1 1

Sessione di Studio AIEA - Milano, 17 aprile 2015

IL CRISIS MANAGEMENT IN AZIENDA

Norma ISO 22301:2012 & BCI Good Practice Guidelines

2 2

AGENDA

INTRODUZIONE

NORME E STANDARD

IL BUSINESS CONTINUITY MANAGEMENT SYSTEM

CASI DI STUDIO

DIBATTITO E CONCLUSIONI

3 3

Sessione di Studio AIEA - Milano, 17 aprile 2015

INTRODUZIONE

Il Crisis Management in Azienda

4 4

La comunicazione inerente ai temi della gestione del rischio e degli eventi critici

cresce…

…il senso di sicurezza diminuisce!

EVOLUZIONE DELL’APPROCCIO AL RISCHIO

5 5

RISCHIO E PAURA DEL RISCHIO

Condizione di paura molto simile a quella delle popolazioni primitive…

…per cui si assiste ad una perdita di ottimismo e a una crescente condizione di paura legata alla percezione del rischio

proprio nei sistemi sociali avanzati, supertecnologici!

6 6

…appare insito nell’uomo, legato alle sue decisioni e

proiettato perciò nel futuro

…era soprattutto legato ad eventi naturali esterni

all’individuo

CAMBIA IL CONCETTO DI RISCHIO

Nelle Società pre-moderne… Nelle Società avanzate…

7 7

Il rischio appare sempre più legato all’agire umano…

LA SOCIETÀ DEL BENESSERE

…più una società eleva gli standard di benessere,

più si espone ai rischi!

8 8

RESILIENZA AL RISCHIO - DEFINIZIONE

La resilienza è definita come la capacità di un materiale di resistere a forze impulsive

Un’organizzazione è resiliente quando ha la capacità di cambiare e adattarsi prima che il rischio di riferimento la

costringa a farlo!

9 9

CRISI - DEFINIZIONE

«Una crisi è un evento grave che distrugge tutte le nostre precedenti convinzioni»

- Prof. Ian Mitroff -

10 10

QUALCHE NUMERO

Evento Numero

di Vittime

Perdite Economiche

World Trade Center (2001)

Bomba Aeroporto Colombo (2001)

Bomba Oklahoma City (1995)

Bomba Londra (1993)

Bomba World Trade Center (1993)

3.014

20

166

1

6

40 mld $ +

398 mln $

145 mln $

907 mln $

725 mln $

Fonte: “Economic Perspectives On Terrorism Insurance” published in May 2002 by the Joint Economic Committee of the U.S. Congress

Il 43% delle organizzazioni non si è mai ripreso dalla Crisi

Il 90% dei business che perdono i dati come conseguenza di un disastro chiudono nel giro di 2 anni

L’80% dei business sprovvisti di un piano di recupero sono costretti a chiudere entro 1 anno dal disastro

1

2

3

Fonte: London Chamber of Commerce and Industry “Disaster Recovery: Business Tips for Survival, May 2003”

11 11

NON SI SCHERZA PIÙ

Fonte: Evoluzione delle minacce e degli attacchi: dati del 2013, scenari e tendenze, A. Zapparoli Manzoni, Clusit Education

Un “test” PsyOps, via Twitter

(dal “Syrian Electronic Army”, un gruppo mercenario pro-Assad)

12 12

NON SI SCHERZA PIÙ

Fonte: Evoluzione delle minacce e degli attacchi: dati del 2013, scenari e tendenze, A. Zapparoli Manzoni, Clusit Education

Il sabotaggio dell’account Twitter di Associated Press causò al NYSE una perdita di 53 mld $ in 5 minuti

13 13

LE CONSEGUENZE DELLA CRISI

In ogni crisi vi è un «costo psicologico»…

Ogni crisi comporta un’ulteriore, più profonda crisi sul significato e scopo della nostra esistenza, che può portare a

una sindrome post traumatica da stress.

Tuttavia…

L’origine della parola crisi (dal greco Krisis) significa

scelta, decisione

In Cinese la parola "crisi" è formata da due caratteri che significano rispettivamente:

危 pericolo

机 opportunità

14 14

Tecnologia Business Executive

Management

Disaster Recovery Business Continuity Crisis Management

Back-up dei dati/On-line mirroring

Trading Room attrezzate

Recovery desks

Ogni linea di Business

partecipa attivamente ai test

riflette sui processi critici e sulle risorse

investe nella Business Continuity

Management segue un preciso protocollo coordinato dal “Crisis Management Team”

