Cybersecurity & Data Protection: il caso Sisal

AZIENDA

Sisal S.p.A. e le sue controllate operano nel mercato nazionale e internazionale nei settori

lottery, betting, gaming machine & online casinò, sulla base di concessioni rilasciate

dall’Agenzia delle Dogane e dei Monopoli.

All’interno di Sisal, la business continuity è considerata un valore, un investimento e un’opportunità,

nonché un valore essenziale per la sostenibilità e la redditività a lungo termine

del business. Da diversi anni il Gruppo si impegna a supportare il sistema di gestione della

continuità operativa e della gestione delle crisi con un’adeguata allocazione di risorse

finanziarie, umane, infrastrutturali e tecnologiche, coerentemente con il ciclo di miglioramento

continuo della business continuity (Plan – Do – Check – Act).

L’avvento della pandemia (Covid-19) ha reso necessario velocizzare specifiche attività

previste dal Business Continuity Management System già avviate.

Nei primi mesi del 2020, in collaborazione con Horizon Security, è stata svolta la fase di

Analisi per individuare i processi critici (da ripristinare urgentemente) e determinare gli

impatti nel tempo che una mancata erogazione di prodotti/servizi e/o un’interruzione di

processi/attività potesse generare sull’organizzazione.

In particolare, sono state svolte le seguenti attività:

BIA Iniziale, al fine di determinare il campo di applicazione del programma di continuità operativa, attraverso l’identificazione dei prodotti, servizi e processi all’interno della struttura organizzativa;

Business Impact Analysis (BIA), al fine di analizzare in dettaglio i processi dell’organizzazione per identificare quelli critici/prioritari. In particolare, sono stati quantificati e qualificati gli impatti nel tempo che una mancata erogazione di prodotti/servizi e/o un arresto dei processi/attività possono generare sull’organizzazione.

Continuity Requirements Analysis (CRA), al fine di identificare i requisiti di continuità operativa necessari per continuare ad erogare i prodotti, i servizi, i processi e le attività prioritarie/critiche a seguito di un’interruzione. Tali informazioni sono indispensabili per la definizione e l’implementazione di strategie di continuità operativa adeguate.

Risk Assessment, al fine di identificare e analizzare i rischi e le minacce specifiche che possono determinare un fermo dei processi critici. Tale analisi è fondamentale per progettare strategie di continuità e misure di mitigazione adeguate.

Le suddette attività sono state svolte attraverso interviste con i referenti di processo (o

process owner) del Gruppo Sisal, tramite l’ausilio di un template di analisi predefinito.

Infine, sono state create delle linee guida contenenti, in particolare, la procedura di escalation

(top-down e bottom-up) da mettere in atto in caso di crisi, tenendo in considerazione

anche le legal entities estere.

I benefici riscontrati da Sisal hanno riguardato diversi ambiti. In particolare, è stato rilevato

un generale miglioramento e rafforzamento della cultura aziendale sulle tematiche di

business continuity e di crisis management.

Tramite le attività svolte, l’organizzazione è inoltre riuscita a:

formalizzare un elenco di processi che contribuiscono alla fornitura dei prodotti e dei
servizi prioritari dell’organizzazione;
analizzare gli impatti nel tempo, a seguito dell’interruzione dei prodotti, servizi, processi
e attività;
identificare le interdipendenze, in input e in output, dei processi;
determinare gli obiettivi di tempo di recupero (RTO) per ciascun processo analizzato;
identificare eventuali processi esternalizzati dall’organizzazione;
identificare le risorse necessarie a garantire la continuità operativa dei processi critici/
prioritari, a seguito di un’interruzione;
identificare e valutare le potenziali minacce che potrebbero causare l’interruzione dei
processi critici/prioritari dell’organizzazione;
definire e implementare le strategie di continuità operativa atte a fronteggiare diversi
scenari di indisponibilità.