La gestione del rischio It

Gli obblighi imposti dalla legge ad alcune tipologie di aziende spingono verso l’ottimizzazione delle risorse It, con software ad hoc, procedure standardizzate e “buone abitudini”

La legge sulla Privacy (196/2003) ha tolto il sonno a molti Cio. L'identificazione di un responsabile legale, al quale è demandata la gestione in sicurezza (e per fini specifici) di qualsiasi dato personale che transiti sul sistema informativo aziendale non è cosa da poco. Soprattutto alla luce del dilagare di fenomeni quali il phishing o il pharming, che creano danni enormi all'immagine delle aziende che li subiscono. In Italia, la spinta verso un presidio più stretto dei processi di business critici è propria di alcuni settori, tipicamente le banche, ma anche di tutte le realtà quotate in Borsa e di quelle che, operando in settori particolarmente “sensibili” quali la filiera agroalimentare, hanno visto negli ultimi anni crescere (e non di poco) i vincoli in materia di tracciabilità dei processi e certificazione dei dati. Questo panorama complesso ha un forte impatto sui responsabili It, chiamati a garantire che, ad esempio, i dati che transitano sul sistema informativo dell'azienda siano protetti da intrusioni o utilizzi indebiti. Proprio per ridurre al minimo gli incidenti, ma anche per cercare di ottimizzare tutti i processi informativi in azienda, molte realtà si stanno dotando di soluzioni di gestione dell'infrastruttura informatica. La spinta, nella maggior parte dei casi, viene dagli obblighi di legge anche se, a sentire chi le ha implementate, queste soluzioni garantiscono benefici ben superiori a quelli sperati.


Le risposte tecnologiche


Gli investimenti fatti per cercare di ottenere in poco tempo la documentazione di supporto per i bilanci certificati, i processi di garanzia della qualità totale o quelli di tracciamento dei processi di filiera sono, spesso, il volano di un miglior sfruttamento dell'infrastruttura It, con risparmi anche piuttosto consistenti se si riesce a saturare al meglio la capacità dell'hardware già installato o a ridurre il tempo speso in procedure meccaniche e routinarie. Diverse le tecnologie disponibili, alcune specificamente pensate per la “prioritizzazione dei rischi” (la definizione è di Gartner), come quelle di Archer Technologies e di SkyBox, che stanno guadagnando consensi Oltreoceano. In pratica, questi strumenti forniscono una rappresentazione grafica (sotto forma di diagrammi) delle vulnerabilità dell'azienda, mettendo in luce il divario tra la situazione attuale e quella desiderata. Lo fanno analizzando le configurazioni della rete, comparandole con la disposizione degli asset It e con le informazioni in merito ai potenziali pericoli, per identificare le aree suscettibili di probabili attacchi. Questo consentirà, ad esempio, di valutare l'opportunità di dotarsi di un sistema di prevenzione delle intrusioni, ma anche la sua giusta collocazione ed, eventualmente, l'aggiornamento degli apparati di sicurezza già utilizzati. A queste soluzioni si sommano quelle dei più noti vendor dell'It, nelle quali il presidio della sicurezza è incluso all'interno di una visione sistemica dell'It management. Ca Unicenter, ad esempio, utilizza i suoi agenti intelligenti per stabilire le correlazioni esistenti tra i diversi eventi che accadono nell'ambiente informatico di un'organizzazione e li analizza, valutando l'impatto che potrebbero avere sulle principali attività d'impresa. Bmc Software, col suo Bsm (Business Service Management, eredità di Remedy), ha strutturato la gestione dell'It alla stregua di un servizio sulla scorta di tre dimensioni, ovvero le best practice applicabili ai processi It, le tecnologie di gestione automatizzata dell'informatica e, su tutto, una filosofia di management che prevede una vista unica e condivisa di come i servizi It sono in grado di supportare le priorità dell'impresa. Anche Ibm, con la suite Tivoli, ha adottato la filosofia della gestione dell'It come utility. La soluzione permette di creare un livello intermedio tra l'infrastruttura informativa e i processi aziendali, in modo da gestire le risorse informatiche in modo più efficiente, riducendo i costi grazie all'applicazione di una serie di metodologie e modelli già ampiamente sperimentati, come ITIL o altri (si veda box).


La soluzione, come quelle degli altri vendor, permette di mappare tutte le applicazioni e l'infrastruttura che le supporta, incluse le loro interazioni, configurazioni e tutto lo storico relativo al change management. Le tecnologie, quindi, ci sono e sono all'avanguardia, quello che manca è, spesso, la consapevolezza dell'urgenza di questi interventi che devono, ovviamente, essere organici. Questo significa che devono essere inseriti all'interno di un processo che preveda il coinvolgimento attivo di tutti i dipendenti dell'azienda e l'adozione di metodologie appropriate.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome