sicurezza

Come e perché la trasformazione digitale impone una nuova cultura aziendale di sicurezza by luca nogara

Per Gartner entro 3 anni il 95% degli attacchi sarà colpa dei comportamenti sbagliati degli utenti. Il costo? Nel caso del furto di dati sensibili, la sanzione amministrativa oggi va da 10mila a 120mila euro. Bissel (Accenture): occorre un approccio specifico per ogni settore che tuteli l’intera catena del valore. Bechelli (Clusit): il digitale impone una comprensione più ampia dei vantaggi, ma anche dei rischi del cyberspazio

 

fonte:  digital4.biz  . l'articolo originale  qui

fonte: digital4.biz . l'articolo originale qui

 

La trasformazione digitale offre un livello di comunicazione e di interazione che non ha precedenti nella storia. Il fenomeno dell'omnicanalità riguarda le 6C di un'utenza globale: Colleghi, Collaboratori, Competitor, Clienti, Cittadini e Consumatori... Gran parte della popolazione oggi è connessa: smartphone-dotata, ma anche tablet-dotata e pc-dotata. La consumerizzazione dell'IT ha portato i dipendenti a utilizzare con disinvoltura schermi touchscreen e menu di navigazione. Crescono le installazioni interattive: totem, chioschi, tavoli, specchi, pareti portano a bordo una nuova intelligenza applicativa. Tutto questo senza corsi di formazione aziendale perché a vincere è un passaparola bimodale (off line e online). 

L'abitudine a utilizzare Internet in tutte le sue forme ha inaugurato l'economia delle App, favorendo anche una più immediata comprensione dei vantaggi associati al cloud. Con tutte le conseguenze annesse e connesse.

Secondo Gartner da qui al 2020 il 95% degli attacchi alla sicurezza sarà colpa dei comportamenti sbagliati degli utenti (Fonte: Gartner Top Prediction for IT Organizations and Users for 2016 and Beyond). Gli analisti puntano l'attenzione sull'ingenuità delle persone che, deviate dai vantaggi e dalla semplicità delle tecnologie, non si rendono conto dei rischi e nemmeno conoscono le regole base della sicurezza rispetto alla gestione delle identità e degli accessi. Dal furti di dati alla paralisi dell'attività, lo scotto da pagare è ormai noto e dovrebbe far riflettere l'intero board aziendale.

Prendiamo il caso di un’organizzazione che in Italia subisca un attacco informatico da parte di alcuni hacker che riescono ad accedere ai dati sensibili e a diffonderli via web. Al momento, se gli interessati fanno ricorso al Garante della Privacy e si scopre che il titolare del trattamento (l’azienda) non aveva adottato le misure minime di sicurezza per la protezione dei dati, prescritte all’art. 33 del Codice della Privacy (CDP), la sanzione amministrativa va da un minimo di 10.000 euro a un massimo di 120.000 euro, comminati dal Garante e senza passare dall’autorità giudiziaria, ex art. 162 c. 2-bis CDP. In sede di giudizio penale la sanzione va a sommarsi  all'Ex art. 169 CDP per cui è previsto l’arresto fino a 2 anni (a questo link, la tabella di dettaglio)

Ma le aziende sanno quanto costa il cybercrime?

Quanto costa il cybercrime alle aziende? Gli analisti parlano di 11,7 milioni di dollari per azienda, con un aumento del 23% rispetto ai 9,5 milioni di dollari registrati nel 2016 e del 62% nell’ultimo quinquennio (Fonte: “Cost of Cyber Crime Study” - Accenture e Ponemon Institute, Settembre 2017). In media un’azienda subisce 130 violazioni all’anno (+ 27,4% rispetto al 2016) che si traducono in infiltrazioni nella rete o nei sistemi aziendali.

È necessario che le organizzazioni adottino una strategia di sicurezza dinamica e agile - afferma Kelly Bissell, Managing Director di Accenture Security -, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro. Occorre inoltre un approccio che sia specifico per ciascun settore e che tuteli l’intera catena del valore dell’azienda. Le conseguenze del cybercrime che le aziende subiscono a causa dei crimini informatici sono sempre più costose e devastanti, sottolineando l’importanza crescente di una pianificazione strategica e di un monitoraggio costante degli investimenti in sicurezza”.

