Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Verso l’It as a service tra sicurezza e controllo degli accessi

pittogramma Zerouno

Verso l’It as a service tra sicurezza e controllo degli accessi

23 Lug 2014

di Nicoletta Boldrini

Cosa significa, di fatto, flessibilizzare l’It mantenendo la sicurezza e la governance? Quali sono le sfide che i Dipartimenti It affrontano per bilanciare le mutevoli esigenze del business con l’infrastruttura tecnologica esistente? Se ne è discusso nel corso di due recenti Tavole Rotonde di Redazione, organizzate da ZeroUno in collaborazione con Easynet, dalle quali è emerso un quadro in fortissima evoluzione dove l’It si muove attraverso percorsi diversificati che vedono il cloud ‘protagonista’ a vari livelli, ma con alcuni punti fermi comuni nelle aziende: l’attenzione alla sicurezza e alla compliance

Oggi assistiamo a nuove ‘identità di impresa’ nascenti dall’ormai evidente contaminazione dei mercati, favorita e accelerata da approcci collaborativi ‘open’ che caratterizzano la nuova economia industriale digitalizzata. “In questi percorsi trasformativi – invita a riflettere Stefano Uberti Foppa, Direttore di ZeroUno – l’It non può rappresentare l’area a cui ‘relegare’ scelte tattiche tecnologiche. L’It deve riconfigurare se stesso e passare da ‘soldato’ a ‘leader del cambiamento’, trasformando i propri servizi in modo adattivo, agile e appropriato alle esigenze del business”.

In questo percorso di modellazione dell’It ‘as a service’, il cloud, come emerso dal vivace dibattito di due recenti Tavole Rotonde di Redazione che ZeroUno ha organizzato a Milano e Torino in collaborazione con Easynet, gioca ormai un ruolo predominante ma, nella configurazione di quello che sempre più sarà un hybrid It, non possono essere trascurati gli aspetti di sicurezza e controllo degli accessi, indispensabili per riuscire a definire, semplificare, accelerare nuove modalità di fruizione dei servizi tecnologici senza tuttavia perderne governo e controllo.

 

L'articolo continua nella pagina seguente

*BRPAGE*

(segue dalla pagina precedente)

Alessandro Lauria, Ict Integration & Technology Operations Manager di Bolton Services

“Il cloud può rappresentare una minaccia per quei Cio ‘soldati’ (la definizione è di Forrester, che attribuisce a questa figura il compito predominante di eseguire attività di IT maintenance – ndr), a mio avviso, sono specialisti con competenze molto verticali – è il punto di osservazione espresso da Alessandro Lauria, Ict Integration & Technology Operations Manager di Bolton Services -. Oggi invece lo specialista sta sempre più all’esterno dell’azienda (nei cloud provider) e l’It interno deve fare da orchestratore per riuscire a creare servizi efficaci dando risposte veloci alle Lob. Il cloud rappresenta senz’altro un’opportunità in questo senso, ma è chiaro che va posta la massima attenzione all’integrazione tra risorse interne ed esterne e anche tra servizi esterni differenti; il costo di integrazione, oggi, potrebbe essere così gravoso da annullare i potenziali benefici di un modello ‘as a service’. La strada ‘obbligata’, dunque, è quella di rivedere le infrastrutture in modo che siano realmente flessibili e scalabili, ma soprattutto ‘già pronte’ per supportare le nuove ondate di innovazione”.

Passo uno: prepararsi all'integrazione

Emanuele Andrico, It Manager Core Business di A2A

Concorda con questa visione anche Emanuele Andrico, It Manager Core Business di A2A, il quale, raccontando ciò che la sua azienda sta gestendo in termini di governance e re-mapping dei modelli e delle competenze Ict in preparazione al cloud, sottolinea come le architetture aziendali debbano essere “predisposte per accogliere servizi esterni: non si può pensare di adottare un servizio cloud se l’architettura verso la quale deve integrarsi non è ‘orientata ai servizi’. Si tratta di un percorso che richiede un modello di governance strutturato, ma al tempo stesso snello (per riuscire a dare risposte in tempi rapidi agli utenti), nonché competenze nuove anche e soprattutto sotto l’aspetto della sicurezza”.   

Rivedere l’approccio alla sicurezza

Luca Magnoni, It Project Manager di Aviva Italia

“Passato l’entusiasmo della prima ondata del cloud, entusiasmo legato tanto all’innovazione quanto ai vantaggi economici, ora l’attenzione si è spostata su tematiche quali la sicurezza, l’accesso ai servizi e la governance…”, commenta Luca Magnoni, It Project Manager di Aviva Italia. “Un qualsiasi approccio verso il cloud richiede nuove competenze e formazione tecnica perché, ad oggi, è ancora difficile riuscire a trovare soluzioni ‘nativamente cloud’ e ‘nativamente integrabili’. Puntiamo molto sul concetto di ‘sicurezza intrinseca del processo’ e stiamo lavorando con una forte focalizzazione sui dati per capire come e quali presentare e renderei accessibili, ecc. Per ogni dato è fondamentale individuare il giusto livello di riservatezza, non tutto deve essere ‘iper sicuro’: ad ogni grado di sicurezza corrisponde infatti un processo di gestione diverso perché l’importante è avere il controllo di cosa succede con i dati aziendali”.

Leonardo Casubolo, Chief Security Officer di Kion Group

In questo senso, si tratta di adottare un approccio più ‘business oriented’, come fa notare Leonardo Casubolo, Chief Security Officer di Kion Group, “più vicino al concetto di risk management. Quando l’erogazione dei servizi It sarà percepita come ‘vitale’ per l’azienda, allora anche la sicurezza assumerà il giusto valore per essa; il business, molto spesso, non riesce ancora a vedere la sicurezza come elemento di base per la continuità di se stesso e quindi non alloca facilmente risorse in questa direzione”.

Sandra Giraud, Responsabile Infrastructures & Middleware Services di Avio Aero

L’approccio alla centralizzazione è la strada seguita da Avio Aero in termini di infrastruttura tecnologica e sicurezza “anche per la più efficace governance che ne deriva”, ammette Sandra Giraud, Responsabile Infrastructures & Middleware Services dell’azienda. “Noi produciamo ‘pochi pezzi’ in termini di prodotto, ma questi sono ‘preziosi’ dato che parliamo di componenti per motori aeronautici sia in ambito civile sia militare. La sicurezza, anche in virtù delle normative cui siamo sottoposti, è un tassello fondamentale del business e la centralizzazione delle infrastrutture e dei servizi Ict rappresenta una risposta efficace anche in termini di business continuity”

Proteggere l’identità digitale

Marco Zacchello, Global Solution Consultant di Easynet

Il tema della sicurezza ha suscitato un dibattito acceso sia nell’incontro di Milano sia nel successivo, a Torino. Marco Zacchello, Global Solution Consultant di Easynet, ha invitato i partecipanti a ragionare su quelli che, dalla sua prospettiva, sono i due macro-aspetti principali sui quali il Cio dovrebbe concentrare gli sforzi: “la sicurezza delle infrastrutture, da un lato, e quella degli utenti, dall’altro. Nel primo caso, si tratta di definire delle regole (livelli di servizio, accesso e utilizzo delle risorse) e trovare le tecnologie adatte a governare e gestire tali regole di sicurezza; nel secondo caso, invece, si entra nel merito del ‘comportamento umano’ e quindi la definizione di policy di sicurezza deve tenere conto di ruoli, competenze e responsabilità. Dando per ‘assodato’ che oggi le infrastrutture It siano messe in sicurezza (cosa tutta da verificare), lo sforzo richiesto dall’accesso ai servizi Ict in modalità cloud risiede nella definizione delle policy e nel loro controllo”.

Mauro Restelli, Responsabile It di Mediobanca Innovation Services

Si tratta di lavorare su quello che Lauria chiama “concetto di identità digitale” che richiede a supporto nuovi modelli di governance e controllo, così come conferma dalla sua prospettiva anche Mauro Restelli, Responsabile It di Mediobanca Innovation Services: “Se il primo passo verso un hybrid cloud è preparare adeguatamente l’infrastruttura Ict interna, quello che è il suo ‘passo parallelo’ sta nella definizione delle policy di utilizzo dei servizi indipendentemente dal fatto che, tecnicamente, essi siano erogati dall’interno o dall’esterno. Predisporre il piano di sicurezza, a mio avviso, significa anche avere pronto una sorta di ‘piano di rientro’ e questo implica l’identificazione di policy che possano essere collocate in un piano evolutivo anche nel rapporto che l’azienda ha con partner e fornitori”.

La compliance ci mette lo zampino

Paolo Ballabene, It Director di Tnt Global Express

Se i ‘mal di testa’ comuni dei Cio quando si parla oggi di cloud riguardano la sicurezza, è innegabile che ciò dipenda molto anche dalle lacune normative, da un lato, e dalle competenze non ancora completamente formate sul fronte legale e della contrattualistica, dall’altro. “Noi stiamo vivendo un percorso di trasformazione It che è iniziato dalla virtualizzazione del data center per poi abbracciare il modello cloud su applicazioni considerate commodity (Hr, gestione del ‘parco macchine’, cioè delle autovetture aziendali, ecc. dove le problematiche di compliance non rappresentano una criticità)”, spiega Paolo Ballabene, It Director di Tnt Global Express. “Le soluzioni a supporto di processi core, invece, rimangono e rimarranno gestiti e serviti dall’It interno ma, dato che all’utente di business interessa il servizio (non come sia gestito ed erogato tecnicamente), siamo dovuti intervenire anche sull’organizzazione della nostra struttura e sulle competenze”.   

