PRINCIPIO DI CRITICITÀ Come per lo schema di certificazione ISO 22301:2012, le aziende dovranno provvedere a un analisi delle minacce e al monitoraggio del contesto per pianificare un sistema di gestione adeguato alle proprie criticità. 2 MAGGIOR ENFASI SULLA LEADERSHIP DEL TOP MANAGEMENT Esattamente come previsto anche dalla Norma ISO 22301:2012, questo standard prevede l attribuzione chiara di responsabilità al Top Management nell identificazione degli obiettivi di gestione e nella pianificazione / controllo del cambiamento. 3 ATTENZIONE A PROCESSI, PRODOTTI E SERVIZI FORNITI DA ESTERNI In un contesto sempre più complesso, costituito da processi in outsourcing e forti interdipendenze con la supply-chain, risulta fondamentale avere il presidio della catena del valore nel suo complesso per assicurare qualità e continuità alle proprie attività. Si può dunque concludere che vi siano molteplici sinergie tra questi due importanti Standard! 21

22 IL BUSINESS CONTINUITY MANAGEMENT SYSTEM Il Crisis Management in Azienda 22 Sessione di Studio AIEA - Milano, 17 aprile 2015

23 BCI GOOD PRACTICE GUIDELINES 2013 GESTIONE DELLA POLICY E DEL PROGRAMMA FASE 1 INCORPORAZIONE NELLA CULTURA AZIENDALE FASE 2 ANALISI E PROGETTAZIONE 1 FASE 3 IMPLEMENTAZIONE DEI PIANI DI CONTINUITÀ FASE 4 CONVALIDA E MANUTENZIONE FASE Le fasi indicate dalle BCI Good Practice Guidelines sono 6, perché Analisi e Progettazione vengono considerate due fasi separate. In questa slide sono state unite per ragioni puramente grafiche e di sintesi

24 IL BCMS IN AZIENDA: PERCHÉ È FONDAMENTALE PERCHÉ UN AZIENDA SI DOVREBBE DOTARE DI UN SISTEMA DI GESTIONE? La continuità operativa deve essere gestita secondo un approccio olistico Un BCMS conferisce maggiore efficienza all organizzazione nel suo complesso Con un BCMS i costi di recupero da un interruzione si riducono sensibilmente È dimostrato che chi investe sulla propria continuità operativa, ottiene maggiori profitti Fonte: studio del Prof. Ian Mitroff, padre delle metodologie di Crisis Management e docente presso la University of South California e la University of Berkeley California (

25 LA BUSINESS IMPACT ANALYSIS A = analisi Ciò significa che dobbiamo eliminare il più possibile le opinioni soggettive e rendere i risultati oggettivi e comparabili 25

26 COSA NON È LA BUSINESS IMPACT ANALYSIS Progetto Organizzativo Valutazione dei Clienti Valutazione del Prodotto Valutazione delle Risorse La BIA è un analisi d impatto! Valutazione dei Rischi Assessment di stabilità dell edificio Valutazione dei Profitti Valutazione del Processo 26

27 COSA SI INTENDE PER «CRITICO» In un organizzazione ci sono diverse funzioni che pur essendo estremamente importanti, non sono critiche. Queste funzioni non saranno dunque soggette ad alcuna analisi di impatto, né a strategie costose per assicurare il recupero delle attività in caso di crisi. Esse avranno in ogni caso un Piano e saranno considerate parte del BCMS. CRITICO IMPORTANTE CRITICO = TIME SENSITIVE / URGENTE 27

28 I REQUISITI PER LE RISORSE Risorse Normale Normale Sostenibile Minimo Accettabile Tempo 28

29 I REQUISITI PER LE RISORSE - OSSERVAZIONI Risorse Minimo Accettabile Sostenibile Normale Normale Tempo 29

30 IL PIANO DI CRISI Chi Chi ha la responsabilità delle azioni di recupero Cosa Cosa è necessario per recuperare/continuare le funzioni e l operatività Dove Dove andare per recuperare/continuare le funzioni e l operatività Quando Quando devono essere ripristinate le funzioni di business e l operatività Come Come effettuare il recupero (procedure dettagliate di ripristino, continuità e ritorno alla normalità) 30

31 Attività LA SOSTENIBILITÀ DEL PIANO NEL TEMPO Normale Normale Sostenibile Minimo Accettabile Tempo Emergenza Crisi Continuità Recupero Disattivazione 31

32 CASI DI STUDIO Il Crisis Management in Azienda 32 Sessione di Studio AIEA - Milano, 17 aprile 2015

33 33 THE BUSINESS CONTINUITY PLAN - VIDEO

34 34 CANTOR FITZGERALD CASE HISTORY

35 CANTOR FITZGERALD - BACK TO BUSINESS Sept. 11 th Cantor Fitzgerald ha perso il 70% della sua forza lavoro La prima riunione di crisi si è tenuta a casa di un Executive Manager I dipendenti sopravvissuti si sono incontrati al Pierre Hotel a Midtown Cantor Fitzgerald aveva un Piano di Crisi e un sito di back-up a Londra Sept. 13 th Cantor Fitzgerald torna operativa sui mercati Risultato straordinario reso possibile da una grande cultura aziendale! 35

36 36 NYC OEM - UNA BEST PRACTICE INTERNAZIONALE

37 ELLIS ISLAND LA COMPLESSITÀ DI NEW YORK CITY WALL STREET 61 HOSPITALS $1.13 TRILLION GDP 21 ACTIVE US MILITARY INSTALLATIONS THE STATUE OF LIBERTY ONE-THIRD OF THE NATION S LARGEST MEDIA COMPANIES 22 UNDERWATER RAIL TUNNELS THE UNITED NATIONS 5 MILLION DAILY SUBWAY PASSENGERS THE NEW YORK STOCK EXCHANGE 2.5 MILLION DAILY BUS PASSENGERS THE BROOKLYN BRIDGE 92.4 MILLION ANNUAL AIR TRAVELERS TWO MAJOR LEAGUE BASEBALL STADIUMS 950 COMMERCIAL VESSELS IN THE NEW YORK HARBOR BARCLAY S CENTER 51 MILLION ANNUAL TOURISTS 182 NURSING HOMES 800,000 DAILY COMMUTERS INDIAN POINT NUCLEAR POWER PLANT 600 CULTURAL INSTITUTIONS THE EMPIRE STATE BUILDING BROOKHAVEN NATIONAL LABORATORY 8.2 MILLION RESIDENTS 37

38 38 BRITISH PETROLEUM CASE HISTORY

39 39 REBRANDING LA QUESTIONE REPUTAZIONALE

40 DIBATTITO E CONCLUSIONI Il Crisis Management in Azienda 40 Sessione di Studio AIEA - Milano, 17 aprile 2015

41 LA CERTIFICAZIONE BCI I professionisti certificati dal Business Continuity Institute ( hanno competenze riconosciute a livello internazionale e operano secondo la metodologia indicata dalle BCI Good Practice Guidelines 2013, basate sulla Norma ISO 22301:2012. Inoltre, un professionista BCI garantisce l allineamento del linguaggio! l adozione di best practice di mercato! una metodologia sviluppata dai massimi esperti di business continuity al mondo! 41

42 42 THE BCI ITALIAN FORUM

43 IL CRISIS MANAGEMENT IN AZIENDA Norma ISO 22301:2012 & BCI Good Practice Guidelines 43 Sessione di Studio AIEA - Milano, 17 aprile 2015