Lo scorso Marzo si è svolto a Verona, nel quadro degli “Incontri a cena con gli utenti” che la nostra rivista organizza per sondare con le aziende utenti, insieme ad esponenti dell’offerta ed analisti e ricercatori, varie tematiche inerenti il rapporto tra l’Ict e il business, un incontro dedicato al tema della compliance normativa. Più precisamente, come recitava l’invito all’evento stesso: “Espansione e integrazione del business: gestire la complessità e le informazioni adeguandosi alle regole”. Come ci è quotidianamente dato di osservare, molte imprese italiane sono da qualche tempo in una situazione che è sia di necessario allargamento delle proprie attività (e usiamo il termine “necessario” in quanto dettato da dinamiche di mercato sulle quali l’azienda non ha controllo, ma che ne determinano le scelte strategiche), sia di conseguente aumento dei problemi d’integrazione di tali attività. Integrazione che, come osservato da Stefano Uberti Foppa (nella foto a destra), direttore di ZeroUno e chairman dell’evento, nella sua
introduzione, “Non è solo di tipo tecnologico, ma organizzativa, di processo, di identificazione delle competenze e di quant’altro necessario a sviluppare l’azione dell’impresa sul mercato”. Ora, una delle risposte che stanno emergendo in termini di capacità di governo di questa complessità è appunto quella della compliance. L’attrezzarsi per rendere le proprie attività conformi a regole prestabilite (che, ricordiamo, non sono solo leggi e regolamenti imposti, ma anche norme e best practices di autoregolamentazione liberamente accettate) è infatti uno strumento praticamente indispensabile per poter guidare l’impresa verso una esecuzione ottimale, o quanto meno corretta, delle proprie strategie.
Imprese, esperienze, metodi
Un quadro, per così dire informativo, della situazione relativa alla crescente complessità dell’integrazione delle operazioni nelle imprese e del ruolo che vi gioca l’Ict è stato mostrato da Stefano Micelli (nella foto in basso a sinistra), professore di economia e gestione delle imprese presso la Facoltà di
Economia, Università Ca’ Foscari (www.unive.it). I dati presentati da Micelli prendono spunto da un’indagine svolta presso le medie e piccole imprese del Nord-est, il cui recupero di competitività risulta derivare da tre fattori: internazionalizzazione dei mercati; qualità del management (con una generazione di dirigenti aggiornati e culturalmente preparati subentrata ai “padroncini”) e terziarizzazione delle funzioni aziendali. In particolare, quest’ultimo fattore è abilitato da una serie di tecnologie che permettono di portare all’esterno non solo funzioni accessorie al business, ma anche funzioni per esso fondamentali, come la ricerca, la produzione, la logistica, mantenendo l’indispensabile allineamento tra le operazioni e le strategie aziendali. Queste tecnologie comprendono, ad esempio, soluzioni di Crm, supply chain management e sales force automation che si integrano e sovrappongono alle operazioni transazionali affidate all’Erp, con progressiva estensione degli attori dall’interno all’esterno dell’impresa, e sono a loro volta messe in correlazione da soluzioni di groupware, knowledge management, data mining e comunicazione (intranet e portali). Dopo aver dimostrato come l’Ict sia, con l’innovazione tecnologica e di prodotto, “un indiscutibile fattore di successo, con una stretta correlazione tra la dotazione Ict e le performance dell’impresa”, Micelli ha fatto notare come “la diffusione degli Erp, che sono la “base”’ su cui poggiano le altre tecnologie, abbia significato spesso l’adeguamento delle pratiche manageriali a standard internazionali”. “Lo spazio che ancora rimane tra l’uso interno dell’Ict (Erp) e quello orientato alla gestione delle relazioni esterne (Crm, Scm, Sfa e così via) rappresenta – ha sottolineato Micelli – l’area di maggior valore strategico per l’Ict. Ed è qui dove potrà intervenire l’evoluzione culturale in atto da parte degli utenti aziendali, sempre più consapevoli del potenziale innovativo di certe applicazioni, specie in ambito comunicazione e cooperazione, molte delle quali sono già da ora disponibili on-demand”.
“Abbiamo scoperto – ha detto Micelli – che qualche volta gli utenti possono essere più innovativi dei responsabili It”.
