Chiunque si occupi di risk management, che lo faccia per diletto o per professione, molto spesso si ritrova ad interrogarsi su quali potrebbero essere i prossimi scenari di rischio da affrontare nel breve ma, soprattutto, nel medio e lungo periodo.
I cultori della materia, in una sorta di sfida con loro stessi e le proprie capacità di intuizione, mossi per lo più dalla curiosità di sapere quale sarà la nuova minaccia; i professionisti, invece, dal cercare di anticipare gli scenari futuri più o meno prossimi e individuare con un margine di anticipo le possibili aree di intervento e i possibili investimenti.
Riuscire ad intuire con un certo anticipo i nuovi scenari di rischio permette di strutturarsi non soltanto nell’ottica della tanto declamata resilience ma, piuttosto, in quella della readiness[1]; dunque, non più “semplicemente” resistere quanto invece sapere come reagire quando la minaccia raggiungerà il proprio obiettivo o, in un’accezione positiva del termine rischio, raccogliere un’opportunità.
Per far questo può essere di aiuto l’horizon scanning, ossia quella metodologia che, attraverso un esame sistematico delle potenziali minacce e opportunità, ha come scopo quello di identificare fattori di rischio ed aspetti strategici che saranno importanti nel futuro e trova un supporto metodologico nella ISO 22361:2022[2].
Il modello dei 3 orizzonti
Un’applicazione esemplificativa di horizon scanning è quella che utilizza il cosiddetto Modello dei 3 orizzonti sviluppato da McKinsey negli anni 90 del secolo scorso per definire la strategia d’impresa e ripreso, tra i tanti, anche da Google con la regola nota come 70/20/10 (il 70% delle risorse investite in attività afferenti al core business o necessarie per rafforzarlo, il 20% in attività adiacenti al core business, il 10% in opportunità future).
Horizon 1
Il primo orizzonte, Horizon 1 (indicato in figura con H1), rappresenta il presente e il prossimo futuro. Le questioni H1 sono strategicamente importanti adesso, nel tempo attuale.
Sono le situazioni visibili e ben comprese e generalmente sono quelle che le organizzazioni e le loro parti interessate stanno già affrontando. Le questioni H1 sono quindi al centro delle attuali politiche e strategie di business continuity o di crisis management.
Con lo scorrere del tempo i problemi H1 diventano meno importanti, vengono assimilati e risolti con specifiche politiche o strategie e possono essere superati da altre tendenze o eventi al momento meno importanti ma che lo diventeranno a medio termine. Quindi H1 rappresenta il contesto e le condizioni attuali, l’attenzione è nel mantenere la stabilità. Il mindset per affrontarlo al meglio è quello del manager.
Horizon 2
H2, Horizon 2, rappresenta invece lo scenario nel medio termine. Il modo esatto in cui H2 si svilupperà potrebbe non essere ancora chiaro, ma molte delle tendenze e dei fattori chiave – i driver del cambiamento – che lo definiranno sono già in gioco.
Il compito dell’organizzazione è esaminare da vicino questi aspetti, esplorare e valutare i segnali deboli, la loro evoluzione ed i possibili risultati suggerendo, con un processo collaborativo le modifiche alle politiche e la strategia in previsione delle necessità future.
Quindi H2 rappresenta le azioni intraprese nel presente per resistere al cambiamento, per adattarsi al cambiamento o per costruire sul cambiamento. L’attenzione in H2 è rivolta alla creazione e alla gestione del cambiamento, dunque il mindset è quello dell’imprenditore.
Un possibile esempio di questo, in ambito cybersecurity, è rappresentato da un attacco di tipo DDoS (Distributed Denial of Service): la gestione è importante adesso, quindi H1, ma potrebbe essere abilitante di eventi ricompresi in H2.
Horizon 3
Andando avanti lungo l’asse temporale, quindi a lungo termine, H2 lascerà il posto ad H3 (Horizon 3) ed emergeranno nuove sfide operative.
Anche queste richiederanno una risposta da parte dell’organizzazione, ma i fattori di cambiamento che daranno forma a H3 sono difficili da vedere (e prevedere) nel presente.
Al momento attuale non è chiaro come si svilupperanno i fattori H3, come interagiranno o se creeranno opportunità o minacce per gli stakeholder in futuro. Il compito degli analisti è quindi identificare e monitorare i driver che daranno forma a H3.
Ciò consentirà loro di sviluppare una prospettiva sulle sfide strategiche e le scelte che potrebbero dover affrontare a lungo termine per garantire la continuità operativa in un contesto molto diverso da quello a breve e medio termine e di esplorare il tipo di strategie che potrebbero essere necessarie per sostenere il successo.
Quindi H3 rappresenta i cambiamenti emergenti trasformativi, le idee e le visioni di futuri possibili, l’attenzione è rivolta alla trasformazione e alla disruption. Il mindset, in questo caso, è quello del visionario.
