Quanto è complessa la protezione dei dati? Ecco cosa dicono le aziende italiane

Il 70% dei dati presenti nelle aziende è inutile e può essere cancellato. Spesso la mancata deduplica dei dati o strategie di backup inefficaci contribuiscono ad aumentare la complessità della gestione incidendo anche su un’efficace strategia di security. È quanto emerso dal dibattito tra gli utenti che hanno partecipato al recente Executive Cocktail organizzato da ZeroUno in collaborazione con Fujitsu e CommVault

Pubblicato il 11 Apr 2017

La Tavola Rotonda dell’Executive Cocktail “Come proteggere i dati in un business sempre più digital” organizzato da ZeroUno in collaborazione con Fujitsu e CommVault, ha rivelato tutte le difficoltà nell’implementazione di una security strategy strutturata: mancano i budget, ma soprattutto una cultura aziendale e una vista puntuale sul patrimonio informativo. È tempo tuttavia di correre ai ripari, anche nella prospettiva di adempiere al Gdpr (General Data Protection Regulation – Regolamento UE 2016/679). La chiave è partire dall’analisi dei dati presenti in azienda e ragionare in ottica di risk management.

Di questo servizio fa parte anche il seguente articolo:

SCENARIO- Data Security: come e perché implementare un approccio strutturato

Come razionalizzare la gestione dei dati

I relatori, da sinistra: Alessio Pennasilico, Membro del Comitato Direttivo e del Comitato Tecnico Scientifico del ClusIt, Nicoletta Boldrini, giornalista ZeroUno, Rodolfo Falcone, Country Manager di CommVault e Andrea Sappia, Sales Consultant Manager di Fujitsu

L’intervento di Rodolfo Falcone, Country Manager di CommVault, ha offerto i primi spunti di discussione: “Il dato è al centro del business: sempre più spesso, infatti, gli interlocutori dei progetti di information management sono l’amministratore delegato oppure i responsabili Marketing, Legal, HR, mentre si diffondono figure preposte alla gestione delle informazioni come il CDO (Chief Data Officer – ndr). Nelle aziende, tuttavia, il 70% dei dati è inutile e può essere tranquillamente cancellato. Attraverso policy è possibile evitare le copie inutili e definire criteri di archiviazione su diverse tipologie di storage a seconda della criticità del dato”.

“Gestiamo tonnellate di dati – ha obiettato Giuseppe Vitobello, ICT Manager di ENI -, ma definire cosa siano i dati utili è una grande scommessa, soprattutto viste le necessità aziendali in continuo divenire. Rileviamo dati da qualsiasi sorgente (applicazioni, email, IoT ecc.), di tipologia e con necessità differenti. L’IT non può essere in grado di avere competenza su tutti i dati, che oggi sono sotto il controllo e la manipolazione del business. Non basta, insomma, la definizione di regole per risolvere il problema”.

Le linee di business decidono sul dato

Il parere condiviso dalla platea è che la mappatura del patrimonio informativo richieda sforzi considerevoli e figure precise. “Abbiamo impiegato un anno per la tassonomia digitale con l’obiettivo di individuare i dati utili – ha raccontato Riccardo Riccobene, Ciso Regional Management – Ciso Italy di Deutsche Bank -, ma il problema è che il business non può aspettare, ha bisogno delle informazioni velocemente. Nella nostra azienda esistono le figure del Cdo e del Cso che collaborano con il mondo IT, il cui ruolo è importante ma non più centrale: le soluzioni vengono fornite dai vendor, non occorre più sviluppare in casa. All’interno invece serve capire cosa e come proteggere, con le Lob in grado di verificare l’utilità dei dati e di un progetto IT”.

“Oggi ci troviamo con una parte del patrimonio dati inutile – ha enfatizzato Lorenzo Anzola, Corporate IT Director di Mapei -. Il problema non è dell’IT, visto che il dato appartiene alle linee di business, che impongono una politica di redemption delle informazioni [in pratica, sono le Lob che definiscono la finestra di conservazione dei dati, ovvero il periodo in cui i dati devono essere disponibili e accessibili con una certa frequenza, ad esempio in base alle esigenze di compliance o di analisi, ndr]”.

Rischio: calcolare i costi, ma anche le probabilità

Rodolfo Falcone, Country Manager di CommVault

“Stiamo facendo un percorso per identificare i dati inutilizzati o duplicati inutilmente – ha testimoniato anche Tarcisio Zacchetti, CIO di Salumificio F.lli Beretta, che ha poi spostato l’attenzione sulle effettive criticità del risk management: “Quantificare il rischio di perdita dei dati è relativamente semplice, ma il punto è calcolare la probabilità con cui un incidente possa verificarsi”.

