Un gruppo nazionale con forte presenza europea che fa dell’utilizzo di tecnologie best-of-breed una strategia di Business Technology ed Enterprise Security. Stiamo parlando di Gruppo Sapio, società nata nel 1922 a Monza come azienda produttrice di gas tecnici, per svilupparsi poi su tutto il territorio nazionale. Fin dai primi anni, alla parte commerciale si è affiancata un’intensa attività di ricerca e innovazione tecnologica, in particolare tesa allo sviluppo di nuovi e migliori prodotti. Nel 1989 alla tradizionale produzione di gas si è affiancata la società Sapio Life che si rivolge alle strutture sanitarie e ospedaliere per offrire soluzioni specializzate nelle terapie e nell’assistenza a domicilio (Gruppo Sapio collabora attualmente con oltre 150 ospedali in Italia). Più recente invece è l’attività della divisione BioRep – nata nel 2003 – che si occupa della conservazione di cellule e materiale biologico per alcuni tra i più importanti istituti di ricerca italiani. Oggi, il gruppo conta circa 1450 dipendenti, di cui 300 nella sede centrale di Monza. Impianti produttivi e realtà commerciali sono presenti su tutto il territorio nazionale, oltre che in diversi paesi europei. Dalla sede centrale di Monza, un team It di circa 20 persone, guidato dal Cio di gruppo, Riccardo Salierno, si occupa di gestire l’intera infrastruttura informatica, compresa la sua messa in sicurezza.
Una cultura di sicurezza ‘diffusa’
Riccardo Salierno, Cio del Gruppo Sapio
Un compito ‘arduo’, a detta dello stesso Salierno, considerando “le innumerevoli potenziali vulnerabilità che derivano dalla proliferazione e crescita esponenziale nell’utilizzo delle tecnologie, dall’uso ‘promiscuo’ dei device mobili, divenuti ormai dei veri e propri Pc tascabili con i quali gli utenti svolgono le proprie mansioni professionali ma al tempo stesso li utilizzano come dispositivi personali per accedere alle proprie foto, app e servizi privati, fino ad arrivare agli attacchi Apt come ramsonware e cryptolocker”.
Tutte minacce sulle quali non si può intervenire semplicemente da una prospettiva tecnologica ma che richiedono, alla base, una certa cultura e maturità dei singoli utenti. È infatti questo uno degli aspetti primari sui quali Salierno ha deciso di focalizzare attenzione e impegno del team It: “La facilità con la quale si può oggi accedere a servizi digitali via cloud, da smartphone e tablet, nonché la disponibilità crescente di questi stessi servizi sono fenomeni inarrestabili, anche all’interno delle aziende; pensare di bloccarli è un’utopia; bisogna però intervenire per ‘arginare’ le minacce che tali fenomeni e trend generano, prima di tutto educando le persone all’utilizzo corretto delle tecnologie e dei servizi It”.
Un percorso che tutt’ora si snoda attraverso iniziative differenti, dalla comunicazione interna fino a veri e propri training il cui obiettivo è far riconoscere in autonomia agli utenti le possibili minacce, “per esempio insegnando loro come riconoscere un’e-mail sospetta, dato che oggi sono sempre più sofisticate e quasi in tutto simili a una comunicazione che appare originale e ufficialmente proveniente da un’azienda fidata”, sottolinea Salierno, “ma soprattutto invitando gli utenti a collaborare attivamente con l’It”.
Il primo grande passo verso una più efficace Enterprise Security ha coinvolto l’It per oltre tre mesi, racconta in dettaglio il Cio: “Ciò che abbiamo ritenuto essere più idoneo e soddisfacente nell’edificare una cultura d’impresa è stato comunicare tempestivamente a tutti gli utenti esattamente ciò che avviene sul fronte della sicurezza, aggiornandoli sulle possibili minacce e anche sugli eventuali attacchi subiti; senza esagerare dal punto di vista del ‘terrorismo psicologico’, abbiamo creato dei veri e propri ‘bollettini’ attraverso i quali abbiamo dato – e continuiamo a dare – evidenza di ciò che accade sia dalla prospettiva delle minacce esterne sia dal punto di vista dei rischi e degli ‘errori’ interni, cercando di far capire cosa queste criticità generano in termini di disservizio (al data center in primis, ma soprattutto sui servizi cui gli stessi utenti accedono), in alcuni casi facendo luce in modo trasparente anche sugli impatti di natura economica derivanti”.