Come usare l’horizon scanning
Ma all’atto pratico cosa vuol dire utilizzare l’horizon scanning? Significa implementare un sistema (gestito nell’ambito di un think tank) in grado di esaminare miliardi di dati in modo sistematico, con l’obiettivo di identificare tempestivamente potenziali minacce, rischi, problemi emergenti, situazioni critiche, ma anche opportunità di business.
Un sistema che, considerati gli enormi volumi di dati oggi disponibili, non può che contare su tecnologie quali AI, data augmentation, automation e big data. Tutte tecnologie, queste, che permettono di implementare, a costi relativamente contenuti, sistemi di horizon scanning in grado di processare silos di dati interni e combinarli con le fonti aperte (web, social, stampa cartacea, ecc.), così da arrivare a suggerire raccomandazioni tattiche e strategiche.
Diventano quindi di fondamentale importanza le attività di data mining nel web, compreso ovviamente il deep e dark web, alla ricerca anche dei segnali più deboli con l’obiettivo di identificare possibili minacce future, opportunità, bisogni e le cosiddette wild card.
Queste ultime, le wild card, meritano particolare attenzione in quanto rappresentano quegli eventi ad impatto talmente alto da essere considerati praticamente di impossibile realizzazione, dunque con probabilità di accadimento infinitesimale e quindi trascurabili nella pianificazione strategica a lungo termine. In alcuni casi possono addirittura fare la differenza tra un modello più ed uno meno efficace. Pensiamo ad esempio a quanti, prima del 2020, nelle loro analisi hanno considerato un evento pandemico con impatto su scala planetaria.
I possibili campi di applicazione
Per quanto finora detto è chiaro come questa metodologia possa essere applicata agli ambiti più differenti, da quello sanitario a quello politico, da quello socioeconomico a quello alimentare e ovviamente a quello tecnologico.
Ne troviamo infatti esempi ed applicazioni in ambito farmacologico, dove AIFA (Agenzia Italiana del Farmaco)[3] l’ha utilizzata a supporto dei propri processi decisionali per programmare l’introduzione di medicinali innovativi e la correlata allocazione delle risorse economiche del Servizio Sanitario Nazionale; in ambito sicurezza alimentare, dove la FAO (Food and Agriculture Organizations of United Nations) nel suo “Horizon Scanning and Foresight – An overview of approaches and possible applications in Food Safety”[4] ha analizzato un possibile approccio di tipo predittivo volto a migliorare il sistema di controllo alimentare; in ambito cybersecurity, dove la NATO (North Atlantic Treaty Organization) con il suo CCDCOE (Cooperative Cyber Defence Centre of Excellence), in collaborazione con il King’s College London and William & Mary, si è posta l’obiettivo di capire come affrontare al meglio le minacce informatiche, ma anche le opportunità e le sfide delle tecnologie emergenti e disruptive in ambito cyber per il prossimo futuro (“Cyber Threats and NATO 2030: Horizon Scanning and Analysis”[5]).
Naturalmente, a seconda del contesto che si vuole analizzare, diverse sono le fonti di minacce che devono essere prese in considerazione per alimentare un sistema di horizon scanning.
Se ad esempio volessimo farne un’applicazione al cyberspace, dovremmo quantomeno considerare gli eventi socio-politico-economici (compreso lo spionaggio industriale), le nuove tecnologie (pensiamo, ad esempio, al 5G/6G come elemento abilitante per l’aumento della superficie di attacco), il cyberwarfare come parte di operazioni ibride, le infrastrutture critiche, i gruppi terroristici, gli hacktivisti, ecc.
Possiamo quindi concludere dicendo che, nel tentativo di “prevedere il futuro” e quindi ridurre il rischio, chi si occupa di risk management deve osservare, analizzare e cercare di interpretare e, quanto più possibile, anticipare quelli che saranno i prossimi scenari, così da ridurre il rischio ad essi associato.
In questo contesto possono quindi farsi rientrare le tecniche di horizon scanning: strumenti che il risk manager deve avere nella propria cassetta degli attrezzi per osservare il proprio orizzonte e cercare di capire se le informazioni e le conoscenze in suo possesso siano sufficienti a studiare il contesto e indirizzare le azioni di contrasto o piuttosto occorra integrarle o definirne di ulteriori per gestire i nuovi scenari di rischio che si presenteranno nel breve ma soprattutto nel medio e lungo orizzonte temporale.
[1] ISO/IEC 27031, Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity
[2] Security and resilience – Crisis management – Guidelines. La fase “Anticipate and assess” (4.4) del framework per il crisis management richiede che un’organizzazione abbia “processi di scansione dell’orizzonte per identificare crisi potenziali che potrebbero verificarsi sia nel medio e lungo termine, che con un breve preavviso”
(cfr. anche) ISO/TS 22360:2024 Security and resilience – Crisis management – Concepts, principles and framework
[3] https://www.aifa.gov.it/horizon-scanning
[4] http://www.fao.org/3/a-i4061e.pdf
[5] https://ccdcoe.org/library/publications/cyber-threats-and-nato-2030-horizon-scanning-and-analysis
