Uno storage in cloud dovrebbe essere considerato un sistema sicuro (safe) e dotato di piani di recovery. Eppure, l’incendio che ha interessato il campus di Strasburgo dell’azienda di web hosting francese OVH (oltre 1,5 milioni di clienti a livello globale) ha provocato una interruzione nella fornitura dei servizi la cui durata temporale resta ancora indefinita. Di conseguenza, molti sono stati i disservizi a siti web italiani, suscitando dubbi da più parti sull’affidabilità di tali infrastrutture. In casi come questo, la figura del risk manager assume un ruolo assolutamente strategico per le imprese.
La resilienza dei cloud può garantire la continuità aziendale
Nonostante la momentanea inaccessibilità dei dati, è pressoché sicuro che non sia andato perduto un solo byte dei dati, scongiurando così una delle principali preoccupazioni delle numerosissime aziende clienti di OVH. Certamente si sono verificati rallentamenti e temporanee indisponibilità di alcuni servizi, ma la struttura cloud si è dimostrata affidabile e particolarmente resiliente proprio in caso di un evento avverso di questo genere, in quanto le architetture sono progettate per essere ridondanti.
A prescindere dall’improbabilità di una perdita di dati, la momentanea indisponibilità degli stessi è un elemento di gestione del rischio di cui tenere conto: i provider che offrono servizi in cloud, generalmente applicano la ridondanza a tutti i livelli della loro infrastruttura, ma di per sé questo approccio non è sufficiente a prevenire guasti o anomalie.
In caso, ad esempio, il malfunzionamento riguardi dei componenti locali (come avvenuto a Strasburgo), si verifica un’interruzione del servizio. Una buona pratica per le imprese e le organizzazioni che utilizzano il cloud storage è adottare a loro volta la ridondanza, distribuendo i gateway di cloud storage e i collegamenti con una logica di decuplicazione associata al risk management.
L’adozione di piani di continuità e “disaster recovery plan” fanno sì che una serie di azioni e responsabilità definite garantiscano il contenimento delle conseguenze economiche e reputazionali: tra queste, possiamo annoverare l’improvviso fermo delle attività, i costi addizionali per essere in grado di riprenderla nel minor tempo possibile e, come nel caso di un service provider, nei danni causati ai propri clienti dalla sospensione o ritardo nel servizio.
Non solo cybersicurezza: la prevenzione negli incidenti “tradizionali”
Secondo l’Allianz Risk Barometer 2021, gli incidenti informatici (crimine informatico, violazione dei dati, guasti IT) sono al terzo posto nella classifica dei rischi maggiormente percepiti dalle aziende a livello globale, e addirittura al primo posto per quanto riguarda l’Italia.
Con l’accelerazione verso la digitalizzazione provocata dalla pandemia, si sono intensificate in parallelo anche le vulnerabilità IT e sono aumentate le opportunità di intrusione, con nuovi scenari di rischio in costante sviluppo. Gli incidenti di ransomware sono diventati sempre più gravi; inoltre, la protezione dei dati, assieme alla regolamentazione della privacy e alle multe per le violazioni continuano la loro tendenza a rialzo, rientrando di fatto nel rischio di compliance.
Questo evento fa riflettere, tuttavia, sul fatto che sul fronte della cybersicurezza non sono soltanto i rischi legati alle intrusioni quelli su cui è necessario tenere alta l’attenzione, ma anche la prevenzione e il controllo dei rischi più tradizionali, come quelli, ad esempio, da surriscaldamento degli impianti elettrici, che molto probabilmente è stata la causa di innesco dell’incendio di Strasburgo.
Su questo fronte, sono consolidate da anni tecniche di controllo (riduzione dell’impatto) e prevenzione (riduzione della probabilità) del rischio, che devono essere congegnate in fase di progettazione, assieme a un piano di analisi e verifiche. Tali tecniche vanno dai sistemi di rilevazione fumo e temperatura, ai dispositivi di controllo e spegnimento automatico mediante gas estinguenti (l’utilizzo di impianti ad acqua è ovviamente da evitare negli impianti elettrici), alle analisi termografiche periodiche che permettono di accertare eventuali “near miss” e porre preventivamente in essere la manutenzione preventiva.
Non meno importante è l’utilizzo di cavi non propaganti la fiamma che impediscono, o quanto meno ritardano, la diffusione del fuoco verso luoghi diversi da quelli in cui l’incendio ha avuto origine e la compartimentazione degli ambienti.
Il ruolo chiave del risk manager
In un contesto di questo tipo, la figura del risk manager si conferma assolutamente strategica per le imprese. Da anni, come Associazione dei Risk Manager ci siamo posti l’obiettivo di svincolare questo ruolo da una visione prettamente assicurativa, lavorando per una diffusione della cultura del rischio dal punto di vista finanziario e qualitativo. È ormai chiaro, infatti, che si tratti di una figura in continua evoluzione, che assume un ruolo sempre più strategico e imprescindibile in azienda, configurandosi come il punto di visione e coordinamento complessivo dei rischi aziendali, attraverso l’utilizzo di metodologie consolidate di analisi e mitigazione.
La dirompente crisi pandemica ha confermato che un approccio “risk based” è in grado di anticipare l’analisi degli scenari, valutare tempestivamente le contromisure, contrastare efficacemente gli effetti negativi di una crisi. Una nuova consapevolezza che si riflette anche nei numeri: mentre si avvicina al cinquantesimo anniversario dalla sua fondazione, ANRA è arrivata a rappresentare oltre 700 tra risk manager dipendenti di aziende e consulenti professionali, provenienti da imprese pubbliche e private che rappresentano oltre il 25% del PIL italiano.
Per proteggere l’azienda in maniera efficace, in particolare dal punto di vista informatico, è necessario un lavoro congiunto tra tutti gli attori, sfruttando anche tecnologie all’avanguardia come l’AI, che grazie a monitoraggi e segnalazioni più accurati, è in grado di ottimizzare le rilevazioni sui possibili rischi che l’organizzazione dovrà affrontare.
