Regent
Servizi - Sicurezza
 

19/12/2012

Share    

Affrontare la sfida della sicurezza in maniera consapevole

I manager IT di Bomi, Penny Market e Sapio a confronto sull’attualità della IT security


 

L’intrusione all’interno del sistema informativo aziendale, o il furto di user ID e password, possono causare gravi danni.

I cyber criminali, però, oggi vanno ben oltre, ideando attacchi sempre più sofisticati e persistenti. Senza contare che la diffusione dei nuovi paradigmi IT - virtualizzazione, cloud, mobility solo per citarne alcuni - rende più difficile capire dove risiedono le informazioni e chi ne è responsabile.
 

Bisogna mettere in atto contromisure adeguate, passando da un approccio tradizionale, a silos, a uno globale, omnicomprensivo, in cui le singole funzionalità - intrusion prevention, firewall, antivirus, data loss prevention… - vengano affrontate in maniera integrata.
 

Un compito non facile, visto che le problematiche di governance, risk management e compliance richiedono esperienze ampie e diversificate anche in contesti più ridotti rispetto alle grandi aziende, a fronte di investimenti IT che, se tutto va bene, restano invariati.
 

Per capire meglio quali sono oggi le priorità legate alla sicurezza dei dati, veri asset strategici per qualsiasi organizzazione, la cosa migliore è dar voce a chi ogni giorno deve garantirla a fronte di possibili minacce sia esterne sia interne.
 

Abbiamo quindi riunito intorno a un tavolo tre responsabili IT di realtà italiane che possono essere collocate nel novero delle PMI, sebbene ciascuna con connotazioni e tratti distintivi propri.
 

Al nostro invito hanno aderito Stefano Ferrari, responsabile dei sistemi informativi del Gruppo Sapio fino a novembre 2012, Italo Candusso, responsabile dei sistemi informativi Italia ed Emea di Bomi Italia e Mirko De Dominicis, IT Infrastructure manager presso Rewe Group - Penny Market Italia.

 

 

Il ruolo della sicurezza
 

 

Il tema della sicurezza è talmente vasto che è difficile capire da dove cominciare. Cosa si intende, infatti, per sicurezza IT?
 

“Si potrebbe arrivare a dire che in un ambiente IT tutto è legato alla sicurezza - esordisce Stefano Ferrari di Sapio. Ogni strato dello stack architetturale ha problemi di sicurezza: i personal computer hanno tematiche di back up, antivirus, policy, l’utilizzo della rete è legato ai firewall, agli apparati di content filtering, alle profilazioni ecc., le directory a tematiche di audit, logging, policy, encryption, c’è l’ambito emergente del Byod, e stiamo parlando solo degli end point. Scendendo verso l’infrastruttura ci sono protocolli e soluzioni più o meno dedicate per gestire tematiche di failover, alta affidabilità, back up & recovery… Nel comparto chimico-farmaceutico in cui operiamo, poi, vi sono normative nazionali e internazionali particolarmente stringenti in tema di autorizzazioni e trattamento dei dati, per cui definire confini precisi al tema Security è veramente difficile, così come assegnargli un peso economico specifico preciso che, in base all’accezione considerata, può oscillare da poco più dell’1% sino ad arrivare a un 15%. Nella mia azienda la responsabilità della sicurezza fisica e logica dei dati rientra comunque da sempre nei compiti complessivi del dipartimento IT, per cui viene integrata all’interno di una strategia complessiva”.
 

“Anche nel nostro caso - concorda Italo Candusso di Bomi - il dipartimento IT ha la responsabilità della sicurezza dei dati sotto tutti i punti di vista, fisici, logici, di budget e di scouting: è nostra responsabilità reperire le soluzioni in grado di garantire il miglior rapporto prezzo/prestazioni al fine di garantire livelli di sicurezza adeguati. Nella mia azienda il progetto più recente ha riguardato l’esternalizzazione dei sistemi informativi, e, in quest’ambito, abbiamo prestato particolare attenzione al tema della business continuity e del disaster recovery, per cui abbiamo messo i sistemi in due farm differenti con sistemi di replica molto performanti e tutte le linee ridondate, e anche questa è sicurezza. Abbiamo potenziato, mettendoli in cluster, i sistemi di content filtering, rilevazioni delle intrusioni, creando un sistema di sicurezza per l’utilizzo dei dati all’interno e all’esterno dell’azienda. In questo modo vogliamo dare una risposta concreta a un altro tema che sta diventando sempre più pervasivo, quello della mobility, che viene guardato con grande attenzione anche dal top management. Sta a noi effettuare le scelte più opportune, spiegandole nel modo giusto ai nostri utenti”.
 

“Penny Market, forse anche per la sua matrice tedesca, ha sempre prestato grande attenzione al tema della sicurezza, in tutte le sue sfaccettature - dice a sua volta Mirko De Dominicis. In un momento come quello attuale, in cui i confini tra sicurezza fisica, logica, interna ed esterna, tendono a farsi sempre più labili, bisogna adottare soluzioni sempre più complete. Spesso in azienda la sicurezza viene quasi data per scontata, ma bisogna saperla costruire. A volte si confondono le performance con la sicurezza, per cui può essere utile partire da un presupposto diverso, e chiedersi quali conseguenze avrebbe un attacco informatico o un denial of service. Il nostro dipartimento, a cui fanno capo le tematiche di sicurezza informatica, ha messo a punto un modello, battezzato ‘prevention detection response’ (PDR) per capire, attraverso simulazioni, quali potrebbero essere le conseguenze, in termini tecnologici, di business e di immagine, a fronte di una serie di eventi nefasti. È un modo efficace per sensibilizzare anche il management su questi temi, poiché non bisogna partire dal presupposto di essere immuni, anche se purtroppo è un atteggiamento ancora piuttosto diffuso nelle PMI italiane”.

 

 

Fare la scelta giusta
 

 

Ma quali sono, nel disegno di una strategia di sicurezza, i fattori più importanti?
 

Secondo Italo Candusso di Bomi tempi di risposta e di ripristino rapidi, controllo in entrata e in uscita del traffico IP, gestione rigorosa e al tempo stesso flessibile delle profilazioni e delle policy, aggiornamento costante dei tool implementati, il giusto rapporto prezzo/prestazioni sono tutti fattori da tenere presente. “Un occhio di riguardo, però, soprattutto di questi tempi, va posto al tema degli investimenti - puntualizza. Al di là dei tecnicismi e degli economics, è importante sensibilizzare tutta l’azienda, a tutti i livelli, sul tema della sicurezza. Le politiche che il dipartimento IT mette in atto, infatti, seguono determinati criteri che devono essere condivisi da tutti, perché spesso sono i comportamenti superficiali, messi in atto magari in buona fede, ad essere i più pericolosi. Molti non sono consapevoli dei rischi che fanno correre all’azienda o che, in alcuni casi, corrono in prima persona, anche sotto il profilo della responsabilità civile e penale”.
 

“I fattori che sono stati citati sono tutti importanti, ma io vorrei sottolineare ancora una volta l’importanza di avere un approccio top-down - commenta Mirko De Dominicis di Penny Market. Bisogna effettuare una attenta disanima di tutti i processi aziendali, associare le risorse con i compiti loro assegnati e disegnare policy adeguate, spiegandone in dettaglio il funzionamento ma anche, e soprattutto, i motivi che le ispirano. È inutile, infatti, adottare tool efficaci e performanti se poi non vengono utilizzati, o si trova il modo di aggirarli, più che altro per pigrizia o perché si fa fatica ad accettare i cambiamenti. Nella nostra azienda abbiamo una visione di medio-lungo periodo, che ci porta anche a preferire un approccio multi vendor, perché riteniamo che la scelta di una soluzione unica, omnicomprensiva, alla lunga possa risultare controproducente”.
 

Anche secondo Stefano Ferrari di Sapio l’aspetto principale è organizzativo. “A livello tecnologico le soluzioni esistono, e, a fronte di nuove minacce, l’industria offre rapidamente rimedi adeguati - evidenzia. Il tema di fondo, su cui bisogna sensibilizzare tutta l’organizzazione, a cominciare dal top management, è quello del rischio residuo. Dato per scontato che è impossibile mettersi al riparo da qualsiasi tipo di minaccia, sia fisica sia logica, bisogna chiedersi quali livelli di rischio residuo si è disposti ad accettare. È evidente che se si decide di ridurre al minimo il rischio residuo sono necessari determinati investimenti, che decrescono proporzionalmente più è alto il rischio residuo che si è disposti ad accettare. Si tratta di scelte che riguardano anche, e soprattutto, il business, per cui devono essere coinvolte tutte le linee di business perché, non dimentichiamolo, i sistemi informativi, sicurezza compresa, rappresentano un fattore critico di successo per tutto il business”.

