Questo testo analizza l’intero processo di gestione del rischio di fornitura, cercando di essere neutro rispetto ad uno specifico settore merceologico, al fine di poter proporre soluzioni che si adattino a qualunque realtà.
La sopravvivenza stessa di un’organizzazione è infatti sempre più condizionata dalla resilienza della sua catena di fornitura, cioè da quanto i suoi fornitori e subfornitori siano in grado di garantire, ad esempio, un livello di sicurezza almeno analogo a quello dell’organizzazione che usufruisce dei loro servizi/prodotti.
È infatti in particolare nell’ambito della cybersecurity che si trovano gli esempi più significativi di come l’insufficiente livello di sicurezza di un fornitore ha comportato, ad esempio, la diffusione di dati riservati di un’azienda cliente.
La sicurezza informatica in realtà è solo un esempio di quelli che sono i rischi legati alla propria catena di fornitura, che in realtà sono condizionati da molteplici fattori, quali la localizzazione (stabilità politica, legislazione vigente, diritto fallimentare…), la stabilità finanziaria, la loro sostituibilità, la reale possibilità di migrazione verso un altro fornitore o di reinternalizzazione di un servizio…
Anche le scelte aziendali possono condizionare il rischio legato alla supply chain.
Molto spesso l’ottimizzazione dei costi viene considerato come l’unico parametro che un’organizzazione deve prendere in considerazione, sacrificando a questo elemento l’effettiva capacità di sopravvivenza dell’organizzazione stessa.
Ad esempio il ricorso ad un unico soggetto, sia esso un fornitore di servizi o di materie prime indispensabili per consentire ad un’azienda di proseguire nella sua attività produttiva, può rivelarsi un elemento fondamentale nel momento in cui lo stesso, per qualunque motivo, non è più disponibile.
La recente guerra russo ucraina ha messo in difficoltà diverse azienda italiane, che si sono trovate da un giorno all’altro senza qualche fornitore essenziale.
L’esempio evidenzia anche come molto spesso le organizzazioni siano poco attente a cogliere segnali, che nel caso in questione erano particolarmente evidenti, su eventi che possono portare a minare la resilienza dell’azienda.
È per questo motivo che la scelta di un fornitore e la sua gestione nel continuo è un processo complesso e articolato, che non può essere basato solo su fattori economici, ma che deve valutare un rilevante numero di fattori.
Questa attività deve essere svolta sia precedentemente alla scelta del fornitore, sia successivamente, con un costante monitoraggio.
Questo riguarda sia le prestazioni del fornitore, ad esempio dal punto di vista della qualità del servizio (al fine di consentire un immediato intervento al fine di ripristinare i livelli concordati), sia rispetto ad altri fattori (ad esempio la solidità economica del fornitore) che possono indicare lo stato di salute dello stesso.
Non vanno infine dimenticati gli aspetti che riguardano la gestione della fine del rapporto con un fornitore, che devono essere appositamente regolamentati e, se necessario, preimpostati nel caso in cui la cessazione del rapporto con un fornitore comporti necessariamente una sua sostituzione.
Questo grazie alla predisposizione di exit strategy ed exit plan pre costituti, che consentono ad una organizzazione un passaggio il quanto più possibile indolore e specifiche clausole contrattuali, che stabiliscano ad esempio le casistiche che possono portare alla cessazione del rapporto.
Tutti questi aspetti trovano una loro formalizzazione in alcune normative, in particolare nel mondo finanziario, che possono essere utilizzate come buone pratiche da seguire anche negli altri settori meno regolamentati.
Le linee guida emesse da EBA, EIOPA ed ESMA sulle esternalizzazioni in generale e sul mondo cloud in particolare costituiscono un esempio in questa direzione.
Il Digital Operational Resilience Act (Regolamento UE DORA) e le relative norme tecniche, ne costituiscono una evoluzione a livello europeo.
Sicuramente queste normative possono essere applicabili a qualunque settore nel mondo dei servizi e, con qualche affinamento anche al mondo della produzione.
Il testo farà quindi ampio ricorso all’uso di queste normative, e quindi può essere considerato anche un valido aiuto a quanti, enti finanziari e fornitori, rientrano nell’ambito di applicazione del Regolamento DORA.
Giancarlo Butti (giancarlo.butti@promo.it)
(LA BS 7799), (LA ISO IEC 27001), CRISC, CDPSE, ISM, DPO, DPO, CBCI, AMBCI
Master in Gestione aziendale e Sviluppo Organizzativo (MIP – Politecnico di Milano).
Referente ESG(*) (Environmental, Social e Governance) e Inclusion del Comitato Scientifico del CLUSIT.
Si occupa di ICT, organizzazione e normativa dai primi anni 80:
- analista di organizzazione, project manager, security manager ed auditor presso gruppi bancari
- consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.
Come divulgatore ha all’attivo:
- oltre 800 articoli su 30 diverse testate
- 26 fra libri e white paper, alcuni dei quali utilizzati come testi universitari
- 27 opere collettive nell’ambito di ABI LAB, Oracle/CLUSIT Community for Security, Rapporto CLUSIT sulla sicurezza ICT in Italia
- relatore in oltre 170 eventi presso ABI, ISACA/AIEA, AIIA, ORACLE, CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, TECNA, UNISEF, PARADIGMA…
- già docente del percorso professionalizzante ABI – Privacy Expert e Data Protection Officer
- docente in master e corsi di perfezionamento post-universitario in diversi atenei:
- Master di II livello in “Data Protection Officer e Diritto della privacy” dell’Università degli Studi Suor Orsola Benincasa – Napoli
- Corso di Perfezionamento in Data Protection e Data Governance dell’Università degli Studi di Milano
- Percorso di Alta Formazione Data Protection Officer del Cefriel
- Master di Specializzazione per Responsabili della Protezione dei Dati Personali dell’UNISEF
- Percorso DPO e dell’Osservatorio Information Security & Privacy del Politecnico di Milano
- Analisi e gestione del rischio all’Università Statale di Milano.
Socio di AIEA/ISACA (www.aiea.it – Associazione Italiana Information Systems Auditors), del CLUSIT (www.clusit.it – Associazione Italiana per la Sicurezza Informatica) e di BCI (Business Continuity Institute).
Partecipa a diversi gruppi di lavoro di ABI LAB, di ISACA-AIEA, del CLUSIT…
(*) Già ricercatore nell’ambito delle energie rinnovabili (UNESCO – International directory of new and renewable energy information sources and research centers, 1986)
