Business Continuity e Sicurezza ICT nel FOOD


Garantire la continuità delle operazioni e proteggere il patrimonio informativo aziendale: a questo rispondono la Business Continuity (ISO 22301) e la sicurezza delle informazioni (ISO 27001).
 

Business Continuity


Oggi assistiamo sempre più frequentemente al susseguirsi di eventi disastrosi, che hanno un impatto molto forte anche sul comparto produttivo, ed in particolare su quello agroalimentare. Basti pensare a fatti legati a:
  • fenomeni naturali ed epidemie (terremoti, inondazioni, al caso aviaria o mucca pazza, ecc.)
  •  vicende politiche internazionali e nazionali (terrorismo, manifestazioni di protesta, scioperi, crash del mercato...),
  • criticità emergenti finora poco presenti in Europa ed in Italia e quindi non appropriatamente valutate nella portata, quali ad esempio il black-out,
  • danno o collasso di edifici o di parte dell'attrezzatura aziendale.
 
Ma come si possono mitigare gli effetti dei disastri nel settore agroalimentare?

La possibilità dell'avverarsi di questi eventi sta portando le aziende a porre una particolare attenzione sulla continuità del servizio delle organizzazioni in tutti i settori di mercato, compreso quello alimentare, per poter evitare perdite di clienti e danno di immagine, garantire che i rischi siano ridotti al minimo e che si possano proseguire le attività in un breve lasso di tempo.

Naturalmente la pianificazione non comporta alcuna immunità ai problemi: talvolta gli eventi sono di una gravità senza precedenti ed imprevedibili nelle valutazioni di rischio.
Tuttavia, il piano di business continuity fornisce alle aziende un quadro per essere preparati ad affrontare una serie di eventi imprevisti che possono minacciarne la sostenibilità o l’esistenza: ad esempio, si possono identificare potenziali fornitori alternativi, in modo che la continuità nelle forniture non venga interrotta in caso di calamità naturale.

Esistono metodi specifici per l’adozione di misure di mitigazione e di sistemi di business continuity per queste aziende?

L’utilizzo della norma ISO 22301 può essere un riferimento per la definizione delle modalità di gestione e ripristino di situazioni di emergenza e crisi che possono compromettere la filiera distributiva o l’attività produttiva.


La gestione della continuità si focalizza sui seguenti aspetti:
 
  • conduzione di una Business Impact Analysis al fine di identificare i rischi e i relativi impatti associati alla propria attività lavorativa in caso di evento disastroso che porta all’indisponibilità di infrastrutture, personale o tecnologie;
  • definizione di un piano di Business Continuity aziendale (fondamentale specialmente in caso di non disponibilità dei sistemi informatici, con conseguente perdita di produttività dello staff lavorativo e di dati aziendali importanti);
  • definizione delle procedure di gestione emergenza/crisi volte sia al ripristino dei dati/informazioni che al ritorno della normale attività operativa;
  • definizione delle modalità di comunicazione interna e con i media in caso di emergenza;
  • esecuzione di test periodici volti a garantire la coerenza dei piani sia per la parte tecnologica che organizzativa.
 

Sicurezza ICT


Quando si parla in generale di “Information Security” ci si riferisce ad una molteplicità di aspetti tecnici, organizzativi e procedurali che tendono a proteggere l’hardware, il software, le informazioni, i servizi.

In particolare, per quanto riguarda le informazioni, le caratteristiche principali che devono essere protette sono:
  • la riservatezza (o confidenzialità), che tende a garantire che le informazioni non possano essere accedute da soggetti non autorizzati, sia in modo intenzionale, sia in modo accidentale;
  • l’integrità, che tende a garantire che le informazioni non possano subire alterazioni non autorizzate, siano esse accidentali o intenzionali;
  • la disponibilità, che mira a garantire che i soggetti autorizzati possano effettivamente accedere alle informazioni ogniqualvolta sia necessario, anche in presenza di fenomeni ostativi accidentali o in presenza di azioni ostili deliberate che tendano ad impedirne l’accesso.
Un Sistema di Gestione di Sicurezza delle Informazioni conforme allo standard ISO/IEC 27001 è uno strumento attraverso il quale un'organizzazione può dimostrare di essere capace di tutelare in modo globale il proprio patrimonio informativo (o quello di terzi a lei affidato).

La Gestione della Sicurezza delle Informazioni aiuta a:
  • assicurare la continuità del business dei servizi
  • minimizzare i danni derivanti da eventuali incidenti
  • massimizzare il rendimento del capitali investito
  • massimizzare le opportunità di miglioramento
In questo ambito la norma ISO/IEC 27001 può diventare un riferimento per la corretta gestione dei rischi associati alla perdita di riservatezza, integrità e disponibilità delle informazioni gestite e alla corretta identificazione delle contromisure tecnologiche, organizzative, normative e procedurali da adottare per la mitigazione di tali rischi.