 

 

I nuovi scenari
 

 

Mobility e Byod sono fenomeni relativamente nuovi, che possono avere pesanti ripercussioni sotto il profilo della sicurezza. Ma quali sono le esperienze reali vissute in questi ambiti?
 

“Stiamo vivendo in azienda il passaggio della flotta mobile su smartphone - racconta Mirko De Dominicis di Penny Market. Questo testimonia che la mobility oggi è un trend inevitabile che va facilitato e non deve essere un problema purchè si abbia una strategia anche di security perché questi device sono sempre più esposti ai rischi sia di sicurezza che di privacy. Quando noi introduciamo su questi apparati delle regole sono spesso viste dall’utilizzatore come limitazioni, per questo stiamo procedendo in maniera graduale, per trovare, come sempre, l’equilibrio migliore”.
 

Anche in Sapio la mobilità è una realtà, ma, come assicura Stefano Ferrari, “anch’essa deve rientrare in una logica organizzativa globale. Dobbiamo fare in modo che ciascuno sia consapevole di quello che può o non può fare con determinati strumenti, qualsiasi essi siano”.
 

Per Italo Candusso di Bomi “l’importante è fare le giuste valutazioni e mettere in atto automatismi adeguati, implementare workflow in grado di allineare l’utilizzo dei device ai singoli ruoli”.

 

 

E infine parliamo di budget
 

 

Ma quanto pesa il budget della sicurezza IT sul totale delle risorse investite nelle tecnologie informatiche?
 

“Come ho detto all’inizio, dipende - ribadisce Stefano Ferrari di Sapio. Pensando al progetto di business continuity e disaster recovery riteniamo che i costi debbano essere inseriti tra quelli aziendali, non IT, perché il blocco del sistema informativo ha la stessa incidenza per esempio, di un blocco dei camion che effettuano le consegne: in entrambi i casi bisogna lavorare per fare in modo che tutto funzioni nel migliore dei modi, altrimenti le conseguenze si ripercuotono su tutto il business. Detto questo, a fronte di un budget annuale IT di circa 6 milioni di euro, l’incidenza di un progetto di business continuity e disaster recovery potrebbe valere circa 1,2 milioni di euro, e i costi ricorrenti circa 650mila euro all’anno. Facendo rientrare business continuity e disaster recovery nel tema sicurezza, queste voci rappresentano quasi il 10% del budget complessivo, mentre i costi complessivi (opex + capex) si collocano intorno al 20%. Sono sicuramente cifre significative, ma bisogna tenere presente quali danni, economici e di immagine, potrebbero derivare da un blocco più o meno prolungato dei sistemi e processi a supporto (IT e non). È un tema sempre d’attualità, su cui non bisogna mai abbassare la guardia, perché la tentazione di non fare tutto il possibile, nella speranza che non succeda nulla di male, è sempre in agguato”.
 

“Per quanto i numeri siano inferiori, anche nel nostro caso le proporzioni sono simili - afferma Italo Candusso di Bomi. Disaster recovery e business continuity rappresentano circa il 25% del budget IT complessivo. Quantificare con precisione il ROI è quasi impossibile, ma l’azienda ha la consapevolezza che questo tipo di investimento rientra in una strategia globale che fa della qualità e dell’affidabilità uno dei propri cardini. Possiamo dire che sono investimenti che hanno la stessa dignità di quelli indirizzata all’ottenimento e al mantenimento delle certificazioni di qualità, per esempio. Naturalmente, parlando di budget, guardiamo con attenzione anche al nuovo paradigma del cloud, che ha nel modello di pricing uno dei suoi punti di forza. L’esternalizzazione dell’infrastruttura ha per noi rappresentato un primo passo, ma prima di farne altri ne valuteremo con attenzione pregi e difetti”.
 

