Solidità e sicurezza

Ascoltando le notizie passate sul caso Alitalia sono stato colpito dalle dichiarazioni dell’ENAC, secondo le quali quando la crisi di una azienda di aviotrasporti assume le dimensioni della compagnia di bandiera possono scattare misure che possono portare al ritiro o sospensione del brevetto di volo.
Il principio è interessante: in assenza di liquidità o meglio in presenza di una crisi scattano apposite procedure che pongono sotto attenzione l’azienda interessata, per evitare il rischio che la stessa offra un servizio degradato. Quando questo è l’aviotrasporto, sale il rischio che a rimetterci sia la sicurezza. Da qui il possibile ritiro del brevetto.
Aggiungerei che, in una situazione come quella di Alitalia, è all’interno dell’intero indotto che si corre il rischio che qualche componente della catena del valore del servizio si “degradi”. Anche perchè le stesse persone operano in un contesto di stress emotivo maggiore che non aiuta certo nello svolgimento di mansioni, molto spesso, “delicate”.

Perchè ne parlo in questo blog: perchè questo concetto non trova analogie in ambito informatico. Una azienda in crisi, probabilmente, taglierà i propri costi A PARTIRE da quelli della sicurezza, cosa che fortunatamente una società di aviotrasporti non può fare.

L’unica similitudine che mi viene in mente riguarda la Firma Qualificata: in questo caso il principio che si applica è sostanzialmente preventivo: può essere Certificatore Qualificato il soggetto che soddisfa i requisiti di onorabilità previsti per le banche (e quindi, ad esempio, che ha un capitale interamente versato di almeno 6 milioni di euro).

Le certificazioni internazionali che hanno impatti sulla sicurezza IT, per esempio il capitolo 404 della SOX, non prevedono forme di intervento preventivo in caso di problematiche economiche, sostanzialmente regolate da altri meccanismi del mercato o dalla stessa certificazione, ma sulla base di altri elementi di valutazione.

In pratica, pare che non vi siano ambiti dove l’IT riveste un carattere di rischio tale da esigere entità di controllo con poteri di intervento preventivi in grado di abbattere il rischio in termini di probabilità. Ma è proprio vero?