Azienda sicura? Sì, ma non troppo!

Se anche un “guardiano” dell’ortodossia dell’IT aziendale come Gartner afferma, in un suo studio pubblicato lo scorso luglio, che “Per capire come le tecnologie di collaborazione e comunicazione stanno maturando e per deciderne o meno l’adozione in azienda, tenete in considerazione (Cio) anche la loro forte crescita nella sfera sociale”, allora vuol proprio dire che stiamo entrando in una nuova fase della rivoluzione informatica.
Pubblichiamo in questo numero e su questo tema, una lunga e interessantissima intervista a Regina Casonato, country leader di Gartner in Italia e VP Gartner per la Ricerca, sulla tematica dell’evoluzione del posto di lavoro (workplace). Quest’ultimo, proprio grazie all’utilizzo di nuove tecnologie collaborative, sta diventando, da un lato, altamente performante e ricco di opportunità e informazioni ma, dall’altro, anche estremamente pericoloso perché, nell’utilizzo di questi nuovi strumenti, è meno facilmente assoggettabile a policy organizzative e tecnologiche aziendali. Inoltre è fortemente esposto, in questa sua necessaria apertura alla relazione e al confronto interno ed esterno all’impresa, ad una serie di rischi sul piano della vulnerabilità e quindi rappresenta una potenziale minaccia alla sicurezza dell’intero sistema informativo.
Perché si determina questo fenomeno? Perché l’impresa, nella ricerca continua dello sviluppo del business, sta spostando il focus della propria organizzazione da un lavoro tradizionalmente strutturato (in tempi e luoghi ben definiti) alla messa a punto di nuove modalità operative che favoriscano la relazione e il confronto con i potenziali clienti, sperando poi che da questo contatto si generino idee da tradurre in prodotti e servizi innovativi da proporre al mercato.
A risposta e supporto (ma spesso anche come traino) di questa esigenza delle imprese vi è stata negli ultimi anni una rapidissima maturazione nelle tecnologie di relazione: a partire da un uso estremo e diffusissimo dell’e-mail, fino alle attuali tecnologie Wiki (siti internet che consentono di aggiungere contenuti, come in un forum, ma anche di modificare i contenuti esistenti inseriti da altri utilizzatori), Web conferencing, blog (circa 22 milioni attivi, ne nascono centinaia di migliaia al giorno), soluzioni di instant messaging, ecc.. Aggiungete a questi “ingredienti” il percorso incredibile effettuato in pochi anni dall’hardware mobile (cellulari, palmari, portatili, periferiche digitali di vario tipo, ecc) e dovreste immaginarvi la “potenzialità informativa” che ogni singolo individuo (nel sociale prima e nel professionale poi) ha oggi a disposizione.
Come deve allora rapportarsi a questo fenomeno chi ha, in azienda, la responsabilità dei sistemi informativi? Sicuramente non sottovalutando, o peggio ignorando, questa ”marea montante” (anche Gartner sollecita i Cio a farlo). Se si continuano a tenere come unici riferimenti di governance tecnologica solo i sistemi e gli applicativi consolidati si rischia di non far parte di una fase evolutiva che può creare potenzialità professionali individuali e occasioni di business per l’impresa. E soprattutto si rischia di non cogliere la dimensione del problema.
L’aspetto più eclatante di questa sottovalutazione, che invece esiste, lo si ha quando parliamo di sicurezza. Che senso ha parlare solo di una sicurezza “reattiva” non prendendo in considerazione aspetti di sicurezza “proattiva”, finalizzata cioè a contribuire alla generazione di fatturato aziendale? Sicurezza vuol anche dire rendere disponibili alle diverse tipologie di utenti aziendali strumenti di intelligence individuali adeguati nonché informazioni profilate e correttamente disponibili. Una security, quindi, che guardi non solo a proteggersi “a riccio” nei confronti dell’esterno, ma dia risposte alle necessità di apertura dell’azienda per mettere a punto sistemi di sicurezza conseguenti, non invasivi sull’attività degli utenti, ma che anzi ne facilitino il lavoro e la relazione.
Abbiamo avuto l’occasione, proprio pochi giorni fa grazie a Selesta, di presiedere un esclusivo meeting in tema di security con alcuni executive di importanti imprese e banche italiane. Il quadro emerso è di una spiccata sensibilità al problema, di una volontà di attribuire alla security una dimensione strategica per lo sviluppo del business ma anche di una forte difficoltà nel riuscire a progettare la sicurezza prima o almeno contestualmente allo sviluppo dei progetti e non pensare alla business continuity solo in un’ottica “di recupero”. La necessità che hanno le imprese di occuparsi soprattutto dell’impermeabilità dei sistemi e della loro gestione quotidiana, spesso limita la possibilità di attuare una strategia attiva della sicurezza, che contribuisca anche alla generazione di fatturato.
Con questo ordine di problemi e con un mondo così aperto, comunicativo e relazionale che abbiamo prima descritto, volete che la vostra azienda possa diventare del tutto sicura? Ma non pensateci nemmeno! Va definito piuttosto un accettabile livello di rischio che deve essere controbilanciato dalle opportunità che si determinano dall’apertura dell’azienda verso partner, clienti, dipendenti, così come i nuovi strumenti oggi consentono. Se avrete culturalmente declinato la sicurezza in questa prospettiva allora potrete dedicarvi anche al livello base, peraltro indispensabile, di anti intrusione, rispetto di compliance, operatività continua di sistema. Per finire, questa volta, un suggerimento di ZeroUno (non di Gartner): guardate a come dialogano via Internet i vostri figli, guardate i software che usano. Quelli sono i consumatori e i dipendenti della vostra azienda, a partire da domani mattina. Sappiate dare loro risposte e strumenti adeguati.