Le decisioni prese più rapidamente. Maggior focus sulla sicurezza delle persone

Duplicazione/Affitto locali CED

Archiviazione Nastri in Siti Remoti

Investimenti in Telecomunicazioni

Business Impact Analysis

Definizione di “RTO - Recovery Time Objectives”

Definizione di “RPO – Recovery Point Objectives”

Piani di Business Continuity

“Calling Tree” e Piani di Evacuazione

Piani di Crisi con distribuzione delle attività nel Management

Test con Simulazione Scenari di Crisi

Crisi di Zona

Attività

Meto

do

logia

BUSINESS CONTINUITY: EVOLUZIONE STORICA

15 15

BUSINESS CONTINUITY: ERRORI COMUNI

La materia è ancora assolutamente pionieristica per il nostro Paese e non è infrequente incorrere in fraintendimenti ed errori metodologici. Di seguito i più comuni:

1 LA BUSINESS CONTINUITY FA PARTE DEL RISK MANAGEMENT FALSO

Il Risk Management si fonda - per definizione - su un approccio probabilistico, mentre la Business Continuity parte dal presupposto che un’interruzione può avvenire per qualsiasi motivo (probabilità di accadimento = 1) e che quindi bisogna rendere l’organizzazione resiliente a prescindere dal rischio specifico di un determinato evento avverso. Le due discipline sono quindi assolutamente complementari ed entrambe fondamentali.

2 LA BUSINESS CONTINUITY SI APPLICA SOLO AL «RISCHIO RESIDUO» FALSO

Pensiero estremamente pericoloso e responsabile del fallimento di numerose organizzazioni: applicare la Business Continuity al solo «rischio residuo» significa considerare infallibili i modelli probabilistici su cui si fonda il Risk Management. La Business Continuity va applicata a tutti i processi, prodotti o servizi aziendali.

3 LA BUSINESS CONTINUITY È MATERIA DI PERTINENZA DELL’ICT DEPARTMENT FALSO

La Business Continuity è una disciplina che mira a conferire resilienza all’organizzazione nel suo complesso. Sebbene con l’evoluzione tecnologica l’ICT abbia permeato sempre più i processi aziendali, esso rimane solo una parte (comunque fondamentale) del Sistema di Gestione della Continuità Operativa. Il Disaster Recovery è infatti solo un sottoinsieme della Business Continuity.

16 16

APPROCCIO ALLA MATERIA

Pro:

- Semplicità di comprensione (da parte del Management)

- Semplicità di realizzazione

Contro:

- La fretta comporta errori

- Massimizzazione delle perdite e minimizzazione delle sinergie

Pro:

- Massimizzazione delle sinergie

- Minimizzazione delle perdite economiche

- Maggiore efficacia

- Maggiori margini di analisi

Contro:

- Difficoltà di comprensione (da parte del Management)

- Difficoltà di realizzazione

Approccio Reattivo Approccio Proattivo

17 17

Suprema ironia, le organizzazioni proattive:

Fonte: Prof. Ian I. Mitroff (www.mitroff.net) – University Professor, Alliant International University di San Francisco e University of California Berkeley - President, Comprehensive Crisis Management, Oakland, CA

COSTO O INVESTIMENTO?

Si preoccupano di generare profitti!

Si preoccupano di fare la cosa giusta!

Organizzazioni Reattive

Organizzazioni Proattive

Fanno molti più profitti!

Statisticamente subiscono meno crisi!

Ritornano al business più velocemente e con meno cause legali!

18 18

Sessione di Studio AIEA - Milano, 17 aprile 2015

NORME E STANDARD

Il Crisis Management in Azienda

19 19

Istituzioni Finanziarie

Basilea II Buoni Principi di

Gestione del Rischio Operativo

Infrastrutture Critiche

D.Lgs. 61/2011

Pubbliche Amministrazioni

D.Lgs. 235/2010

DOVE LA NORMA È GIÀ COGENTE

20 20

ISO 22301:2012 & EUROPEAN NORMS

PREMESSA

1Una EN diventa automaticamente lo standard di riferimento in vigore negli Stati membri del sistema CEN-CENELEC

La Norma ISO 22301:2012 è stata recentemente inclusa nell’elenco delle European Norms1 (ENs), ovvero documenti ratificati da una delle tre European Standardization Organization competenti in materia di produzione di standard tecnici come da Norma UE n. 1025/2012.

SENTIMENT DEGLI ESPERTI

Cultori della materia ed esperti a livello internazionale concordano nel pensare che qualora il Parlamento Europeo dovesse decidere di regolamentare la continuità operativa delle Infrastrutture Critiche, la ISO 22301:2012 si trasformerebbe da un «semplice» standard a una norma cogente.

REAZIONI DEL MERCATO

Sono già diverse le organizzazioni europee che hanno intrapreso un percorso verso la certificazione secondo i principi dettati dalla Norma ISO 22301:2012. Tra di esse, molte aziende pubbliche o private appartengono alle cosiddette Infrastrutture Critiche o a settori ad esse funzionali (fornitori).

PROSPETTIVE PER INFR. CRITICHE

Le Infrastruttura Critiche sono quindi fortemente incentivate all’adozione dello standard a prescindere dall’obbligo normativo. Un Sistema di Gestione della Continuità Operativa conforme alla Norma ISO 22301:2012, infatti, conferisce resilienza ed efficienza a tutta l’organizzazione.

1 2

3 4

Vantaggi della Certificazione

ISO 22301:2012

Resilienza organizzativa

Efficienza operativa

Perdite derivanti da interruzioni

Rischi reputazionali

21 21

ISO 9001:2015 - CONTINUITÀ E QUALITÀ

A settembre 2015 verrà pubblicata ufficialmente la revisione della Norma ISO 9001:2008 sul tema della «Gestione per la Qualità», ad oggi in pubblica inchiesta. Questo aggiornamento prevede una serie di innovazioni che hanno diversi punti di contatto con la Business Continuity:

Come per lo schema di certificazione ISO 22301:2012, le aziende dovranno provvedere a un’analisi delle minacce e al monitoraggio del contesto per pianificare un sistema di gestione adeguato alle proprie criticità.

1 METODOLOGIA BASATA SUL PRINCIPIO DI CRITICITÀ

Esattamente come previsto anche dalla Norma ISO 22301:2012, questo standard prevede l’attribuzione chiara di responsabilità al Top Management nell’identificazione degli obiettivi di gestione e nella pianificazione / controllo del cambiamento.

2 MAGGIOR ENFASI SULLA LEADERSHIP DEL TOP MANAGEMENT

In un contesto sempre più complesso, costituito da processi in outsourcing e forti interdipendenze con la supply-chain, risulta fondamentale avere il presidio della catena del valore nel suo complesso per assicurare qualità e continuità alle proprie attività.

3 ATTENZIONE A PROCESSI, PRODOTTI E SERVIZI FORNITI DA ESTERNI

Si può dunque concludere che vi siano molteplici sinergie

tra questi due importanti Standard!

22 22

Sessione di Studio AIEA - Milano, 17 aprile 2015

IL BUSINESS CONTINUITY MANAGEMENT SYSTEM

Il Crisis Management in Azienda

23 23

BCI GOOD PRACTICE GUIDELINES 2013

GESTIONE DELLA POLICY E DEL PROGRAMMA

INCORPORAZIONE NELLA CULTURA AZIENDALE

ANALISI E PROGETTAZIONE1

IMPLEMENTAZIONE DEI PIANI DI CONTINUITÀ

CONVALIDA E MANUTENZIONE

FASE 1

FASE 2

FASE 3

FASE 4

FASE 5

1Le fasi indicate dalle BCI Good Practice Guidelines sono 6, perché Analisi e Progettazione vengono considerate due fasi separate. In questa slide sono state unite per ragioni puramente grafiche e di sintesi

24 24

IL BCMS IN AZIENDA: PERCHÉ È FONDAMENTALE

La continuità operativa deve essere gestita secondo un approccio olistico

Con un BCMS i costi di recupero da un’interruzione si riducono sensibilmente

È dimostrato che chi investe sulla propria continuità operativa, ottiene maggiori profitti1

Un BCMS conferisce maggiore efficienza all’organizzazione nel suo complesso

PERCHÉ UN’AZIENDA SI DOVREBBE DOTARE DI UN SISTEMA DI GESTIONE?

1Fonte: studio del Prof. Ian Mitroff, padre delle metodologie di Crisis Management e docente presso la University of South California e la University of Berkeley California (www.mitroff.net)

25 25

LA BUSINESS IMPACT ANALYSIS

A = analisi

Ciò significa che dobbiamo eliminare il più possibile le opinioni soggettive e rendere i

risultati oggettivi e comparabili

26 26

COSA NON È LA BUSINESS IMPACT ANALYSIS

Progetto Organizzativo

Valutazione del Prodotto

Valutazione dei Clienti

Valutazione delle Risorse

Valutazione dei Rischi La BIA è un’analisi

d’impatto!

Assessment di stabilità dell’edificio

Valutazione del Processo

Valutazione dei Profitti

27 27

COSA SI INTENDE PER «CRITICO»

In un’organizzazione ci sono diverse funzioni che pur essendo estremamente importanti, non sono critiche. Queste funzioni non saranno dunque soggette ad alcuna analisi di impatto, né a strategie costose per assicurare il recupero delle attività in caso di crisi. Esse avranno in ogni caso un Piano e saranno considerate parte del BCMS.