Riportata ai suoi fondamentali, la questione è semplice: la gestione della sicurezza associata alla trasformazione digitale oggi non può essere più scaricata solo sui CIO o sui CISO che, facendo conto dei budget messi a loro disposizione, fanno miracoli per garantire la business continuity, la tutela dei dati e la protezione delle risorse aziendali.

Serve una consapevolezza più ampia e funzionale di cosa significhi risk management nell'era della trasformazione digitale, della Web Economy, delle aziende liquide e di tutti quegli orizzonti di servizio in continuo divenire che portano più fatturato ma anche più margini di rischio. È ora di lavorare a livello utente, offrendo un po' più di cultura ma anche soluzioni più puntuali in caso di perdite di dati e di fermi informatici. Serve maggiore consapevolezza a tutti i livelli dell'organizzazione.

Quando il cloud è l'abilitatore della trasformazione digitale

La questione è che non c'è trasformazione digitale senza una governance delle infrastrutture e dei servizi. L'uso del cloud, ad esempio, cresce perché economicamente più comodo, ma quasi 7 aziende su 10 nutrono ancora molte riserve. Secondo l'Osservatorio Cloud e ICT as A Service del Politecnico di Milano il 67% delle imprese indica come principale fattore di inibizione la sicurezza e la privacy.

Eppure la sicurezza viene ancora considerata una componente addizionale perché le aziende seguono ancora un approccio banalmente costruttivo: prima creo l'infrastruttura e dopo penso alla sicurezza. Questa protezione non nativa, però, ha un impatto notevole sulle aziende.

"L’Italia è uno dei Paesi in cui c’è una percentuale di adozione del cloud tra le più alte in Europa (siamo i secondi tra tutti i Paesi) - spiega Luca Bechelli, Membro del Comitato Tecnico Scientifico, CLUSIT e consulente indipendente per la sicurezza informatica -. Eppure, rispetto al cloud, ci sono ancora molti limiti a livello di vision. Le aziende che ricorrono a servizi cloud, spesso non lo fanno nel modo corretto. A questo si aggiunge il problema dello shadow IT. Quante volte i nostri colleghi, in buona fede, si portano il lavoro a casa inviando una mail d’ufficio sul proprio account privato o caricandosi su un servizio di file sharing il lavoro (magari perché non gli abbiamo fornito un’alternativa aziendale valida per fare questo mestiere)? Da qui le preoccupazioni principali delle aziende: da recenti studi è emerso che il 64% delle aziende sono preoccupate di non sapere dove sono dati importanti, perché hanno perso di vista il modo in cui le informazioni viaggiano. Insomma, lo scenario effettivamente caratterizzato da molti problemi e da un approccio disfunzionale. La questione è che l’attaccante può essere qualcuno che sta a centinaia di km da noi, ma la maggior parte degli attacchi oggi si determina perché l’utente fa click". 

 

Spostare la complessità non significa dimenticare la sicurezza

Vero è che il cloud rende talmente efficiente e facile agli utenti l’uso dei sistemi da fornire la percezione di una riduzione delle complessità e questo si traduce troppo spesso in un'adozione di pratiche povere dal punto di vista della sicurezza. Bisogna invece ricordare che la complessità c’è ancora: è solo stata spostata e l'azienda deve comunque preoccuparsi di gestire la sua parte. 

"Dall’altra parte vediamo che sono importanti le quote di altre tipologie di cloud - ribadisce Bechelli - quindi Software as a Service (SaaS) e Platform as a Service (PaaS), con modalità di servizi centrali per il funzionamento dell’azienda: CRM, ERP, amministrazione, la stessa software automation delle mail che spesso viene sottovalutata e dove si trovano i dati più critici dell’azienda perché per quanto noi pensiamo di metterli all’interno di repository protetti, poi li facciamo comunque circolare nelle varie versioni. Il tema degli endpoint che accedono al cloud non è più solo il pc, ma una serie di dispositivi fissi e mobili che vanno protetti e tutelati perché la sicurezza che potremmo denominare Agile, ancora non esiste. I dati Clusit sulla crescita del cybercrime si commentano da soli".

