Intervista a Mario Sestito, Business Continuity Support Manager di Iccrea Banca S.p.A.

Nella recente intervista al dottor Antonio Caricato sul V convegno dell’Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria (ANSSAIF) si è parlato di Business Continuity nelle banche e si è citato il caso di Iccrea Banca, l’Istituto Centrale delle Banche di Credito Cooperativo, primo istituto di credito a livello europeo ad acquisire la certificazione BS 25999-2:2007 sulla "Business Continuity". Approfondiamo l’argomento con una intervista a Mario Sestito, Business Continuity Support Manager di Iccrea Banca.

Manlio Torquato (MT): Salve Mario e grazie per la collaborazione. Iccrea Banca S.p.A. è la prima azienda, in Italia, a conseguire la certificazione BS 25999-2:2007 sulla Business Continuity. In che consiste tale certificazione? Perché Iccrea Banca ha intrapreso tale strada?

Mario Sestito (MS): Ciao Manlio. Ti ringrazio e ringrazio ComplianceNet per averci dato per l’opportunità di raccontare la nostra esperienza nell’affrontare e conseguire la certificazione in tema di Business Continuity.
Veniamo alle tue domande. La certificazione consiste nell’affrontare una serie di verifiche la prima delle quali è di carattere documentale: il certificatore verifica se quanto richiesto e definito in ambito nazionale ed internazionale da norme specifiche (leggi dello Stato, The Business Continuity Institute, organi di vigilanza, …) trova riscontro nell’impianto documentale definito. Superata questa prima verifica formale si passa alla verifica di effettiva rispondenza con quanto dichiarato attraverso una serie di ispezioni sul campo.
Iccrea ha intrapreso il cammino della certificazione per ottemperare ad una specifica richiesta, contenuta nelle linee guida per le infrastrutture qualificate emanate dall’Organo di Vigilanza, di sottoporre le procedure di gestione del proprio sistema alla valutazione di soggetti terzi specializzati nello specifico settore, affrontandola come una opportunità di crescita e miglioramento dei propri processi organizzativi ed operativi.

MT: La Business Continuity è, per le banche italiane, una componente fondamentale dei più ampi piani di resilienza e compliance. La certificazione è rientrata in un piano strategico più ampio della banca?

MS: Sì, questa certificazione rientra in un progetto più ampio che comprende anche di ottenere la certificazione allo standard sulla sicurezza delle informazioni ISO/IEC 27001. Anche questa certificazione porterà in azienda, a nosto avviso, un "nuovo" modo di operare, sicuramente inteso ed attuato come strumento organizzativo ed operativo di "qualità".      

MT: Come è avvenuto il processo di certificazione? Chi ha avuto l'idea per primo? Vi siete confrontati con altre banche (anche straniere) prima di intraprendere il processo?

MS: Il processo di certificazione alla BS25999 è avvenuto durante la fase di allineamento allo standard di sicurezza ISO27001 in quanto uno dei dodici punti della 27001 riguarda, propri, la Business Continuity. Durante questa fase la BSI  (British Standards Institution) ha annunciato l’uscita di uno specifico standard di riferimento per la Business Continuity e così dopo una fase di restyling della documentazione, abbiamo, con un pre-assessment iniziale, valutato l’opportunità di procedere alla fase di adeguamento allo standard per una successiva richiesta di certificazione. Pertanto l’idea è venuta da sé ed abbiamo approfittato solo del fatto che stavamo affrontando un processo di certificazione più generale.
Non ci siamo confrontati con aletre banche ma solamente al nostro interno, tra la Direzione e le strutture coinvolte nel processo di continuità operativa. 

MT: La certificazione richiede costi sostenuti? Che tipo di ritorno sull'investimento pensate di ottenere?

MS: Costi sostenut non direi proprio. Se la Banca è organizzata, come dovrebbe, per garantire i requisiti presenti nelle norme emanate da Banca d’Italia, non esistono maggiori costi. Se invece su alcuni aspetti di rispetto di tale normativa non si è già conformi allora ovviamente i costi di adeguamento crescono. Di per sè la certificazione costa poche decine di migliaia di euro; non bisogna dimenticare tuttavia che nella fase di certificazione viene controllato anche il rispetto a norme/leggi dello Stato, come ad esempio il d.lgs. 81/2008  in materia di tutela della salute e della sicurezza nei luoghi di lavoro valutando, ad esempio, i piani di evacuazione, gli impianti antincendio, l’addestramento generale e settoriale delle risorse umane come i corsi di primo soccorso, l’utilizzo di auto-respiratori, la conoscenza di dispositivi antincendio. Non può essere certificato un processo specifico se il contesto non risponde alle regole generali.
Il ritorno più significativo che ci attendiamo riguarda una più agevole ed attenta gestione organizzativa del sistema sviluppato. 

