Che le aziende sentano la necessità di essere ormai sempre più “aperte” ad un’interazione con i propri clienti, di integrarsi in una logica cooperativa con tutto l’ecosistema dei propri stakeholder e di attivare, in questa apertura, tutta una serie di strumenti organizzativi e tecnologici per sostenere nuove forme di collaborazione è un fatto affermato. Tuttavia sono numerosi gli strumenti che vanno adeguatamente governati e integrati nei processi e nelle architetture aziendali per dare vero impulso a questa strategia di collaborazione dell’azienda con il mercato: dai più tradizionali a quelli riconducibili alla new wave del Web 2.0. Non è però semplice rendere organico al sistema informativo aziendale ciò che nasce, perché abbia vera efficacia, come tecnologia collaborativa dall’utilizzo alquanto destrutturato. Il Web 2.0 si profila come una grande opportunità ma le esigenze di sicurezza aziendale non possono essere dimenticate. Per consentire uno sfruttamento efficace delle nuove tecnologie collaborative, oltre a meccanismi di revisione organizzativa e di integrazione architetturale serve infatti elevare il livello di applicabilità delle soluzioni di security, dando loro quella connotazione di elemento strategico di business che possa agevolare e non solo restringere, l’utilizzo delle tecnologie di collaboration.
ZeroUno ha deciso di affrontare la tematica interpellando tre esperti di sicurezza che rappresentano tre dei principali settori dell’imprenditoria italiana (industria, finanza e telecomunicazioni), con orizzonti sempre più internazionali: Guido Barbero, Chief Security Officer di Gruppo Fiat e Iveco, Paolo Campobasso, Chief Security Officer di Unicredit Group; Corradino Corradi, Ict Security Manager di Vodafone Italia.
ZeroUno: Stiamo vivendo una fase di passaggio da una serie di interventi specifici ma molto frammentati in tema di sicurezza (e questo sul fronte delle tecnologie, dei processi e dell’organizzazione) alla necessità di rendere più organico e facilmente gestibile questa tematica. Prima era solo un disegno a cui tendere, oggi è diventata una nuova fase caratterizzata da questa esigenza, soprattutto in un momento storico in cui le parole d’ordine sono “azienda aperta e collaborativa” e “web 2.0”. Qual è la sua visione in merito?
Barbero: Rendere “organizzata” la sicurezza non è un’esigenza attuale, a mio avviso, ma, almeno per le grandi realtà, un risultato già raggiunto. Il passaggio, è vero, è stato in alcuni casi lento e per molto tempo la sicurezza ha avuto il ruolo di “secondo piano” ma ritengo che per la maggior parte delle imprese che hanno raggiunto un certo ordine di grandezza e che, soprattutto, si sono aperte ai mercati internazionali, l’aspetto della security abbia ormai assunto la sua dovuta importanza. La logica della collaborazione e dell’apertura dei sistemi aziendali verso l’esterno ha sicuramente accelerato il percorso di maturazione della sicurezza e imposto una certa attenzione che deve provenire dai vari livelli aziendali. Attualmente ricopro sia un ruolo più strategico, come coordinatore della Ict Security per il Gruppo Fiat che uno più operativo per Iveco, ma in entrambi i casi posso testimoniare che la necessità di rendere organica e strutturata la sicurezza è un’esigenza globale anche in una realtà come la nostra: dove la logica dell’accessibilità del dato e della condivisione di informazioni non strutturate tipica del mondo 2.0, ha dato una spinta importante. La sfida, è quella di aprire l’azienda alle nuove tecnologie (blog, web, ecc.) mantenendo sotto controllo sicurezza e perfomance garantite oltre ovviamente ai costi.
Campobasso: Negli ultimi anni in UniCredit le parole d’ordine sono state: innovazione, crescita organica, sviluppo, tutti concetti che rappresentano un elemento di rottura con il passato anche recente dell’azienda e che hanno reso UniCredit uno dei gruppi bancari più dinamici a livello europeo. La security ha dovuto necessariamente cambiare approccio, a volte inseguendo le nuove direttrici su cui si è poi sviluppato il business aziendale, altre volte giocando d’anticipo rispetto ad altre strutture aziendali, per esempio attraverso l’adozione di strategie di lavoro comuni con gli uffici di security delle altre legal entities del nostro gruppo, italiane e non. Il risultato è l’adozione di una nuova strategia, che rappresenta una vera e propria bussola per la nostra struttura. Una strategia a 360° rivolta a tutti gli aspetti della sicurezza, che trova nel concetto di sicurezza integrata un elemento basilare, imprescindibile, il vero punto focale di tutta la nostra azione. Ciò si traduce quindi in interventi non più slegati tra di loro, non più assenza di comunicazione tra le strutture, ma una serie di attività strategiche ed operative che interagiscono le une con le altre, orientate verso l’obiettivo comune e che rappresentano un elemento di distinzione rispetto alle modalità con cui la sicurezza veniva gestita solo pochi anni fa.