 

Come evidenzia Bechelli, anche le aziende che non sono in cloud sono ormai di fronte a un bivio: se sono in cloud i suoi partner, ad esempio, un'organizzazione che credeva di non essere in cloud può scoprire di esserlo.

"Dobbiamo capire oggi che la nostra azienda è cambiata - conclude l'esperto -: non ha neanche più senso parlare di azienda mobile, che lo è già per definizione dal momento che i nostri dipendenti hanno un cellulare e, trovando aperta la porta del server di mail, cominciano a scaricare la posta sul proprio device. A quel punto siamo già mobili e dobbiamo pensare in mobilità. La trasformazione digitale è un'evoluzione delle esigenze dei colleghi che vogliono essere mobili, agili e che interagiscono in molti modi con il resto del mondo: non solo dal pc blindato tradizionale, ma anche con altri media che possono essere vulnerabili ad attacchi e possono mettere in crisi l’operatività".

 

Insomma, aggiornare gli antivirus non è più sufficiente. Il board aziendale deve imparare a guardare l'azienda in modo molto diverso, andando ben oltre il tema del GDPR. La normativa che entrerà in vigore a maggio del 2018 ha il merito di aver l'attenzione sul tema della protezione dei dati offrendo l'opportunità di rivedere posizioni e policy, ma non risolve certo la totalità della governance. CFO, CEO, COO... tutti gli executive devono imparare a vivere la trasformazione digitale con una visione della sicurezza non solo più responsabile ma anche più lungimirante.

Data center in Italia? L'83% è in house, ma risorse e infrastrutture non sono più adeguate al business by luca nogara

Data center aziendali indispensabili ma anche concettualmente obsoleti. Lo staff IT occupa più tempo a gestire i contratti con i fornitori che a occuparsi dello sviluppo e della programmazione. Il cloud piace e interessa, ma c'è ancora molta paura per la business continuity. Tutti i numeri in una survey firmata NetworkDigital360

fonte: digital4.biz - puoi leggere l'articolo originale qui

Data center in Italia come cardine del business ma anche come asset sempre più critico. I dati parlano chiaro: a fronte di nuovi modelli tecnologici incentrati sul cloud e sulle logiche dell'As a Service e del Pay Per use, 8 aziende su 10 (83%) nel nostro Paese hanno ancora un data center in house, l'85% delle imprese ha bisogno di far evolvere l'infrastruttura IT in una chiave di maggiore razionalizzazione e agilità, quasi 7 aziende su dieci (69%) hanno uno staff sottodimensionato rispetto alle esigenze e ai compiti associati alla governance. 

lI vero problema dei data center in Italia, infatti, sono infrastrutture aziendali che non hanno seguito un modello di sviluppo programmato e oggi sono il risultato di una crescita molto più addizionale che strategica. Questo è il motivo per cui tutte le aziende confermano di avere necessità di cambiare, in un'ottica di forte rinnovamento delle macchine ma anche delle modalità di gestione dei servizi.

A rivelarlo una survey condotta da NetworkDigital360, in collaborazione con Dimension Data, su un campione di 280 aziende italiane di medie dimensioni (superiori a 250 dipendenti), operanti in vari settori industriali dal manufacturing (65%) al finance (10%), dal retail  (20%) al chimico-farmaceutico (4%).