All’analisi introduttiva di Micelli ha fatto seguito l’esposizione, da parte di Simonetta Maina (nella foto in basso a destra),
responsabile sicurezza della Provincia Autonoma di Bolzano (www.provincia.bz.it), dell’esperienza fatta in tema di compliance: “Si tratta dell’implementazione, in una realtà vasta e complessa (41 ripartizioni, 200 uffici e 5.000 dipendenti dalle attività del tutto eterogenee) di un sistema globale di gestione della sicurezza e della conformità normativa che ha portato grandi vantaggi sul piano del governo dell’intera funzione It”.
Il punto di vista dell’offerta è stato poi esplicitato da Marco Ceccon (nella foto in basso a sinistra), senior consultant advisory services di Symantec (www.symantec.it), con una breve presentazione che ha fatto
perno sulla confluenza tra la conformità normativa e la sicurezza in generale nella riduzione dei rischi It. Interessante, in questa esposizione che riguarda l’approccio metodologico e non le specifiche soluzioni, la descrizione del rischio informatico come componente del rischio operativo (con i relativi impatti sul business) ed il modello di strategia d’intervento. Ricordiamo a chi fosse interessato, che sia le chart della presentazione dell’Università Ca’ Foscari, sia quelle dell’esperienza della Provincia di Bolzano e della metodologia Symantec sono scaricabili, previa registrazione, dal nostro sito all’indirizzo www.zerounoweb.it, nell’area Eventi ZeroUno.
Organizzarsi è un dovere
Il dibattito vero e proprio è stato aperto da Marco Maglio (nella foto in basso a destra), avvocato e presidente del Giurì
per l’Autodisciplina nella comunicazione commerciale interattiva, che ha esordito osservando (“senza voler fare facile ironia”, ha sottolineato) come “il primo problema di chi deve garantire e controllare la compliance di un’impresa sia quello di capire il vero significato delle norme alle quali si deve uniformare”.
“Spesso, nonostante la compliance sia un tema essenzialmente giuridico dove, in quanto giurista e avvocato, avrei dovuto sentirmi a mio agio, mi sono trovato in difficoltà nel capire rispetto a che cosa si doveva essere conformi”, dice Maglio. “Questo è evidentemente un problema per chi deve tradurre queste norme in procedure e in modelli organizzativi”. Gli esempi negativi, purtroppo, non mancano, con norme talvolta addirittura in contraddizione con le logiche stesse della sicurezza (come quelle, ricorda Maglio, sulla nomina di un custode di password, necessariamente immutabili, o di un fiduciario delle e-mail, necessariamente violabili, degli impiegati assenti), ma non è aggiustando queste storture, come peraltro si è fatto, che si è risolto il problema. “Il fatto è – ha chiarito Maglio – che non è corretto pensare alla compliance avendo come riferimento un modello statico. Le leggi, se sono leggi fatte bene, non fotografano una realtà chiedendo di conformarsi ad essa, ma sono leggi dinamiche, il che comporta per le aziende l’onere di sapersi adeguare a questa dinamicità”. In altri termini, il legislatore oggi spinge le imprese ad organizzarsi bene per saper rispondere alle diverse conformità richieste. Come conclude Maglio: “Oggi un’impresa può essere giudicata responsabile perché ha organizzato male il lavoro, e la tecnologia informatica può servire soprattutto ad aiutare a gestire bene la responsabilità organizzativa”.
E problemi prettamente organizzativi sono quelli esposti da Emanuele Turra (nella foto in basso a sinistra), responsabile dei
sistemi informativi del gruppo Fiamm (www.fiamm.it), marchio storico negli accumulatori per auto. Il gruppo ha una dimensione multinazionale, ma una It gestita in modo centralizzato. “Il primo problema è quindi quello di gestire le difformità in tema di compliance tra i vari Stati in cui ci si trova ad operare, definendo una piattaforma di sicurezza minima, compatibile con tutti i possibili scenari”, dice Turra. “Un secondo problema è quello che deriva dall’implementare norme di sicurezza troppo difficili da rispettare da parte dell’utente, e quindi disattese. Esempio classico è la password: se da otto caratteri passo a dieci, con maiuscole e minuscole obbligate, rischio che l’utente finisca per scriverla su un foglietto”. La domanda è quindi: qual è il livello di complessità giusto? E, di conseguenza, qual è il giusto livello d’investimento? Domanda non facile cui risponde Marco Fanizzi (nella foto in basso a destra), district sales manager di Symantec, osservando come
questo dipenda essenzialmente dalla risk analysis: “Si tratta di capire qual è il core business, capire cosa può succedere a fronte di problemi di sicurezza e solo a questo punto trovare il l’equilibrio tra spesa e beneficio”. Aggiunge Ceccon che “I modelli di analisi del rischio elaborati da Symantec per i vari settori d’industria facilitano il compito, fornendo parametri cui la singola impresa si può confrontare e strumenti di benchmarking che permettono di valutare le aree ed i livelli di rischio (e quindi d’investimento) da ridurre”.
