Secondo una recente ricerca del Business Continuity Institute, nel corso del 2016 il 70% delle organizzazioni nel mondo ha avuto a che fare con una o più interruzioni derivate dai fornitori, originate quindi nella supply chain. Tra le cause di questi incidenti, le principali sono i problemi IT, la perdita di talenti e skill, e gli attacchi cyber o data breach. Data la rilevanza che ha acquistato il tema, ne abbiamo parlato con Gianna Detoni, BCI Italy Forum Leader e Fondatrice di PANTA RAY, tra i maggiori esperti a livello internazionale di tecniche di organizzazione e Risk Resiliency.
TIG. Quali sono oggi le minacce alla resiliency di un’organizzazione che possono derivare da problemi originati dalla supply chain?
Gianna Detoni. Innanzitutto è bene specificare che la resilienza di un’organizzazione non dipende soltanto dal grado di attenzione della stessa alla questione, ma dall’impegno di tutti gli stakeholder che intervengono in una qualche maniera nei processi critici (tra questi, senza dubbio, vi sono i fornitori). Parlando nello specifico di supply chain, un recente report del Business Continuity Institute ha mostrato che – nel corso del 2016 – il 70% delle organizzazioni nel mondo ha avuto a che fare con una o più interruzioni derivate dai fornitori. Nella maggior parte dei casi, queste interruzioni hanno comportato per le organizzazioni problemi di natura economica (perdita di produttività e aumento del costo del lavoro), commerciale (perdita di ricavi e della qualità del servizio) e reputazionale (danni all’immagine del brand e reclami dalla clientela).
Tra le cause di questi incidenti, le principali sono i problemi IT, la perdita di talenti e skill, e attacchi cyber o data breach.
TIG. Guardando ai rischi cyber, è quindi possibile che debolezze in termini di cybersecurity dei fornitori abbiano impatti gravi sull’azienda? Qualche esempio?
Gianna Detoni. Sicuramente. È emblematico il caso di Target, la seconda più grande catena di discount degli Stati Uniti. Durante le vacanze di Natale del 2013, gli hacker sono riusciti a entrare nei sistemi dell’azienda tramite una falla nei server del fornitore degli impianti di climatizzazione per i punti vendita. In questo modo hanno avuto accesso ai dati e alle carte di credito di oltre 100 milioni di persone. Questo ha ovviamente generato un gigantesco danno economico, commerciale, legale e reputazionale per Target, che evidentemente non aveva analizzato a dovere la propria supply chain e le minacce che ne potevano derivare.
Si potrebbero citare molti altri casi con una dinamica assimilabile. Ad esempio Home Depot, altro grosso retailer statunitense, ha subito un attacco simile dopo un furto di credenziali a danno di un fornitore.
Nell’analizzare la propria supply chain, le organizzazioni devono fare particolare attenzione ai fornitori che rappresentano singoli punti di cedimento o concentrazioni inaccettabili di rischio, ovvero quelle situazioni in un cui un incidente o un’interruzione dalla parte del fornitore ha un impatto diretto e determinante sulle attività e i processi urgenti dell’organizzazione stessa. In questi casi, è necessario assicurarsi della resilienza dei fornitori e della robustezza dei loro sistemi di sicurezza con gli stessi principi e lo stesso rigore che useremmo per la nostra organizzazione.
TIG. Come affrontare i problemi di cyber risk management associati alla supply chain? Quali sono le best practices internazionali?
Gianna Detoni. Approcciando il discorso da un punto di vista culturale, prima ancora che tecnico. Software antivirus, firewall e altre soluzioni tecniche sono indispensabili, ma sono veramente efficaci solo se diventano parte integrante di un processo di gestione del rischio e della continuità operativa che coinvolga l’intera organizzazione (non solo la funzione IT) e anche la supply chain.
In termini pratici, se abbiamo bisogno di avere garanzie da parte dei fornitori, dobbiamo pretendere la possibilità di effettuare una revisione indipendente del loro livello di affidabilità. Tale revisione dovrebbe essere concordata nel momento in cui si stipula il contratto.
In termini di standard e best practices internazionali, si può fare riferimento alla ISO/IEC 27005:2011 sull’information security risk management e alla ISO/TS 22318:2015 sulla supply chain continuity, oltre che alle diverse fonti normative in materia. Inoltre, il Business Continuity Institute nel 2017 ha incentrato la Business Continuity Awareness Week sul tema della cyber resilience e – per l’occasione – ha prodotto una serie di contenuti molto interessanti, che sono a disposizione di chiunque gratuitamente sul loro sito.
TIG. Come aggiornare i piani di Business Continuity per tener conto dei rischi legati alla supply chain? è possibile anche assicurarsi da questi rischi?
Gianna Detoni. Per garantirsi dei piani efficaci, serve adottare un approccio strutturato che preveda analisi e progettazione di specifiche strategie e tattiche. Pianificare senza conoscere le priorità dell’organizzazione e la strategia complessiva di risposta può essere inutile o addirittura dannoso. Ovviamente, questi ragionamenti devono tenere in considerazione non solo l’organizzazione al suo interno, ma tutte le parti interessate, inclusi i fornitori che andrebbero ad esempio coinvolti nelle attività di test del sistema di gestione della business continuity.
Una delle misure per difendersi dai rischi della supply chain può sicuramente essere un’assicurazione (tipicamente quelle volte a coprire i danni derivanti dal fermo dell’attività), ma attenzione: l’assicurazione da sola non può essere sufficiente. Per intenderci, un’assicurazione può coprire le perdite economiche derivanti da un’interruzione, ma non potrà mai esentarci dalle responsabilità normative e non ci aiuterà a mitigare il danno reputazionale, che è sempre quello più significativo.
Per questo motivo, in un’ottica generale di continuità operativa e resilienza organizzativa, si raccomanda di valutare tutti i possibili tipi di impatto e pianificare di conseguenza la strategia di reazione più appropriata.
UN’INTERVISTA di Elena Vaciago, Associate Research Manager di The Innovation Group, a:
GIANNA DETONI, BCI Italy Forum Leader e Fondatrice di PANTA RAY