Business Continuity e BioSecurity: nuove frontiere per vecchi rischi in epoca di COVID-19

“We are not going back to normal”.

Con questo titolo lapidario il capo redattore della Technology Review del MIT, Gideon Lichfield, avvia una profonda e completa riflessione sui cambiamenti sociali ed economici in corso, a livello mondiale, a seguito della comparsa e della diffusione del COVID-19: ricorso sempre più massiccio alla digitalizzazione della domanda di consumo di beni e servizi, sia pubblici che privati, il distanziamento come nuovo paradigma della socialità e della socializzazione sia in ambito personale che lavorativo, il susseguirsi di cicli di Lockdown a cadenze regolari, intervallati da cicli (auspicabilmente) sempre più lunghi di ritorno alla vita e al lavoro in sede.

Tutto questo fino al raggiungimento di soluzioni efficaci e definitive (vaccino, immunizzazione).

E le aziende? Le organizzazioni aziendali, prese nel fuoco di fila delle perdite economiche, del calo di domanda di beni e servizi, del calo della produttività, e del contestuale aumento dei costi di produzione, dovranno ricostruire – per adeguarsi ai nuovi paradigmi della vita sociale –  spazi fisici e digitali, metodologie di lavoro, processi, modelli di business e di pricing e in molti casi ripensare la propria mission, mettendo in campo idee e risorse impensabili fino a qualche mese fa, per dimensione e profondità.

Ripensare, riprogettare, re immaginare: queste saranno le parole d’ordine nei prossimi 12-18 mesi a livello individuale, collettivo, aziendale. Un titanico sforzo globale di sopravvivenza biologica, sociale ed economica che ha pochi precedenti nella storia.

La Security ha un ruolo molto importante in questo epocale cambio di prospettiva: da una parte, il perimetro di competenza dei professionisti e degli operatori in ambito Security dovrà necessariamente estendersi fino a ricomprendere temi, metodologie e competenze fino a questo momento considerati certamente collaterali, ma non inclusi in una logica Old Normality di analisi e gestione di rischi di sicurezza.

In aggiunta ai rischi “standard” di sicurezza (accessi non autorizzati, furto, compromissione, attacco fisico e informatico… ) andranno considerate alcune tipologie di rischi la cui mitigazione è funzionale al mantenimento della salute dei dipendenti: il rischio di esposizione a fonti fisiche di contagio, il rischio di prossimità di contagiati sul luogo di lavoro, il rischio di aggregazione, direttamente proporzionale alla frequenza e alla qualità dei contatti fisici durante l’attività lavorativa.

Come è del tutto evidente, tali tipologie di rischi non rappresentano una novità nel panorama generale del Risk Management. La novità risiede nell’importanza che le competenze, le professionalità e le metodologie tipiche della Security aziendale hanno progressivamente assunto nella gestione e nel contenimento di tali tipologie di rischi: filtering, surveillance e triage evoluto agli accessi, controllo e monitoraggio dello stato di salute del personale in sede, del personale viaggiante e del personale in remote working, riorganizzazione sicura degli spazi di lavoro e dei varchi aziendali. Tutte attività che sono evidentemente al di fuori del ruolo tipico di sorveglianza sanitaria in capo alle aziende (ruolo affidato altrettanto tipicamente a professionalità e competenze non facenti parte del mondo della Security aziendale), ma altrettanto strategiche per il raggiungimento dell’obiettivo di contenere il contagio e salvaguardare di conseguenza la sopravvivenza biologica ed economica delle aziende. Dall’altra parte, l’emersione prepotente di scenari di rischio con impatto sulla continuità operativa delle aziende ha dato nuovo impulso ad una serie di domini più tradizionali  della Security aziendale: Crisis Management, Business Continuity, Pandemics Management. Questi temi sono stati per lo più relegati, fino a questo momento, alla sfera dei bisogni di Security delle grandi aziende strutturate, sottoposte a vincoli normativi e di compliance in ambito o a specifiche richieste organizzative provenienti dall’interno o da main customer  con la necessità di estendere i vincoli di compliance cui sono sottoposti ai propri fornitori o Stakeholder critici.

In realtà, i fatti stanno drammaticamente dimostrando che la necessità di pianificare le modalità di gestione di una crisi aziendale con impatto sulle persone, uno scenario di pandemia o garantire (per quanto possibile), la continuità del proprio business (ad esempio rafforzando la propria Supply Chain attraverso la differenziazione delle fonti di approvvigionamento di beni e servizi di produzione) a fronte di eventi disastrosi, è trasversale alla tipologia e alla dimensione dell’azienda, così come sono trasversali gli impatti di una pandemia o di una crisi di sistema e/o estesa su una vasta area geografica. In conclusione: lo scenario, per il mondo della Security aziendale, è in rapida evoluzione. La necessità di diradare le interazioni fisiche e di gestire possibili lockdown ricorrenti in ambito lavorativo sta dando un grande impulso alla digitalizzazione dei servizi e dei modelli produttivi e ai conseguenti investimenti nel settore, ponendo nuove sfide in termini di espansione e tipologia della superficie di attacco informatico ai professionisti della Sicurezza ICT e Cyber. L’evoluzione di modelli di controllo degli accessi fisici in modelli di access triage (controllo di compatibilità sanitaria all’accesso), porterà ad una naturale evoluzione e integrazione delle competenze in ambito Security e quelle in ambito di sorveglianza sanitaria. La necessità di lavorare sul distanziamento sociale dei propri dipendenti porterà le aziende ad un re engineering degli spazi fisici di lavoro, della mobilità in entrata e in uscita e all’acquisizione di tecnologie ad hoc (wearable di distanziamento, rilevatori di temperatura all’accesso e di volume per uffici, corridoi, varchi e aree di aggregazione) che garantiscano il controllo di compatibilità degli spazi alle richieste provenienti dai controller sanitari e dai governi. La necessità di provare a governare l’imponderabile porterà aziende grandi e piccole a dotarsi di piani e procedure di gestione delle crisi e delle emergenze sanitarie e a costruire strategie di rafforzamento della propria resilienza di business con azioni specifiche di mitigazione dei rischi di continuità operativa e di rafforzamento e differenziazione della propria Supply Chain.

Tutto questo, in coerenza con modelli di governo, analisi dei rischi e di compliance adeguati ai tempi e al quadro normativo di riferimento per le aziende (a partire dalla corretta gestione dei dati in ottica GDPR). Oggi più che mai è necessario dunque gestire la complessità senza compiere errori: in ambito Security in particolar modo, dato il ruolo strategico che tale ambito ricopre e ricoprirà nei prossimi anni.

E’ necessario ragionare di Security in termini di integrazione, multidisciplinarietà e creatività, affidandosi a competenze interne e di mercato in grado di supportare quello sforzo adattivo, che a ben vedere, non è altro che una delle declinazioni più significative dell’aggettivo “resiliente”.The world has changed many times, and it is changing again. All of us will have to adapt to a new way of living, working, and forging relationships. (Cit. Gideon Lichfield, We are not going back to Normal)