Data center in Italia: voglia di evoluzione per quasi 9 aziende su 10

Gli analisti hanno sottolineato come per quasi nove aziende su 10 (85%) il motivo principale che sta spingendo la direzione a revisionare le infrastrutture ICT esistenti sia la volontà di razionalizzare un installato eterogeneo, costituito da sistemi legacy e nuove soluzioni che progressivamente sono entrate in azienda per rispondere rapidamente alla domanda delle diverse LOB che richiedono maggiore agilità e una velocità di servizio crescente. Il resto delle risposte fotografa segnali di evoluzione e di cambiamento in relazione allo sviluppo del business. La reingegnerizzazione dei data center italiani, infatti, è funzionale alla crescita dell'organizzazione interna (22%), ad acquisizioni/merge e dismissioni di rami d'impresa (15%), all'apertura di nuove filiali (12%), all'apertura di nuove business unit (10%) e all'internazionalizzazione legata a delocalizzazione o apertura di sedi estere (6%). Solo l'11% delle imprese dichiara di aver bisogno di rinovare le proprie infrastrutture per adeguarle alla compliance normativa.

 

Per più di 8 aziende su 10 il data center non è un servizio ma una proprietà

La volontà di sviluppare i servizi richiesti nel più rapido tempo possibile per garantire il time to market aziendale oggi spinge le imprese a rivedere la propria regia informatica. L’obbiettivo? Presidiare la governance integrando applicazioni e sistemi secondo criteri di centralizzazione e omogeneizzazione più efficaci e con economie più lungimiranti e sostenibili. La ricerca ha messo in luce ulteriori aspetti che aiutano a capire quali sono i limiti di un approccio più evoluto: l’83% delle imprese italiane considera ancora il data center come un bene, ovvero un asset rigorosamente proprietario. Meno di 1 azienda su 10 (8%) ha terziarizzato la complessità del data center affidandola a un provider specializzato e meno di 1 azienda su 10 (9%)  ha spostato il proprio approccio da un concetto di possesso a un concetto di puro servizio affidando a un cloud provider la gestione in toto delle proprie infrastrutture ICT. 

 

Grande interesse per il cloud

Alla domanda “Valutando la possibilità di una migrazione delle vostre infrastrutture in cloud, quali delle seguenti opzioni terreste più in considerazione?” gli analisti hanno registrato come il 35% delle aziende sia più propensa a scegliere un modello ibrido, il 33% un modello di cloud privato e il 20% un modello di cloud pubblico. 8 aziende su 10 scelgono la virtualizzazione mentre solo due aziende su 10 affermano di non essere minimamente interessate a spostare sulla nuvola le proprie infrastrutture, mentre un’azienda su dieci confessa di non aver ancora preso posizione. In realtà l'indagine evidenzia come ci siano ancora moltissimi freni rispetto all'uso più intensivo e strategico della nuvola. 

 

L’orientamento delle risposte suggerisce che le imprese italiane nutrono ancora diverse riserve nell’affidare la gestione delle proprie infrastrutture completamente all’esterno del tradizionale aziendale. Le risposte, in vario modo, sono quasi tutte legate al timore di interrompere la business continuity. Al primo posto delle criticità per quasi 6 aziende su 10 c’è la paura di intaccare la sicurezza aziendale (59%) seguita, praticamente a pari merito (58%), dalla scarsa fiducia rispetto alle garanzie di una connettività tale da garantire la business continuity erogata in cloud. La terza criticità, in ordine di spiegazione, è comunque correlata allo stesso tema: il timore di un’interruzione rispetto alla continuità operativa, indicata da quasi 5 aziende su 10 (49%). Per il 36% delle imprese la migrazione sulla nuvola delle proprie infrastrutture è frenata da problemi associati alla compliance, a pari merito con motivazioni legate alla paura di vedere aumentare i costi dell’As a Service. Per due aziende su 10 (20%), invece, il cloud è inaccessibile perché le infrastrutture sono troppo obsolete per consentire una gestione on demand.

Staff IT sempre più ...staffati. La risposta è nell'outsourcing

Al di là delle criticità legate alla gestione di server, storage e infrastrutture di rete fisiche e virtuali la survey ha messo in luce una grossa una grossa crisi interna allo staff ICT: quasi 7 aziende su dieci (69%) dichiara di essere sottodimensionato ma il 31% ha ovviato al problema grazie a risorse in outosurcing. La governance è ripartita tra chi si occupa di demand management (73%) che raccoglie informazioni dal business e le traduce in requisiti IT, una parte del personale (70%) che a causa della sempre più rapida obsoloscenza tecnologica dell’hardware e del software si occupa di gestire contratti diversificati con una molteplicità di fornitori per upgrade ed evolutive, personale prettamente tecnico e dedito allo sviluppo e alla programmazione (67%). A fronte di un 45% di aziende che non pensa di intervenire su un potenziamento dello staff IT, più di 3 aziende su 10 (33%) afferma che ricorrerà all'outsourcing mentre 1 azienda su 10 sta formando il proprio personale e 1 azienda su 10 provvederà al gap attraverso nuove assunzioni.

 

 

Governance delle infrastrutture nell'era omnicanale e gestione del rischio by luca nogara

Nella gestione delle prestazioni di rete dirigere l'orchestra tecnologica costituita da una molteplicità di prodotti fissi e mobili e una gamma infinita di applicazioni sembra diventata una missione impossibile. Secondo Accenture, il 70% delle aziende conferma come la cybersecurity impatti sulla governance imponendo nuovi modelli di gestione. Quali i trend e quali linee guida seguire?

fonte: digital4.biz - trovi l'articolo originale qui

Governance delle infrastrutture nell'era omnicanale significa saper lavorare sulle architetture di rete con una visione estremamente allargata e dinamica rispetto alle soluzioni da innestare e presidiare. Garantire la massima continuità operativa rimane un fondamentale. Come riuscirci è tutto un altro discorso.

Il tema è duplice. Da un lato bisogna continuare a gestire i processi, interpretando i protocolli associati a una molteplicità di livelli per agganciare e far funzionare soluzioni, aprendo nuovi canali di comunicazione finalizzati ad abilitare tutti i nuovi servizi richiesti dalle LoB che, ormai, hanno capito che non c'è business senza una strategia omnicanale. Dall'altro bisogna continuare a garantire la business continuity che, con l'evolversi delle tecnologie di ultima generazione, ormai tende a rientrare in quel macrocapitolo chiamato Cybersecurity. Secondo una ricerca condotta da Accenture, ad esempio, 7 aziende su 10 confermano come la cybersecurity impatti sulla governance imponendo nuovi modelli di gestione.

Il problema è collettivo: gli analisti hanno infatti evidenziato come, nel mondo, le organizzazioni nel 2015 abbiano  speso 84 miliardi di dollari sulla sicurezza e da qui ai prossimi quattro anni la cifra lieviterà a quota 125 miliardi. Sono un sacco di soldi, è vero, ma i costi che le aziende dovranno sostenere entro il 2030 in seguito ai cyberattacchi  sono stimati da Accenture nell'ordine dei 90 miliardi di dollari.

Governance delle infrastrutture nell'era omnicanale, distribuita anzi troppo distribuita

Che si tratti di abilitare un nuovo server, avviare un servizio di streaming, includere tra gli accessi alla rete i dispositivi mobili non solo dei dipendenti ma anche degli ospiti o implementare qualsiasi altro touch point che la Internet of Things ha reso più smart (dal sistema di videoconferenza all'e-board, dal chiosco interattivo in reception al tavolo intelligente in show-room), la governance deve cosiderare sempre e comunque che la connettività alla rete porta con se nuovi margini di rischio che vanno analizzati, capiti, prioritizzati e gestiti.

Dall'azienda estesa all'azienda distribuita tra le decine di utenti che lavorano da cellulare, da tablet, da pc portatile ma anche da tutta una serie di dispositivi associati a una Collaboration supportata da tutte le derive tecnologiche della Unifiend Communication significa prevedere una quantità di software di riferimento inenarrabile. Il tutto considerando come il cloud abbia cambiato ulteriormente gli equilibri, spostando una parte delle infrastrutture nell'etereo universo dell'As a Service.