CRITICO ≠ IMPORTANTE

CRITICO = TIME SENSITIVE / URGENTE

28 28

I REQUISITI PER LE RISORSE

Normale

Minimo Accettabile

Sostenibile

Tempo

Ris

ors

e

Normale

29 29

Minimo Accettabile

I REQUISITI PER LE RISORSE - OSSERVAZIONI

Normale

Sostenibile

Tempo

Ris

ors

e Normale

30 30

IL PIANO DI CRISI

Chi

Cosa

Dove

Quando

Come

Chi ha la responsabilità delle azioni di recupero

Cosa è necessario per recuperare/continuare le funzioni e l’operatività

Dove andare per recuperare/continuare le funzioni e l’operatività

Quando devono essere ripristinate le funzioni di business e l’operatività

Come effettuare il recupero (procedure dettagliate di ripristino, continuità e ritorno alla normalità)

31 31

LA SOSTENIBILITÀ DEL PIANO NEL TEMPO

Normale Normale

Minimo Accettabile

Sostenibile Att

ivit

à

Continuità Recupero Disattivazione

Tempo

Emergenza Crisi

32 32

Sessione di Studio AIEA - Milano, 17 aprile 2015

CASI DI STUDIO

Il Crisis Management in Azienda

33 33

THE BUSINESS CONTINUITY PLAN - VIDEO

34 34

CANTOR FITZGERALD – CASE HISTORY

35 35

CANTOR FITZGERALD - BACK TO BUSINESS

Sept. 11th Cantor

Fitzgerald ha perso il 70%

della sua forza lavoro

Cantor Fitzgerald

aveva un Piano di Crisi e un sito

di back-up a Londra

La prima riunione di crisi

si è tenuta a casa di un Executive Manager

Sept. 13th Cantor

Fitzgerald torna operativa sui

mercati

I dipendenti sopravvissuti si sono incontrati al Pierre Hotel

a Midtown

Risultato straordinario reso possibile da una grande

cultura aziendale!

36 36

NYC OEM - UNA BEST PRACTICE INTERNAZIONALE

37 37

LA COMPLESSITÀ DI NEW YORK CITY

$1.13 TRILLION GDP

8.2 MILLION RESIDENTS

51 MILLION ANNUAL TOURISTS

800,000 DAILY COMMUTERS

5 MILLION DAILY SUBWAY PASSENGERS

2.5 MILLION DAILY BUS PASSENGERS

92.4 MILLION ANNUAL AIR TRAVELERS

950 COMMERCIAL VESSELS IN THE NEW YORK HARBOR

22 UNDERWATER RAIL TUNNELS

61 H

OSP

ITA

LS

182 NURSING HOMES

21 ACTIVE US MILITARY INSTALLATIONS

600 CULTURAL INSTITUTIONS

ONE-THIRD OF THE NATION’S LARGEST MEDIA COMPANIES

THE UNITED NATIONS

THE NEW YORK STOCK EXCHANGE

WA

LL S

TR

EET

THE BROOKLYN BRIDGE

THE STATUE OF LIBERTY

ELLIS

ISL

AN

D

THE EMPIRE STATE BUILDING

TWO MAJOR LEAGUE BASEBALL STADIUMS

INDIAN POINT NUCLEAR POWER PLANT

BARCLAY’S CENTER

BROOKHAVEN NATIONAL LABORATORY

38 38

BRITISH PETROLEUM – CASE HISTORY

39 39

REBRANDING – LA QUESTIONE REPUTAZIONALE

40 40

Sessione di Studio AIEA - Milano, 17 aprile 2015

DIBATTITO E CONCLUSIONI

Il Crisis Management in Azienda

41 41

LA CERTIFICAZIONE BCI

I professionisti certificati dal Business Continuity Institute (www.thebci.org) hanno competenze riconosciute a livello

internazionale e operano secondo la metodologia indicata dalle BCI Good Practice Guidelines 2013, basate sulla Norma ISO

22301:2012. Inoltre, un professionista BCI garantisce…

…l’allineamento del linguaggio!

…l’adozione di best practice di mercato!

…una metodologia sviluppata dai

massimi esperti di business continuity

al mondo!

42 42

THE BCI ITALIAN FORUM

43 43

Sessione di Studio AIEA - Milano, 17 aprile 2015

IL CRISIS MANAGEMENT IN AZIENDA

Norma ISO 22301:2012 & BCI Good Practice Guidelines