Il Sistema Paese: una grande azienda
La sicurezza stessa è un qualcosa da proteggere. L’esserne consapevoli è l’asso nella manica.
V. Ferlizzi
Tenuto conto degli avvenimenti che hanno profondamente segnato il nostro Paese negli ultimi mesi, nasce spontaneo porsi una domanda, ovvero, pur nel rispetto dell’ordinamento giuridico, “sarà sempre più necessario gestire il Sistema Paese come una grande azienda?”.
Per spiegare nel concreto le motivazioni che inducono a propendere per una risposta affermativa, appare opportuno prendere d’esempio la tragica crisi sanitaria che ha segnato il mondo in questi ultimi anni e stabilire quali aspetti possano essere presi in prestito appunto da una grande azienda nella gestione di un Paese.
Circa due anni prima della stesura del presente elaborato, nessun abitante del Pianeta avrebbe mai immaginato che di lì a poco il mondo sarebbe cambiato a causa di un virus, apparentemente sconosciuto alla medicina, ma soprattutto al nostro sistema immunitario: il Sars-CoV-19.
L’11 marzo 2020 il Direttore Generale dell’OMS, Tedros Adhanom Ghebreyesus, in collegamento da Ginevra, durante un briefing richiesto per la specifica situazione sanitaria, dichiarò lo status di “PANDEMIA” scrivendo una pagina importante per la storia contemporanea.
Purtroppo nei giorni successivi il numero dei contagi continuò a salire al punto che il governo italiano fu costretto ad emanare un primo DPCM sospendendo gran parte delle attività produttive e vietando ai cittadini lo spostamento da un “comune diverso rispetto a quello in cui attualmente si trovavano”.
Oggi, certamente possiamo considerarci nella fase della “gestione” e non più in quella della crisi, cercando, con non poche limitazioni, di ricostruire o quantomeno mitigare le innumerevoli problematiche che il virus ha causato.
Quindi, per ritornare alla domanda iniziale, e volendo utilizzare la pandemia quale caso studio, ho ritenuto opportuno chiedere in prestito all’informatica il concetto di “business continuity” e “disaster recovery”, entrambi chiamati in causa nella gestione di “disastri” o “situazioni critiche”, come d’altronde è stato il periodo pandemico.
Entrando sempre più nel dettaglio, possiamo certamente affermare che il concetto di business continuity, qualora analizzato non nei suoi aspetti più tecnici, ma bensì nella filosofia d’approccio, rappresenta un punto fondamentale per ogni organizzazione, indifferentemente dalla tipologia o complessità, in quanto incentrato nell’identificazione delle potenziali minacce, proponendo delle contromisure utili alla riduzione o addirittura annullamento delle conseguenze dovute ad un evento dannoso, garantendo quindi una continuità produttiva.
Il suddetto argomento ha ormai raggiunto una tale importanza al punto che è divenuto oggetto anche di certificazione, la ISO 22301, mediante la quale il legislatore ha definito i requisiti per un efficiente BCMS (business continuity management system).
Quest’ultimo, si fonda su pilastri fondamentali che, seppur brevemente andremo a riepilogare:
- Identificazione degli obbiettivi che il piano deve avere, che ovviamente variano in funzione della tipologia dell’azienda, del settore interessato e dell’emergenza presa in esame;
- Selezione e formazione degli attori coinvolti nelle differenti fasi previste dal piano, evidenziando una gerarchia ritenuta indispensabile in caso di emergenza;
- Identificazione degli aspetti ritenuti fondamentali per il ciclo produttivo dell’azienda presa in esame, che saranno poi oggetto di particolare attenzione nella redazione del piano stesso;
- Comprensione ed analisi del rischio, durante la quale si esegue un attento studio delle potenziali minacce e le eventuali conseguenze in caso di accadimento;
- Redazione del business continuity plan, effettuata mediante l’unione di tutte le precedenti fasi, nel rispetto dei tre principali aspetti ovvero la prevenzione, la gestione e il superamento della crisi;
- Revisione, ovvero la verifica periodica del funzionamento e della validità delle procedure previste dal business continuity plan.
A tale aspetto è strettamente legato quello del già citato disaster recovery, anch’esso riconducibile al mondo IT ed utilizzato per consentire all’organizzazione di recuperare la funzionalità dei vari sistemi e di tutte quelle infrastrutture presenti all’interno di un’organizzazione danneggiate da un evento improvviso.
Per molti è parte integrante del Business Continuity Plan, ovvero la capacità di un’organizzazione di attuare un piano di recupero utile alla mitigazione del danno arrecato da un determinato evento.
Nello specifico, all’interno del DRP (Disaster Recovery Plan) vengono riportate tutte le misure da adottare in caso di emergenza.
Al fine di poter redigere il suddetto piano, risulta fondamentale ricomprendere dei concetti imprescindibili, nel rispetto del quadro normativo di riferimento e della tipologia dell’organizzazione per la quale lo si struttura:
- Studio di fattibilità, ovvero rendere il piano vantaggioso nel rapporto costo/benefici, andando a selezionare tutti gli strumenti necessari al raggiungimento degli obiettivi prefissati;
- Implementazione del piano, durante la quale vengono poste in evidenza tecnologie, procedure e figure coinvolte nelle varie attività;
- Test del piano per verificare l’effettiva efficacia ed efficienza dello stesso;
- Verifiche periodiche utili all’analisi delle differenti attività previste e alla risoluzione di eventuali falle del piano stesso, nel breve, medio e lungo termine.
Tornando al caso preso in esame, attualmente non è più necessario valutare i rischi poiché questi ultimi sono divenuti danni, i quali hanno portato con sé delle conseguenze negative soprattutto per le piccole e medie imprese, per l’occupazione e quindi il benessere del cittadino, da un punto di vista sia socio-economico, che sanitario.
Ovviamente questa seppur breve analisi degli aspetti ritenuti fondamentali per qualsiasi azienda, ha il semplice scopo di proporre un punto di vista differente nella gestione delle emergenze, applicando la capacità di resilienza sviluppata dal mondo imprenditoriale, anche nella gestione di un Paese, volgendo sempre più verso una collaborazione bidirezionale tra pubblico e privato.
In conclusione, volendomi affidare alle precedenti parole, e volendo totalmente distaccarmi dall’aspetto meramente politico, appare evidente come il mantenimento dei servizi considerati “fondamentali” rappresenti un obbiettivo primario, così come fondamentale è avere la possibilità di avvalersi di professionisti e procedure, utili al recupero del danno sia per un’azienda che per il Sistema Paese, entrambi composti da persone, le quali pretendono di vivere sine cura.
Articolo a cura di Valerio Ferlizzi
Valerio Ferlizzi si laurea a 22 anni in Scienze per l’investigazione e la sicurezza presso l’Università degli studi di Perugia, discutendo una tesi sperimentale sulla figura del Security Manager.
Inizia la sua carriera professionale come Internal auditor nella Gecom SpA, società leader nel settore della sicurezza privata. Nella stessa viene nominato area manager e contestualmente completa il suo ciclo di studi laureandosi in Relazioni internazionali discutendo una tesi incentrata sul concetto della mediazione.
Oggi ricopre il ruolo di Security Manager acquisendo la certificazione UNI - 10459/ “professionista della sicurezza- II livello