Carlos Martinez, It Manager di Valeo

Si ritrova a pieno con queste problematiche anche Carlos Martinez, It Manager di Valeo il quale evidenzia l’importanza di “scrivere bene gli accordi, prevedendo anche le dovute penalità, non tanto perché si ‘debbano’ realmente concretizzare ipotesi di danno, ma, un po’ come avviene per le assicurazioni sulla vita,  per tutelarsi. Certo – ammette Martinez – per i servizi di public cloud è un po’ più complesso riuscire a ‘trattare’ con i fornitori laddove i servizi sono altamente standardizzati, tuttavia è possibile. La criticità maggiore, semmai, è nelle competenze interne oltre alla difficoltà, per aziende internazionali come la nostra, di dover tener conto delle diverse leggi vigenti nei vari paesi”.

Emmanuel Becker, Sales & Marketing Director di Easynet Italia

La compliance rappresenta senz’altro un punto di attenzione innegabile, ammette Emmanuel Becker, Sales & Marketing Director di Easynet Italia, ed “è una delle prime ragioni per le quali la valutazione del cloud deve passare al vaglio dell’ufficio legale per verificare prima di tutto ‘se’ rappresenti la scelta ottimale, perché non è detto che lo sia, e, nel caso lo sia, ‘come’ procedere tenendo conto dei rischi associati non solo riferiti alla sicurezza del dato e dell’utente (per l’accesso e la fruizione del servizio), ma anche dell’efficacia del modello di governance all’interno del quale deve essere adeguatamente ‘contemplato’ il rapporto con i vendor”.

Luca Pozzani, Cloud Service Provider Account Manager di Hp

“Non esiste una chiave di lettura univoca – aggiunge Luca Pozzani, Cloud Service Provider Account Manager di Hp -. Laddove appare abbastanza evidente che il modello verso il quale andremo a tendere è quello ibrido, deve essere chiaro il fatto che non è, e non sarà la tecnologia a dare risposte in termini di policy, sicurezza, compliance. Servono interventi su processi e ‘abitudini’, anche sotto la guida delle normative, e ciò significa agire con priorità sul piano organizzativo”.

 

 

La trasformazione passa per le giuste competenze

Roberto Gillio, It Manager di Media Italia – Gruppo Armando Testa

È proprio su quest’ultima riflessione che incalza Roberto Gillio, It Manager di Media Italia – Gruppo Armando Testa: “noi ‘trattiamo idee’, quindi c’è il ‘terrore’ di portare fuori dal perimetro aziendale i dati; non solo, lavoriamo con immagini e file di grandissime dimensioni, quindi la scelta cloud, che abbiamo già sperimentato, si è rivelata controproducente per via dell’impatto eccessivo che il servizio aveva sulla banda di connessione. Non solo, benché la spinta al cloud non debba essere di natura economica, il business si attende dei saving in questo senso, quindi l’It deve anche determinare valore e rischi di una scelta cloud onde evitare di cadere nella trappola di essere considerata una ‘divisione retrograda e inutile’”.

Laura Massucco, It Manager di Sait Abrasivi

Ritorna su questi aspetti anche Laura Massucco, It Manager di Sait Abrasivi la quale evidenzia come “la rigidità tipica delle aziende manifatturiere si scontri con l’agilità delle tecnologie di oggi, cloud in primis. Anche noi viviamo la ‘paura’ dell’allocazione dei dati ma, la prima criticità che rilevo sta nelle competenze interne, soprattutto It. C’è una generale preoccupazione data dall’esternalizzazione dei servizi come scelta che, in qualche modo, possa ‘snaturare’ il proprio ruolo It. Per questo a mio avviso è fondamentale preparare il percorso attraverso un’adeguata formazione interna per rendere gli utenti business ‘più confidenti’ verso le nuove tecnologie, da un lato, e fare in modo, dall’altro, che il personale It sia al passo con i tempi e possa suggerire al business le vie più efficaci”.


Easynet ‘costruisce’ percorsi cloud

Non tutto è ‘portabile’ in cloud. Partendo da questa visione e dalla consapevolezza che, sul piano Ict, lo scenario sarà sempre più caratterizzato da dipartimenti organizzati secondo modelli di erogazione di servizi ibridi, Easynet ha sviluppato la propria strategia di business. Oggi l’azienda si presenta al mercato come system integrator il cui obiettivo è identificare, progettare e implementare all’interno delle aziende la più efficace combinazione di servizi di cloud, sia in termini di infrastrutture sia di applicazioni e di networking. Entrando nel dettaglio dell’offerta specifica, Easynet di fatto, crea, implementa e gestisce sistemi e applicazioni cloud (pubbliche, private o ibride), incluse l’infrastruttura tecnica, la capacità dei server e la larghezza di banda necessarie per garantire l’accesso ai servizi. Particolare attenzione viene quindi rivolta alla progettazione, fase nella quale gli aspetti di sicurezza hanno un ruolo rilevante e verso i quali, anche in questo caso, l’azienda adotta un approccio consulenziale e di system integration finalizzato all’identificazione della soluzione più adatta, tenendo conto del contesto e delle esigenze di ciascuna azienda specifica, così come il modello ‘ibrido’ richiede.

 

Nicoletta Boldrini

Giornalista

Articolo 1 di 5