“Ci sono in azienda delle serie storiche che permettono di calcolare la frequenza degli incidenti – ha risposto Alessio Pennasilico, Membro del Comitato Direttivo e del Comitato Tecnico Scientifico del ClusIt -. Dimostrare l’entità di un eventuale incidente non significa automaticamente che verranno approvati i progetti, ma serve a generare coscienza sul problema. Le decisioni vengono prese anche in base alla probabilità che la minaccia si verifichi”.

Procedure per la data protection

Alessio Pennasilico, Membro del Comitato Direttivo e del Comitato Tecnico Scientifico del ClusIt

La discussione si è poi spostata sul mix corretto per la continuità operativa: la tecnologia e i vendor non fanno miracoli e una strategia corretta deve partire sempre da un accurato calcolo del rischio. Sonja Codnich, CSO di Unicredit, ha sottolineato che “le procedure sono importanti al fine di una strategia efficace e vanno testate periodicamente”.

“Importante – ha commentato Andrea Sappia, Sales Consultant Manager di Fujitsu – è anche semplificare il più possibile l’infrastruttura sottostante al software di data protection. La revisione dell’architettura permette al progetto di durare nel tempo, ma comporta anche rischi di implementazione. Le soluzioni preintegrate possono semplificare e accelerare la messa in opera del progetto, essendo già pretestate. Ovviamente, a monte deve esserci tutta la parte di analisi dei dati, delle policy, dei processi”.

Cloud e Gdpr, alcune considerazioni

Andrea Sappia, Sales Consultant Manager di Fujitsu

L’esperienza di Arpa Lombardia, raccontata dal CIO Graziella Dilli, offre infine una perfetta sintesi dei percorsi virtuosi intrapresi dalle aziende italiane verso la security strategy. “Abbiamo avviato un lavoro consistente per individuare i dati da comunicare alla Protezione Civile con flusso continuo per la prevenzione del rischio idrogeologico. Sono dati fondamentali, con un storicità che va mantenuta, perché sono alla base della modellistica dell’ambiente. Abbiamo differenziato i dati consultati quotidianamente, che necessitano di soluzioni di archiviazione performanti e affidabili, da quelli che non hanno accessi così frequenti, che possono risiedere su piattaforme più economiche e anche in cloud”.

Il tema del cloud ha sollevato in sala alcune perplessità, a partire dalla contrattualistica che attribuisce all’azienda utente e non al provider la responsabilità di recovery.

“L’azienda – ha sottolineato Pennasillico – non ha possibilità di negoziazione con i grandi provider. L’unica arma di difesa è l’attuazione di una Cyber Risk Strategy strutturata”.

“Il cloud – ha commentato Sappia – porta grandi vantaggi, ma bisogna fare i conti con l’eventualità di data loss. Ci sono soluzioni che permettono di accedere al cloud e fare una copia in locale, una pratica che svincola anche dal lock-in. Come sempre, la soluzione è avere a disposizione infrastrutture e processi strutturati. Alzare l’asticella sulle procedure è importante”.

In chiusura di dibattito, le ultime considerazioni sul Gdpr. “Il nuovo regolamento europeo – ha aggiunto Pennasilico – deve essere visto come uno stimolo per implementare strategie di sicurezza ed un driver per farsi approvare i budget”. “Sicuramente – ha sottolineato Falcone – il Gdpr – rappresenta un’importante opportunità per i vendor, ma anche per le aziende, di ottimizzare e alleggerire i dati e i processi di gestione. La necessità di razionalizzazione esiste comunque, quindi la normativa ha solo accelerato i tempi”.


Fujitsu e CommVault, insieme per la data protection

Il software di backup e recovery del vendor israeliano viene distribuito a bordo della famiglia di soluzioni Eternus per lo storage, offerte dal produttore nipponico

Backup e storage dei dati sono attività essenziali per la salvaguardia del business e della brand reputation. Identificare, implementare e gestire la combinazione hardware e software corretta, spesso all’interno di una vasta gamma di funzioni che caratterizzano le organizzazioni complesse e distribuite, è un esercizio non banale, soprattutto a fronte di budget limitati e mancanza di competenze specialistiche. Dall’aprile 2011, Fujitsu e CommVault collaborano all’offerta di soluzioni complete e pre-testate per la sicurezza delle informazioni. Il software per la data protection, il backup e il recovery, offerto dalla multinazionale israeliana, viene distribuito a bordo delle appliance di storage certificate della famiglia Eternus, proposte dal colosso nipponico. Posizionata da Gartner tra le aziende leader nel “Magic Quadrant for Enterprise Backup Software and Integrated Appliances” per sei anni consecutivi, CommVault fornisce una suite completa di funzionalità tra cui: backup e ripristino di database, file, applicazioni, endpoint e macchine virtuali, snapshots, deduplica. La famiglia Eternus, invece, offre un’ampia gamma di soluzioni di storage e backup per infrastrutture dinamiche, ottimizzate per ridurre i costi di archiviazione, accelerare i tempi di ripristino, garantire una gestione del dato per tutto il ciclo di vita.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2