La minaccia di propagazione del Coronavirus ha costretto molti executive manager e imprenditori a definire procedure aziendali per la prevenzione dal rischio di infezione e diffusione della malattia. Chi, come chi scrive, ha rapporti con diverse aziende in qualità di fornitore di servizi, ha avuto visibilità di molte procedure definite a tal fine, dove l’elemento comune sta nell’aver contestualizzato nello specifico ambito aziendale l’analisi del rischio e la conseguente applicazione delle misure decise dalle Autorità, sia ai dipendenti sia al personale delle aziende collegate.
Di conseguenza, si riscontra in alcuni casi che la procedura prevede l’obbligo di impiego di mascherine protettive da parte dei visitatori o del personale dipendente chiamato a svolgere determinate attività, le quali possono richiedere la vicinanza con altre persone a meno di un metro, o prevede ancora il divieto ai dipendenti di organizzare riunioni con un numero di partecipanti superiore ad una certa soglia, e così via.
Nonostante le restrizioni attuate a vari livelli dal governo e dalle imprese, sono sempre più numerose le aziende che purtroppo registrano tra le fila dei propri dipendenti o stretti collaboratori almeno un caso di positività al virus. Questa situazione rappresenta un incidente che necessita di una gestione attenta da parte dell’azienda coinvolta, in modo da assicurare da un lato l’osservanza delle disposizioni previste dalla legge e dall’altra il contenimento dei possibili effetti, non solo per quanto riguarda la propagazione della malattia ad altri colleghi, ma anche per quanto riguarda l’impatto reputazionale (“nella mia azienda non è stata fornita alcuna indicazione per prevenire la diffusione del virus, e anche in caso di positività nota non ci si preoccupa di informare nessuno degli altri colleghi che ha avuto stretti rapporto con la persona infetta”) e delle relazioni con i clienti/partner/fornitori (“ho saputo che in quella azienda non gestiscono il rischio in modo conforme alle normative”)
In alcuni casi, soprattutto in assenza di un’adeguata implementazione delle misure di prevenzione e/o in assenza di un processo efficace di gestione degli incidenti, ma non solo, la situazione può degenerare in uno stato di crisi, con potenziali conseguenze drammatiche sulla capacità di sopravvivenza stessa dell’azienda, ed è quindi quanto mai opportuno che siano state definite a priori le procedure da adottare per limitare il rischio che ciò possa accadere.
In pratica, a seguito dell’insorgere della minaccia di propagazione del Coronavirus, e in conseguenza dei provvedimenti di legge e dell’impatto mediatico registrato a causa dell’evolversi della malattia causata dal virus, le aziende hanno implementato un processo di gestione della sicurezza basata su tre fasi fondamentali:
- prevenzione,
- gestione incidente,
- gestione crisi.
L’applicazione di un analogo approccio metodologico per il governo degli altri rischi operativi dell’azienda, tra cui il rischio cyber, sarebbe del tutto auspicabile. Sarebbe infatti assai grave, a questo punto, se non facessimo tesoro di questa esperienza, e dovessimo un giorno trovarci a discutere di cosa avremmo dovuto fare per gestire adeguatamente la diffusione di un virus digitale, soltanto dopo che lo stesso è stato in grado di compromettere il funzionamento dei nostri asset e delle nostre comunicazioni.