Corradi: Il Web 2.0 ha modificato radicalmente il modo di comunicare delle persone e se all’inizio questa rivoluzione era più di carattere “consumer”, oggi è innegabile che le aziende abbiano dovuto “seguire l’onda” per non essere “tagliate fuori”. Vodafone in questo percorso ha giocato d’anticipo essendo una realtà a carattere internazionale e operando in un segmento come quello delle telecomunicazioni dove i rapidi e repentini cambiamenti sono una routine. Come azienda abbiamo esperienze di collaborazione molto importanti che vanno dalla possibilità di dialogare con gli utenti privati (VodafoneLab) a piattaforme di collaborazione tra clienti, fornitori e partner. In questa evoluzione il ruolo della sicurezza è stato fondamentale e oserei dire è stato l’elemento abilitatore di questo nuovo modello di business. Il nostro intervento come dipartimento di security è stato duplice: da un lato abbiamo supportato l’It per verificare la “sicurezza tecnica” (ossia che gli strumenti scelti fossero idonei); dall’altro, aspetto molto importante, abbiamo definito una strategia globale che ha inciso sulla definizione di nuovi processi, nuove regole, nuove modalità di interazione in una logica però di innovazione e abilitazione e non di freno.
ZeroUno: Per raggiungere quella visione integrata e olistica della security quali sono i percorsi da adottare, sul fronte delle scelte tecnologiche, ma ancor più sui modelli operativi e di processo?
Barbero: Nel nostro caso possiamo contare su una struttura organizzativa ben strutturata e integrata che opera attraverso vari gruppi e funzioni. A livello di Gruppo Fiat abbiamo una organizzazione centrale che si occupa di definire le strategie, i percorsi, i modelli da attuare per tutti i Settori aziendali. Naturalmente queste direttive devono poi essere calate nel contesto specifico e, laddove necessario, adeguate e “modellate” attraverso strumenti e processi “ad hoc”. Lo stesso vale dal punto di vista tecnologico. Esistono progetti che coinvolgono l’intero Gruppo e che quindi hanno una governance centralizzata per quanto riguarda pianificazione e organizzazione ma che possono poi richiedere revisioni e adattamenti in fase di implementazione. Ci sono poi progetti di natura prettamente tecnologica che nascono dalla richiesta specifica di una funzione o di un dipartimento ma che non è escluso che possano poi essere integrati in processi e progetti più ampi. Nella nostra realtà, quindi, pur avendo un’organizzazione centrale con ruolo organizzativo, strategico e di governance, capita di adottare percorsi nuovi che richiedono processi e strumenti specifici.
Campobasso: UniCredit ripone grande fiducia nella sicurezza e nel ruolo che essa può svolgere in supporto al business, attraverso l’adozione di una strategia integrata, ottenuta non come semplice somma delle sue singole parti bensì con il ricorso a interventi mirati alla loro unione organica e finalizzata al conseguimento degli obiettivi comuni. Si tratta di un processo complicato, che richiede una attenta valutazione delle attività da svolgere e delle risorse a disposizione e che, spesso, può provocare tensioni all’interno dell’azienda in quanto esso comporta la messa in discussione di concetti e principi dominanti. La security consolidation, in questo caso, rappresenta un passo obbligato per quanti si trovano a gestire una realtà industriale, in un periodo in cui particolare attenzione viene riservata al contenimento dei costi e alla ricerca della massima efficienza attraverso anche la standardizzazione dei processi. Nel processo di razionalizzazione e standardizzazione è ovvio che il mondo It si trova, rispetto ad altri settori, di parecchio più avanti; questo perché deve fornire risposte immediate a quelle che sono le esigenze di clienti diversi.
Corradi: Dal punto di vista tecnologico è innegabile che gli strumenti di cooperative working abbiano facilitato di molto l’interazione anche all’interno dell’azienda permettendoci di condividere dati e informazioni e, a certi livelli aziendali, anche obiettivi e strategie in modo più veloce ma anche più strutturato. Fortunatamente abbiamo già superato la fase di “pre-razionalizzazione” sia per quanto riguarda l’adozione degli strumenti sia la definizione di strategie. Il percorso non è certo stato semplice e, come si può immaginare, non è mai concluso. La struttura dedicata alla sicurezza, nel nostro caso, ha operato e continua ad operare a stretto contatto con il top management che ha una grande sensibilità e una buona cultura sugli aspetti di sicurezza. Il percorso di raggiungimento di una strategia integrata ci ha visti impegnati su più fronti e in stretta collaborazione con diverse linee di business (It, top management, Hr e dipartimento legale, marketing e produzione). I passi sono andati dalla definizione di una struttura organica con la ripartizione di compiti e responsabilità alla scelta degli strumenti più adatti a garantire la sicurezza (tutela della privacy, controllo di identità e accessi, Vpn e controlli perimetrali, ecc.). Hanno giocato e giocano un ruolo fondamentale le normative e gli standard internazionali ai quali facciamo riferimento (es. ISO 27001)
ZeroUno: Altro elemento di sfida importante è riuscire ad impostare una security pensata in una logica proattiva, di supporto al disegno strategico e di sviluppo dell’impresa (nella logica del “collaboration 2.0” che dovrebbe coinvolgere anche la security). Se tutto il movimento It sta inseguendo la logica dell’It come valore per il business, perché non si è ancora riusciti a fare questo con la security?
Barbero: Nel nostro caso la sicurezza da un ruolo prettamente “passivo”, dove la mia organizzazione era chiamata più che altro ad intervenire “su richiesta” sta iniziando ad operare anche in modo più “proattivo”. Negli ultimi anni le modalità di approccio e collaborazione con l’azienda e le diverse funzioni sono cambiate. In questo percorso di cambiamento hanno certo giocato un ruolo importante gli strumenti di collaboration e l’apertura dei sistemi aziendali a clienti, partner, collaboratori ma anche la cooperazione per il raggiungimento degli standard richiesti dalle normative di “compliance”… Oggi una buona parte del business ha chiaro il valore e l’apporto strategico della sicurezza, anche se questa cultura non è ancora diffusa in tutta l’azienda.
In conclusione vorrei aggiungere che l’investimento tecnologico oggi è diventato strutturale all’IT, il budget di sicurezza è una parte intrinseca della progettazione delle nuove infrastrutture.
Campobasso: Le strutture di security devono prestare particolare attenzione alle diverse necessità di business dell’azienda e assicurarsi che quanto svolto ai fini di garantire la sicurezza generale dell’azienda non sia in contrasto con quanto deciso dai vertici, nell’ottica dell’incremento del volume d’affari. La nuova security inoltre deve essere in grado di comprendere il ruolo fondamentale dei dipendenti nella diffusione di modelli di sicurezza adeguati. Tuttavia, non potendo le strutture di security avere un’influenza diretta e immediata sul modo di lavorare di ogni singolo dipendente, ecco che la comunicazione e il contatto diretto con le strutture competenti (Hr, consulenti esterni, ecc.) rivestono un ruolo fondamentale per avere “voce in capitolo” e creare security awareness.
Corradi: La sicurezza coinvolge diversi ambiti all’interno di un’azienda (sicurezza fisica, tecnologica, rischi di business, frodi, Compliance, ecc.) e richiede pertanto uno sforzo maggiore in termini di “penetrazione e accettazione”, soprattutto quando implica il rispetto di determinate regole e processi. La difficoltà di allinearsi con i business driver e di aggiungere valore ad essi è più marcata nelle realtà più piccole, nelle medie e piccole imprese dove l’attenzione è ancora molto rivolta al “fare business”, tralasciando aspetti ritenuti, erroneamente, “minori”. In un’azienda come Vodafone queste difficoltà sono state superate ed è il vertice aziendale stesso che, compreso il valore della sicurezza, ha supportato l’evoluzione del nostro dipartimento che oggi è ben strutturato e può vantare quella visione olistica di cui si diceva prima. Quanto alla proattività, il dipartimento security la assicura in tutti i progetti.; il nostro apporto è fondamentali fin dalle primissime fasi di un progetto; i requisiti di sicurezza sono sempre forniti a partire da un’attenta analisi del rischio di business. »
