“Stanno arrivando gli ispettori! Stanno arrivando gli ispettori!”

Se la tua azienda è già sufficientemente preparata per un’ispezione senza preavviso, certamente merita il più alto riconoscimento per la rara lungimiranza del management. La maggior parte delle aziende, invece, vanno semplicemente nel panico. Può essere un panico da questione di vita o di morte, ma più spesso assume i connotati di una specie di baraonda stile “tutti in coperta!” che, altrettanto spesso, finisce con il danneggiare l’operatività di business. Politiche e processi, da tempo impolverati, vengono frettolosamente aggiornati, i file di log vengono affannosamente controllati e, magari, qualche veloce momento di formazione e addestramento viene attuato per rispolverare le corrette abitudini di tutti in tema di sicurezza e conformità.

Essere impreparati ad una tale eventualità è costoso, perché il panico stesso è molto oneroso. Non solo in termini di tempo e denaro, ma anche in termini di risorse e di attenzione che il panico sottrae inevitabilmente all’operatività di business. Si chiama management by panic: gestire l’operatività in situazioni di vero e proprio panico continua a costituire un salasso finanziario inutile, perché produce solo sporadiche risposte a breve termine e non le significative riforme che sarebbero realmente necessarie. Quando gli ispettori se ne vanno, il panico scema, le vecchie abitudini riprendono, mentre politiche e processi ricominciano ad accumulare polvere.

Se tutto ciò corrisponde, anche lontanamente, al comportamento della tua azienda, allora è proprio il caso di dire “panic now!”.

È il momento di impegnare tutte le energie e gli sforzi, che verrebbero investiti per affrontare un’ispezione improvvisa, nella costruzione di un’azienda migliore, un’azienda realmente a prova di panico. Ovviamente sarebbe impossibile eliminare completamente tutta l’ansia che un’ispezione normalmente comporta, ma la possibilità di evitare crolli non programmati è assolutamente a portata di mano. Il panico non programmato provoca reazioni molto forti che hanno maggiori probabilità di risultare disorganizzate e dirompenti per l’azienda. Se, invece, si sceglie di andare nel panico alle proprie condizioni, in base ad una precisa pianificazione, allora si ha tutto il tempo di adottare un approccio premuroso e meno dannoso per l’operatività quotidiana di business.

Se le risorse e i sistemi dell’azienda non sono sufficientemente conformi o sicuri, meglio guardare avanti e pianificare attentamente le situazioni da “panic now!” oggi stesso, creando e rinforzando in maniera ponderata le migliori abitudini quotidiane che balzeranno subito all’attenzione degli ispettori quando arriverà il prossimo audit. Se si parte subito, allora sarà possibile ridurre la spesa al minimo indispensabile e gestire attentamente i costi in base alla propria pianificazione. Una politica di sola attesa, invece, comporta inevitabilmente una maggiore spesa e un minore controllo delle risorse e dei costi.

Inoltre, se l’azienda ha fatto un certo sforzo per proteggersi dagli attacchi informatici e dal malware, ma non da frodi e furti perpetrati dai dipendenti, è di nuovo il caso di dire “panic now!”. I livelli di sicurezza delle informazioni richiesti per garantire la conformità con qualsiasi tipo di standard di settore non sono solo necessari a proteggere l’azienda contro i malintenzionati all’esterno, bensì sono generalmente disegnati per proteggerla da tutte le tipologie di minaccia, anche quelle più improbabili, ad esempio l’amichevole portinaia, il venditore iper-attivo o il super-esperto sviluppatore.

“Panic now!” se i salvataggi di backup non sono ben collaudati, non solo dal punto di vista del ripristino dell’operatività, ma anche in termini di sicurezza. Lasciate perdere le terrificanti, quanto coreografiche storie che continuano a riempire le notizie: uno dei problemi più comuni che affliggono il business è proprio la perdita o la compromissione di dati aziendali critici. Anche se si dispone di processi di backup di tutto rispetto, la sicurezza dei dati è spesso considerata come un problema secondario, tanto che, in molte aziende, il modo più semplice ed efficace di sottrarre dati sensibili, segreti industriali e informazioni riservate non è quello di attaccare i sistemi di produzione, bensì quello di sottrarre i salvataggi non adeguatamente protetti.

Che voi e la vostra azienda lo riconosciate o meno, siete di fronte ad una precisa scelta: potete ignorare l’ansia inconscia che deriva dalla consapevolezza di poter fare di più in termini di conformità e, di conseguenza, lasciarvi sopraffare dal panico nel momento in cui arriverà un’ispezione, si verificherà un’intrusione nella sicurezza aziendale o subirete un malfunzionamento dei sistemi. Oppure potete scegliere di dire “Panic now!” e utilizzare quell’energia, che comunque spendereste in maniera disordinata e affannosa, per migliorare la vostra azienda e il vostro business, rendendoli meno vulnerabili agli eventi imprevisti… e anche a quell’eventuale ispezione inattesa.

Tratto da: Panic Now – Dark Reading

Ettore Guarnaccia