Il problema, spesso, è che nelle aziende le figure di riferimento per gestire i servizi sono diverse. Il CIO è spesso un senior cablato nella gestione dei fornitori e del suo staff IT mentre il network manager, che conosce la rete come le sue tasche difficilmente si occupa di Security, dal momento che questa è stata associata anche alla gestione della proprietà dei dati, della proprietà intellettuale, della Privacy, della Compliance e di tutta un'altra serie di task che sono stati spostati su altre figure professionali. Il risultato è che ognuno fa il suo ma le architetture di rete continuano a crescere in maniera discontinua e pericolosa. Serve una centralizzazione delle attività e serve un sistema di supervisione condiviso tra i manager che aiuti l'azienda a capire in fretta cosa sta succedendo e perchè, al di là di tutti gli strumenti di controllo puntuali di cui è stata costellata l'infrastruttura.

 

Per gestire prodotti multipli e tutto il profluvio di applicazioni oggi le aziende inziano a utilizzare nuove piattaforme che, attraverso un unico cruscotto centralizzato, consentono di presidiare le reti e di rilasciare servizi in tempo reale. L'obbiettivo? Gestire le infrastrutture a 360 gradi. 

Ieri architetture di rete. Oggi ecosistemi estesi

«Le architetture dei data center - ha spiegato Stefano Mainetti, Responsabile Scientifico Osservatorio Cloud & ICT As a Service della School of Management del Politecnico di Milano - si stanno muovendo da soluzioni on-premise basate su server fisici (o blade server) in cui servivano skills specifici (tipicamente skills sistemistici) verso soluzioni più semplici da gestire in cui l’hardware sottostante è sempre più nascosto e gestito esternamente. Questo aumenta da un lato le performance e l’affidabilità delle infrastrutture (si pensi alle capacità di investimento che hanno i provider nei confronti dei loro data center) e dall’altro il livello di scalabilità (che non si poteva ottenere prima con le soluzioni on-premise basate su sistemi fisici). Il punto di arrivo è il software defined data center che, attraverso meccanismi di integrazione, può dare vita ad architetture ibride capaci di accedere dinamicamente a ulteriori risorse computazionali, come il cloud pubblico. Operativamente, si parla quindi di un modello architetturale basato sulla condivisione di risorse, che supera il concetto tradizionale di silos e si muove verso un data center programmabile come un software. Alle aziende, dunque, sono richieste nuove vision e una nuova governance». 

In ambito industriale, soprattutto, i mondi IT e OT convergeranno su una soluzione interclouding e la differenza la farà la flessibilità e interoperabilità di quanto disponibile, da cui la strategicità dei partner tecnologici con i quali si andrà a collaborare su tutti i livelli dei processi aziendali. Questo comporterà una revisione profonda a livello di organizzazione, ruoli e responsabilità rispetto alle figure IT e OT oggi presenti in azienda. 

Le indicazioni degli esperti? Abbandonare il concetto di architettura e sposare quello di ecosistema esteso, che cambia e cresce costantemente. Solo in questo modo le organizzazioni potranno essere in grado di adattarsi e riallinearsi per proteggere la propria continuità operativa avendo ben chiare le priorità aziendali secondo una nuova logica evolutiva.

Secondo Accenture, con un'economia digitale in rapida espansione, molte organizzazioni dovrebbero valutare più seriamente le falle che potrebbero crearsi nelle proprie infrastrutture di rete, soprattutto considerando come ormai la sicurezza sia partizionata tra più partner a cui è stata terziarizzata la complessità. 

Un suggerimento importante degli analisti alle aziende è di non dare più per assodato quanto si è costruito: ogni giorno arrivano nuove istanze e nuove tecnologie, nuove minacce e nuove soluzioni da analizzare, portare in azienda, interfacciare e integrare, controllare, aggiornare, proteggere, insomma gestire. La Governance 4.0 va rifondata su un concetto di massima trasparenza informatica, non su un addizione di strumenti diversi: è ora di razionalizzare e passare a piattaforme di controllo capaci di gestire in modalità convergente l'eterogeneità di sistemi e applicazioni in modo dinamico e cybersicuro.