Cambiare l’approccio dei dipendenti e dell’azienda in senso più organizzativo è l’unico modo per proteggere maggiormente le informazioni
La continuità operativa delle aziende, si sa, passa per la sicurezza che non può essere considerata un semplice problema tecnico, bensì deve essere vista prevalentemente come una questione organizzativa, un insieme di processi a protezione del principale asset aziendale: il dato. Vero è che, come detto da Erminio Seveso 1, Cio di Bticino, in un recente convegno organizzato da Soiel, «la cultura sul tema è aumentata e ciò comporta una maggiore propensione all’investimento, anche da parte di figure come i Cfo». Secondo il manager della società, che fa parte del Gruppo Legrand (quotato in Borsa a Parigi) e negli ultimi due anni si è concentrata sugli adeguamenti alla Sarbanes Oxley, un «buono “sponsor” per sensibilizzare l’azienda sulla sicurezza è la divisione ricerca e sviluppo, che rappresenta un referente privilegiato per l’It manager». Un parere condiviso da Lorenzo Anzola 2, Cio di Mapei, multinazionale italiana che ha particolarmente a cuore l’R&D «che va protetta, al pari dei dati». Ed è proprio la possibilità di utilizzare dati comuni in tutti i 48 stabilimenti sparsi per il mondo che rende la sicurezza un tema importante per Mapei. «Il buget, che purtroppo non è mai sufficiente, va utilizzato al meglio per garantire la business continuity». R&D determinante anche per Plantronics, che, da buona azienda di matrice americana, è pervasa in tutti i suoi aspetti dalla sicurezza «pur mantenendo l’apertura e l’accessibilità ai dati», ha testimoniato Giovanni Franzini 3, amministratore delegato dell’azienda in Italia.
Ma, purtroppo, la cultura della sicurezza nel nostro paese non può dirsi diffusa come Oltreoceano. Una questione che Renzo Passera 4, assistente del direttore generale di Italcementi, con una lunga carriera di Cio alle spalle, affronta mettendo l’accento sul fatto che «bisogna rendere la sicurezza pervasiva, valutata nella misura in cui si accetta di correre un rischio. Non va considerata un progetto tecnologico, ma di business». Innalzare il livello medio di difesa, dunque, e «parlarne in termini organizzativi – ha puntualizzato Paolo Giuiuzza 5, direttore generale di Certiquality – perché la tecnologia è fondamentale ma è solo un elemento se chi la utilizza non è conscio dei rischi intrinseci al suo comportamento. Tutela e riservatezza dei dati e continuità del business sono aspetti che devono riguardare tutti. Ovviamente, non si può spendere all’infinito, ma allo stesso tempo bisogna investire il giusto per garantire con ragionevole certezza la sicurezza». Nella società di certificazione, che per la sicurezza It si affida a un outsourcer, sono effettuate attività di audit anche per l’It e un annuale controllo primaverile da parte della direzione per valutare a posteriori quanto si sta realizzando rispetto alle previsioni. Di audit ha parlato anche Giovanni Cesari 6, responsabile delle infrastrutture It di Banca Popolare di Milano, comparto in cui la sicurezza logica ha un ruolo rilevante. Bpm, in particolare, nel 2006 si è dotata di un piano specifico, integrato in uno più generale di business continuity guidato dalle varie strutture organizzative, con le quali l’It ha saputo creare una forte integrazione. La stessa che per Cesari deve esserci tra temi normativi, di business e di sicurezza. Per il manager, poi, molto conta il fattore umano e, in Bpm, che adotta soluzioni tecnologiche per la protezione dei posti di lavoro e periodicamente effettua operazioni di pulizia nelle funzioni di salvataggio, sono ben indicate le responsabilità individuali dei dipendenti.
Progetti specifici in ambito sicurezza sono in corso anche in Atm e in Finmeccanica. «Posto che ormai i mezzi di trasporto sono dei veri e propri sistemi informativi viaggianti – ha illustrato Claudio Cassarino 7, Cio della società per il trasporto pubblico milanese -, riteniamo che l’analisi dei rischi sia molto importante, al punto che stiamo creando un team dedicato al risk assessment, ma non solo, per capire dagli utenti la loro effettiva percezione della sicurezza». Sicurezza come fatto strategico anche per Finmeccanica che la sta implementando orizzontalmente nelle diverse società della holding, indipendentemente da quanto ogni singola azienda ha operato. Anche Claudio Chierici 8, deputy Chief technology officer del gruppo, comunque, ha sottolineato come le regole siano importanti per aumentare il livello della sicurezza ma che, se non si verifica un cambiamento culturale complessivo, i risultati continueranno a essere minati.
