A cura di Gabriele Faggioli
Aziende e pubbliche amministrazioni, perlomeno le più dimensionate e le più attente alle evoluzioni normative, sono ormai abituate da anni a fare i conti con la necessità di dare attuazione a normative che impongono modelli organizzativi, procedure, analisi di rischi, analisi di sicurezza, valutazione dei rischi residui, comunicazioni alle Autorità di controllo e tanti altri adempimenti che perseguono finalità assolutamente virtuose: la corretta, etica e sicura conduzione dell’attività di impresa (e delle attività pubbliche).
A fronte di un obiettivo così importante, tuttavia, è venuto il momento di fare un po’ di riflessione sulla opportunità di ragionare in chiave di razionalizzazione normativa e di knowledge sharing o di economia di scala strumentale a ridurre gli sprechi.
Facciamo un esempio: migliaia di aziende, a volte centinaia di migliaia, usano gli stessi servizi esternalizzati in ambito ICT.
A volte interi comparti utilizzano gli stessi fornitori a cui esternalizzano le stesse attività e a tale scopo vengono usati gli stessi sistemi con le stesse misure di sicurezza.
Anche se è vero che differenti aziende possono fare diverse valutazioni di rischio sullo stesso servizio per moltissimi motivi, è pur vero che questo non vale in tantissimi casi in cui le realtà sottostanti fanno la stessa identica attività, hanno medesime dimensioni e i servizi su cui si appoggiano sono spesso commodity dove un fornitore serio, preparato e che fa gli investimenti opportuni viene in genere considerato adeguato da tutti (o quasi tutti) i clienti.
Se questo è vero, c’è da chiedersi a cosa serva moltiplicare per migliaia di volte la valutazione di un fornitore quando basterebbe, per fare un esempio, mettere a fattor comune la valutazione di una Autorità indipendente o di un cliente di riferimento per un intero settore di mercato lasciando libere le altre imprese di scegliere fra utilizzare la valutazione terza o farsela autonomamente.
Secondo una ricerca del Politecnico di Milano il numero di giornate/uomo necessario per valutare il livello di compliance normativa (data protection) di un fornitore di un servizio di cloud computing può arrivare a valere oltre 8 giornate uomo.
Lo stesso dicasi per la valutazione del livello di sicurezza.
In altre parole, le aziende o pubbliche amministrazioni che decidono di fare quello che devono, cioè valutare il livello di compliance normativa e di cyber-sicurezza di ogni fornitore dovrebbero investire una media di 6/8 giorni uomo, cifra da moltiplicare per il numero di fornitori!
Si tratta in tutta evidenza di un numero elevatissimo che porta a una conclusione ovvia: non tutti i clienti valutano tutti i fornitori anche per la complessità della catena di fornitura.
Come si evince dai dati del Politecnico di Milano il 40% delle aziende intervistate non valuta tutti i fornitori e addirittura il due terzi non valuta tutti si subfornitori.
È facile condannare questi comportamenti ma bisogna rendersi conto dei costi e dell’effort, in termini di giornate/ uomo, che queste attività comportano.
Non tutte le aziende e pubbliche amministrazioni si possono permettere questi oneri e non tutte hanno le competenze e le risorse per adempiere agli obblighi normativi che sempre più numerosi e complessi (e a volte disomogenei) impongono sovra strutture organizzative e attività ad altissima specializzazione.
Nel caso che abbiamo fatto sarebbe quindi estremamente utile una scelta normativa radicale che permettesse a tutti i clienti di accedere a una valutazione di parte terza per evitare la moltiplicazione infinita delle stesse valutazioni che spesso comportano il giungere a una stessa identica valutazione anche solo perché un fornitore offre un servizio in una certa modalità e non accetta di modificarlo per un cliente singolo.
Ma l’esempio serve solo per comprendere un ambito dove una scelta normativa potrebbe aiutare imprese e pubbliche amministrazioni a non sprecare soldi in attività utili ma già svolte da altri, e quindi acquisibili come know how che diventano spreco di risorse quando impongono la replica delle stesse azioni.
Un identico discorso si potrebbe fare per gli standard, che sempre più numerosi vengono imposti alle aziende e che potrebbero essere razionalizzati o per gli obblighi di notifica alle Autorità che talvolta pretendono tempi diversi e contenuti non identici con quindi extra oneri non indifferenti.
Si deve considerare che i costi per l’aggiornamento tecnologico e la cybersecurity tenderanno a salire e solo poche imprese e pubbliche amministrazioni se li potranno permettere.
Fare economia di scala, mettere a fattor comune le conoscenze, trovare la via anche normativa per razionalizzare gli adempimenti è fondamentale sia per evitare sprechi in un’era di risorse scarse (in ogni caso sprecare risorse è sempre sbagliato), sia per indirizzare gli sforzi in direzioni produttive.
Oggi si chiede ad ogni organizzazione di aver competenze estremamente differenziate in molteplici settori della conoscenza del tutto accessori rispetto al core business, ma non è detto che questa sia la scelta migliore e, anzi, è venuto il momento di iniziare a comprendere se questo sia un modello a tendere sostenibile.