“Stimare il ritorno dell’investimento di un progetto di disaster recovery è possibile, perché si possono quantificare i costi di fermo macchina e mancata produttività, più difficile calcolarlo sulle altre voci della sicurezza - conclude Mirko De Dominicis di Penny Market. Anche nel caso di un ROSI (return on security investements) occorre misurare i benefici di un investimento nella security dal quale ci si attendono precisi ritorni, magagri non economici, ma in termini di immagini e di compliance. È anche un fatto culturale, di consapevolezza: il comune buon senso dice “prevenire è sempre meglio che curare”, un concetto accettato però più facilmente all’estero che in Italia. In ogni caso non bisogna abbassare la guardia, perché le minacce, in un mondo in cui la tecnologia digitale diventa sempre più pervasiva, diventeranno sempre più sofisticate: pensiamo ai rischi a cui saranno esposti i nuovi IP TV, o alle tematiche che apre il nuovo paradigma machine-to-machine”.
 

Il ruolo dei CIO, insomma, è sempre fondamentale. Con un occhio alle evoluzioni tecnologiche e l’altro al business, è la figura più indicata per ridurre al minimo i rischi, da qualsiasi direzione provengano.

 

 

 

Chi è Bomi Group
 

Dal 1985 il Gruppo Bomi fornisce servizi di logistica in outsourcing e soluzioni specializzate al settore diagnostico-medicale. Qualità, alta specializzazione, estrema personalizzazione sono i tratti distintivi delle attività svolte e delle soluzioni proposte a clienti e aziende esterne: warehousing e physical distribution, transport management dedicato, gestione cold chain con stoccaggio e trasporto a temperatura controllata, consignment stock con gestione inventariale, kit assembling certificato.

 

Riconosciuta come operatore di riferimento per il settore healthcare, e titolare delle certificazioni ISO 9001:2008 e ISO 13485:2003, la società gestisce 1 milione di consegne l’anno per conto di 80 aziende e dispone di un network internazionale in continua espansione. In Italia la società conta circa 80 dipendenti per un fatturato di circa 17 milioni di euro, numeri che crescono in maniera significativa considerando anche le operazioni all’estero, dove le risorse impiegate sono circa 700 e il giro d’affari tocca i 70 milioni di euro.

 

 

Chi è Penny Market
 

Penny Market è un’insegna del Gruppo Rewe, uno degli operatori più importanti della grande distribuzione organizzata a livello internazionale, presente in Europa con oltre 2.800 punti vendita Penny Market. Entrata in Italia nel 1994 in compartecipazione con Esselunga, nel 1999, raggiunta un’adeguata solidità, passa interamente sotto il controllo di Rewe, presente nel nostro Paese anche con i marchi Billa e Standa.

 

Oggi Penny Market conta circa 2.500 dipendenti, 310 punti vendita dislocati su tutto il territorio nazionale che vengono serviti da 6 piattaforme logistiche situati a Quattordio (AL), Arborio (VC), Desenzano (BS), Altopascio (LU), Marciano (AR) e Gioia del Colle (BA).

 

 

Chi è Sapio
 

Il Gruppo Sapio opera sul mercato italiano nel settore dei gas tecnici e medicinali da più di 80 anni. È un gruppo industriale in grado sia di soddisfare completamente le richieste e le necessità del mercato sia di sviluppare nuove tecnologie e nuovi servizi personalizzati in grado di venire incontro a qualsiasi tipo di esigenza.

 

La società, che conta attualmente circa 130 sedi tra depositi, agenzie e filiali, continua ad arricchire la gamma dei prodotti e dei servizi offerti, abbinando alla fornitura di gas tecnici e medicinali (ossigeno, azoto, acetilene, anidride carbonica, idrogeno, argon, elio, miscele e gas iperpuri, gas e miscele F.U.) la fornitura di sistemi ad alta tecnologia per il taglio e la saldatura, di gas refrigeranti, di impianti per la produzione on site di azoto, ossigeno e idrogeno, di progettazione e realizzazione di impianti di applicazione e distribuzione di gas, di servizi ospedalieri e domiciliari per il settore della sanità pubblica e privata, di sviluppo per applicazioni innovative nel settore energetico.

 

 

Servizio fotografico e video a cura di Giuseppe Pantano Arnone
 

 

TORNA INDIETRO >>