Libri di Anthony Cecil Wright

Un quadro aggiornato degli approcci e delle metodologie per fronteggiare i rischi di eventi eccezionali e assicurare le migliori capacità di risposta delle organizzazioni. Incentrato sulla gestione dei rischi informatici e la continuità operativa (CO), il manuale si propone oggi in una versione rivisitata che tiene conto dei recenti aggiornamenti di alcuni standard ISO. Incentrato sulla gestione dei rischi informatici e la continuità operativa (CO), il manuale si propone oggi in una versione rivisitata che tiene conto dei recenti aggiornamenti di alcuni standard ISO. In questo periodo anche la regolamentazione sulla CO è divenuta più stringente: oltre alla normativa di vigilanza bancaria vi è ora la Direttiva (UE) 2016/1148 (c.d. Direttiva NIS), che obbliga gli operatori e i fornitori di servizi essenziali ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio. Non si può non citare il GDPR per le possibili conseguenze legali e reputazionali in caso di inadempienza. Ne deriva che la gestione dei rischi, ai fini della protezione delle informazioni e per la continuità del servizio e dei prodotti, è divenuta un “must”. Questo manuale consente a tutti di apprendere facilmente la metodologia ed applicarla nella propria organizzazione, ovvero utilizzarla per facilitare l’avvicinarsi alla certificazione: ciò grazie alla lunga ed estesa esperienza dell’autore, acquisita in diversi incarichi di responsabilità, che gli consente di intervallare il testo con molteplici esempi attraverso una notevole chiarezza espositiva.

Come mai tante importanti aziende ed istituzioni, pur investendo in security e business continuity, sono state colpite da disastrosi attacchi cyber? Oppure hanno improvvisamente scoperto di essere vulnerabili alla interruzione di un piccolo ma vitale fornitore per la continuità della produzione? Per comprendere questi fatti, recenti studi sulla resilienza organizzativa illustrano ampiamente come questa possa essere considerata un processo differente ma complementare al risk assessment ed al risk management. Alle indicazioni e raccomandazioni fornite da importanti università e società, finalizzate a migliorare la resilienza organizzativa, si sono aggiunte quelle dello standard ISO22316 che la definisce come la "capacità di un'organizzazione di assorbire e adattarsi in un ambiente che cambia". Sorge però un interrogativo: come applicare tutte queste indicazioni? L'autore, sulla base della sua cinquantennale esperienza in piccole e grandi organizzazioni, con questo manuale riassume quelle indicazioni, sintetizza i suggerimenti dell'ISO22316 e degli standard internazionali attualmente più importanti e diffusi, e soprattutto suggerisce come procedere e integrare le diverse discipline gestionali.

Il manuale è stato realizzato in modo da soddisfare due distinte esigenze: 1) consentire di reperire rapidamente delle risposte e dei chiarimenti a chi in azienda opera o ha rapporti con la business continuity (ad esempio: gestire i rischi di progetto; la determinazione dei risk criteria; come progettare e realizzare una BIA; il raccordo fra risk assessment e business impact analysis; DRM e BCM; i diversi scenari di rischio; le possibili soluzioni di risk treatment; la gestione dell'emergenza; la gestione della stampa e la stesura dei comunicati; i KPI; rapporti con l'internal auditing e relativo coinvolgimento nel progetto; ecc.); 2) introdurre gradualmente chi non ha una profonda familiarità con l'organizzazione aziendale e le diverse funzioni aziendali e vuole saperne di più su processi operativi quali: risk management, business continuity planning and management, incident management, crisis management, ecc. Tutto ciò accompagnato da un case study ("l'artigiano di qualità") e molteplici esempi tratti dall'esperienza pratica. Non ultimo per importanza, il testo coniuga l'esperienza diretta dell'autore con quanto stabilito dai diversi standard internazionali in materia (ISO/IEC 27001:2013; ISO 22301:2012; ISO 31000:2009; ISO 28000:2007; ecc.) e non trascura esistenti norme, quali ad esempio le recenti disposizioni della Banca d'Italia.

In che misura è possibile contenere i costi dell'informatica? L'outsourcing, il downsizing, la Third Party Maintenance, l'introduzione di robot, l'automazione dei sistemi informatici, costituiscono una vera opportunità? Il libro fornisce indicazioni concrete a queste e altre questioni. Nella prima parte chiarisce che cosa si intenda per costi Edp, precisando le voci componenti e le modalità per il controllo. Nella seconda illustra le varie tecniche utilizzabili per il contenimento e la riduzione dei costi Edp e le voci di spesa sulle quali agiscono principalemnte. Il libro è nato dall'esperienza e dai risultati conseguiti dall'autore sia nell'attività di consulenza, sia in quella di direttore dei sistemi informatici della più grande banca italiana.