MT: Grazie alla certificazione che tipi di vantaggi pensate di avere in futuro? Si può immaginare una ricaduta positiva anche in termini di immagine e quindi, in un'ottica di Basilea 2, anche dal punto di vista della gestione del rischio reputazionale? Iccrea Banca è una "banca diversa" anche da questo punto di vista?

MS: Con le iniziative concluse o in corso (ISO 27001), Iccrea Banca dà concreta attuazione alla propria missione statutaria di servizio delle Banche di Credito Cooperativo e compie un ulteriore ed importante passo per rendere disponibile una piattaforma informatica capace di sostenere le BCC nel nuovo quadro operativo europeo. Per quanto riguarda i rischi reputazionali l’infrastruttura realizzata garantisce sicuramente una notevole copertura. Vedo con piacere che la nostra campagna pubblicitaria rimane impressa, ma slogan a parte, noi non abbiamo intrapreso la strada della certificazione per essere diversi dagli altri, ma perché crediamo che in ambito di Business Continuity ragionare con l’aiuto di uno standard di riferimento non possa che portare innumerevoli benefici.    
 
MT: La certificazione prevede anche un processo di mantenimento? Come avviene?

MS: Una volta conseguita la certificazione la stessa deve essere mantenuta. Ne scaturisce quindi che l’azienda non può considerare l’attività di certificazione un progetto ma che essa deve essere considerato un processo nel continuo. Detto ciò, l’iter di certificazione prevede, dopo la fase iniziale di conseguimento dell’attestazione, una revisione annuale ed una completa certificazione alla scadenza del terzo anno. Non è consentito abbassare la guardia.

MT: Gli aspetti di formazione e più in generale di awareness del personale sono stati importanti per il conseguimento della certificazione? E per il mantenimento?

MS: Sono convinto, e non temo smentite, che il tutto si basi sul personale, sulla consapevolezza del proprio ruolo, consapevolezza che deve essere sempre "alimentata " da continui coinvolgimenti sviluppati in sessioni mirate di formazione e/o partecipazioni a test di sistema. Una carenza tecnica, organizzativa o gestionale può facilmente essere colmata ma la mancanza di consapevolezza o di interesse, richiede tempi lunghi di rimediation. Questo coinvolgimento è ovvio che deve essere mantenuto, da parte dell’Azienda, costante nel tempo.   

MT: Che consigli darebbe ad altre banche che vogliono intraprendere questo stesso percorso di certificazione?

MS: Richiedere la certificazione significa prepararsi per tempo, creando, tra l’altro, una cultura diffusa della continuità di servizio all’interno dell’azienda. Ciò non è facile e richiede tempo.
In fase di certificazione, e poi nelle sessioni annuali di verifica, devono essere rappresentate le "evidenze " sul processo di gestione dell’intero sistema di continuità operativa. Tali evidenze rappresentano il grado di maturità sviluppato dall’azienda in tale contesto. 
Quando ci si sente ragionevolmente pronti, è opportuno far valutare la documentazione realizzata in un pre-assessment che immediatamente chiarirà se l’azienda risulti pronta per la fase di certificazione.

MT: Nel processo di certificazione ha partecipato, in qualche modo, anche l’Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria ((ANSSAIF)?

MS: BSI per poter dare inizio al processo di certificazione aveva bisogno che il proprio revisore accreditato avesse l’ausilio, nell’affrontare tale nuova tematica, di una figura di "esperto qualificato" nel campo della business continuity. Le soluzioni possibili erano due: far partecipare l’esperto del The Business Continuity Institute, oppure trovare un rappresentante italiano dotato dei titoli richiesti da far accreditare presso la società di revisione. Abbiamo deciso di seguire la seconda opzione richiedendo la collaborazione del presidente ANSSAIF Anthony Cecil Wright. Dopo un processo di validazione/attestazione delle competenze specifiche, maturate in ambito della sicurezza e continuità operativa, Wright è stato nominato " esperto ", dando così il via al processo di certificazione.     

MT: Grazie Mario e buon lavoro!

MS: Grazie e a voi.

Altri articoli sulla sicurezza in questo sito

ComplianceNet: