La Resilienza e i Sistemi di Gestione
Written by redazione
Nel 2014 i ricercatori Francis e Bekera, hanno proposto un framework per l’analisi della resilienza di un sistema. Hanno dunque cercato di identificare le capacità comuni ai vari ambiti, individuandone 3 principali:
- Absorptive Capacity
- Adaptive Capacity
- Restorative Capacity
Partendo da queste capacità (assorbire, adattare e ripristinare) abbiamo cercato di dare una lettura pratica per la costruzione di un sistema resiliente. La nostra esperienza e la conoscenza degli standard internazionale più utilizzati, ci porta ad affermare che le organizzazioni più resilienti hanno sicuramente in comune l’applicazione di sistemi di gestione basati sulle norme ISO, pur tuttavia non rappresentando questo come una garanzia per essere resilienti. Non tutte le organizzazioni dotate di sistemi di gestione infatti lo sono.
In sintesi possiamo dire che la presenza di un sistema di gestione è una condizione necessaria ma non sufficiente.
Il triangolo della resilienza
– Absorptive Capacity, è una misura del grado con cui un sistema è capace di assorbire l’impatto di perturbazioni, minimizzandone le conseguenze con uno sforzo limitato. Nella pratica è una caratteristica dipendente dalla configurazione, dai controlli e dalle procedure operative del sistema.
– Adaptive Capacity, è la capacità di un sistema di apportare qualche cambiamento per adattare il suo funzionamento prima o durante il verificarsi di anomalie, in special modo quando l’absorptive capacity è stata ecceduta. L’absorptive capacity di un sistema è migliorata dalla sua abilità di anticipare potenziali cause di disturbo.
– Restorative Capacity, è la capacità di un sistema di tornare rapidamente ad un’affidabilità di sistema normale o addirittura migliorata dopo il verificarsi di un evento avverso.
Da un punto di vista pratico, le 3 capacità che compongono il framework, vengono riportate in vari punti di numerose norme internazionali.
A titolo di esempio si consideri l’ambito ICT (Information and Communication Technology) di una qualsiasi azienda. Le norme ISO che prendiamo come riferimento sono la ISO 9001 sulla qualità, la ISO 27001 sulla sicurezza delle informazioni e la ISO 22301 sulla continuità operativa. Tutte e tre le norme sono certificabili, sono dunque soggette ad un processo di verifica da parte di un organismo terzo che ne certifica la conformità.
La norma sulla qualità, viene inserita come contenitore principale del sistema di gestione aziendale. E’ la norma che ha più storia ed è arrivata ad un livello di maturità tale, da aver ormai abbracciato tutti i settori merceologici presenti sul mercato, coinvolgendo imprese di tutte le dimensioni. La presenza di questa norma, generalmente, sottolinea la capacità della leadership di porre la corretta attenzione verso la soddisfazione del cliente nell’erogazione di prodotti/servizi con un determinato standard di qualità.
La ISO 27001, o per meglio dire la famiglia delle norme ISO 27000, abbraccia tutti gli aspetti relativi alla sicurezza delle informazioni, compresa la continuità operativa, certificabile però con la ISO 22301. In particolare, nella ISO 22301 è previsto che l’organizzazione si doti di un piano per la continuità operativa, che questo venga tenuto aggiornato e che sia il risultato di una analisi dei rischi sulla base della ISO 31000 e della più specifica ISO 27005 per l’IT e la sicurezza delle informazioni.
In fig. 2, la base per l’ottenimento degli obiettivi aziendali (siano essi strategici, tattici o operativi), è l’esistenza di un sistema di gestione. In questo caso risulta altresì importante notare come le 3 norme prese ad esempio, siano non sono compatibili, ma assolutamente integrabili. In questo caso il sistema di gestione è detto multi-norma.
Fig. 1 – Obiettivi aziendali e obiettivi di Business Continuity
Fig. 2 – Struttura e livelli degli obiettivi di Business Continuity
L’analisi dei rischi, presente ormai su tutte le norme (essendo queste costruite su un approccio basato appunto sul rischio), permette di analizzare tutti i settori e ambiti che possono avere impatto sul raggiungimento degli obiettivi, sia da un punto di vista della qualità, che della sicurezza delle informazioni e della continuità aziendale. È questo il momento in cui viene individuata la strategia migliore per aumentare soprattutto l’absorptive e l’adaptive capacity.
In Fig. 3, si entra ancora di più nel dettaglio, e sono sempre più evidenti gli obiettivi e gli sforzi necessari per aumentare la restorative capacity. Infatti, a seconda della tipologia di prodotto/servizio erogato, è troppo vago parlare di ripristino della capacità produttiva. Si deve invece compiere uno sforzo aggiuntivo ed elaborare un piano per la continuità operativa che individui degli obiettivi misurabili, questi sonol’RTO e l’RPO, rispettivamente il tempo di recupero e il punto di recupero.
Si pensi a quelle attività in cui per ogni secondo vengono processati gigabyte, se non addirittura terabyte di dati. Individuare il punto di ripristino è fondamentale per la corretta archiviazione, ad esempio delle transazioni collegate. Man mano che si sale nella piramide degli obiettivi (piramide di Anthony*), si individua un parametro frutto del coinvolgimento di tutta l’organizzazione, con una lunghezza temporale differente a seconda che si tratti di un obiettivo strategico, tattico o operativo.
Infine, in fig. 3, è chiara l’analogia tra gli obiettivi per la continuità operativa stabiliti tramite la ISO 22301 e il triangolo della resilienza della fig. 4. Più nel dettaglio vengono graficamente riportati gli obiettivi di recupero e l’impatto che può avere l’assenza di un sistema di gestione per la continuità operativa.
(*) Con riguardo alla piramide di Anthony (Robert Anthony’s pyramid) ricordiamo che si articola su tre livelli di decrescente importanza: al primo, e più alto, livello della piramide si trova il livello strategico, al secondo quello tattico e al terzo quello operativo. Il principale motivo di questa disposizione è, secondo l’autore, che i tre diversi livelli hanno obiettivi gestionali o operativi di diversa lunghezza temporale e quindi di diversa importanza nel destino della società della quale fanno parte. Difatti il livello strategico ha obiettivi a lungo termine, quello tattico a medio termine e quello operativo a breve termine. In parole povere il livello strategico si occupa di decidere gestionalmente le sorti dell’azienda, il livello tattico di organizzare le decisioni del livello sovrastante e di trasmetterle al livello operativo che progetta, crea e vende i prodotti e i servizi dell’azienda al grande pubblico
Fig- 3 – Obiettivi per la continuità operativa
Fig- 4 – Triangolo della resilienza con capacità di resilienza indicate
Related Articles
Related
L’arte della resilienza: come difendere le posizioni perdenti
Le posizioni perdenti di solito non sono divertenti da giocare. Hai solo mosse brutte ed è per questo che molti crollano immediatamente in quelle circostanze. Con la giusta mentalità e qualche asso nella manica, difendere le posizioni perse può essere davvero...
Dalla protezione alla resilienza
Il titolo originale dell'articolo è "From protection to resilience: changing views on how to achieve safety", e lo scriveva Erik Hollangel nell'aprile del 2008. Hollangel, a pieno titolo tra ifondatori della disciplina della Resilience Engineering, notava che una...
Resilienza e infrastrutture critiche
La resilienza di un Paese passa per la sicurezza delle sue infrastrutture critiche. Nel FOCUS ON 2022 del rapporto Clusit uscito nei giorni scorsi, Federica Maria Rita Livelli approfondisce il tema con un articolo dal titolo "Effetti della guerra sulla sicurezza delle...