Sicurezza significa continuità di business
Trattando materiali pericolosi, la sicurezza rappresenta per il Gruppo Sapio una delle priorità massime per l’It “non solamente dal punto di vista dell’efficienza operativa ma anche e soprattutto nella continuità dei servizi critici per il business”, enfatizza Salierno. “Per la sicurezza abbiamo a livello di It un budget dedicato, anche in momenti di ‘spending review’, oltre ad una figura di responsabilità di riferimento (il Cso)”.
Dal punto di vista delle scelte tecnologiche, “l’azienda ha sempre adottato una logica best-of-breed, puntando sulle soluzioni più performanti e sui vendor definiti leader nei vari report di mercato”, ribadisce il Cio. Una politica strategica che nel 2012 ha portato il gruppo ad avvalersi delle soluzioni Fortinet per i firewall a protezione del data center e che ha poi spinto l’azienda ad affidarsi ancora allo stesso vendor (e alla partnership di Maticmind) per l’implementazione di due appliance ForftiGate 800C per le funzionalita di network firewall, web filtering e Vpn.
“Quando abbiamo deciso di ri-disegnare l’infrastruttura di sicurezza aziendale – spiega meglio Salierno – siamo ovviamente partiti dalla difesa perimetrale, dal mettere cioè in sicurezza le prime linee attraverso le quali generalmente arrivano le minacce e gli attacchi, creando tuttavia un’infrastruttura dotata di flessibilità e scalabilità necessarie a supportare la crescita futura. Il percorso è poi proseguito con l’obiettivo di mettere in sicurezza i sistemi di comunicazione per garantire l’accesso ai servizi senza alcuna ripercussione sull’operatività e la continuità del business”.
L’infrastruttura di sicurezza firmata Fortinet, da quest’ultimo punto di vista, si è rivelata particolarmente performante, secondo quanto detto dal Cio, consentendo a Sapio di raggiungere un uptime dei sistemi del 99,4%, “che contiamo di portare presto fino al 99,6%”, dice ancora Salierno, ricordando che “nel settore in cui opera un gruppo come Sapio, la disponibilità dei sistemi è in assoluto l’elemento più critico da tenere in considerazione, quasi più dei processi di produzione o dei brevetti intellettuali (che comunque si basano ormai su processi stabili e abbastanza condivisi)”.
Una continuità ‘life-critical’
Ed è sempre la continuità del business a fare da driver nel percorso di ri-disegno della sicurezza It aziendale che attualmente vede Sapio impegnata nell’installazione di una soluzione specifica per il DDoS – Denial of Service, sempre targata Fortinet. “Lavoriamo molto spesso con realtà pubbliche, partecipando quindi a gare d’appalto all’interno delle quali la questione dei tempi di risposta dei servizi ricopre un’importanza fondamentale”, spiega Salierno. “Dobbiamo essere in grado di intervenire in tempi molto brevi, rispettando Sla decisamente restrittivi. E la disponibilità dei sistemi diventa un elemento cruciale per l’intero business dell’azienda”.
E se la business continuity rappresenta un elemento strategico per Sapio, ancor di più lo è in ambito ospedaliero dove i servizi It sono addirittura ‘life-critical’. “Le soluzioni di assistenza domiciliare prevedono una duplicazione dei sistemi forniti all’assistito, con un monitoraggio remoto continuo e costante da parte dell’azienda (la continuità in questo caso è davvero vitale!)”, descrive Salierno. “In caso di emergenza dobbiamo intervenire in tempi estremamente brevi e la disponibilità costante dei nostri sistemi è una condizione irrinunciabile perché questo accada”.
È in quest’ottica quindi che è stato aggiunto il modulo DDoS di Fortinet: “Ci permette di avere una ragionevole certezza di avere sempre il controllo dei nostri sistemi, evitando il rischio di blocchi inattesi e indesiderati che potrebbero avere conseguenze anche molto gravi, per noi come azienda ma anche e soprattutto per i pazienti che seguiamo”, puntualizza in chiusura il Cio.