Ma si può anche delegare
Fanizzi prosegue poi su come, praticamente, ci si debba muovere in tema di organizzazione e fa notare come esistano sul mercato dei servizi e delle competenze professionali, ai quali ci si può rivolgere delegando, per così dire in ousourcing, il problema sicurezza, sia come struttura sia come soluzioni. I costi di questo approccio, che vengono tipicamente commisurati al fatturato dell’impresa servita, variano a seconda dei settori d’industria, con un rapporto tra budget e fatturato che va dall’1-2% per i settori metalmeccanico e agroalimentare, al 4-5% delle banche e telecomunicazioni. Sul fronte spesa interviene anche Fanizzi, secondo il quale, rapportata non al fatturato, ma al budget It, la spesa media in sicurezza varia dal 7 al 14%. Naturale a questo punto l’intervento di un fornitore di servizi come Augusto Coriglioni (nella foto in basso a sinistra), chief
sales and services officer di T-Systems (www.t-systems.it): “Le imprese che per la sicurezza si rivolgono ad un outsourcer lo fanno in genere per risparmiare, e poi anche per demandare al fornitore problemi di compliance che non vogliono o possono gestire. C’è infatti una certa confusione in materia. Ci troviamo spesso di fronte a richieste, scritte dal cliente, di disaster recovery che in realtà si rivelano essere di business continuity. E a fare queste confusioni sono anche aziende di primo piano”.
Liberi sì, ma controllati
Un nuovo argomento di discussione viene introdotto da Stefano Uberti Foppa riguardo alle problematiche che possono intervenire sul fronte della sicurezza e della compliance dai nuovi strumenti di comunicazione e collaborazione, tipo i blog e i wiki, “che oggi ci sembrano lontani ma con i quali l’azienda si troverà a doversi confrontare”. E, quindi, “come arrivare ad un livello di sicurezza che sia abbastanza flessibile da non rappresentare un ostacolo alla socializzazione e allo scambio di conoscenza, senza per questo mettere le organizzazioni a rischio?”, chiede Uberti Foppa.
A questo riguardo Simonetta Maina ha ricordato come sia stato necessario per l’It “passare da un approccio alquanto rigido ad uno più aperto all’ascolto delle richieste degli utenti riguardo le tecnologie disponibili. Si tratta di essere consapevoli dei nuovi rischi e di valutare il rischio accettabile, mantenendo comunque il controllo della situazione”.
Per Oscar Pirazzo (nella foto in basso a destra), incaricato operation It di Climaveneta (www.climaveneta.it), premesso
che “la sicurezza non deve mai ostacolare il business”, “è un fatto che certe tecnologie fruibili via web (come G-Mail) o il cattivo uso di altre (come Skype, usato più per chiacchierare che per risparmiare) è oggettivamente rischioso, ma è anche un discorso di cultura, e a questo proposito va detto che la legge sulla privacy ha contribuito a far capire cosa si poteva e non poteva fare. Se aumenta la consapevolezza del rischio da parte dell’utente posso porre in atto soluzioni meno rigide, quindi anche limitare gli investimenti”.
Anche Esteban Remecz (nella foto in basso a sinistra), It manager del Gruppo ZF Marine (www.zf-marine.com),
concorda sul potenziale di rischio insito nell’uso aziendale di tecnologie nate per il mondo consumer, soprattutto in quanto, osserva: “vengono spesso usate in modo che definirei “creativo” da utenti che vedono le norme di sicurezza come una costrizione da aggirare se possibile”.
È quindi, ancora una volta, una questione di educatori e maturità dell’utente nei confronti della sicurezza ad essere il vero fattore discriminante.
