Il “rischio IT” è quella cosa che il top management in genere capisce quando è ormai troppo tardi, quando cioè l’evidenza della correlazione esistente tra il modo di operare dell’azienda sul mercato e la sua dipendenza/integrazione con le tecnologie Ict viene esplicitata in tutta la sua criticità (e costo) a causa di un downtime o di un danno a seguito del venir meno di livelli di sicurezza. Eventi imprevisti e inefficienze che si determinano nei sistemi informativi e che vanno direttamente a impattare il risultato di business o l’immagine dell’azienda sul mercato.
Ecco una riflessione che vorremmo venisse affrontata dalle aziende oggi: la gestione del rischio sia dalla prospettiva dei sistemi informativi, sia, soprattutto, dal top management che deve guidare lo sviluppo competitivo dell’impresa.
Partiamo dal concetto formalizzato da Gartner durante il recente Symposium di Barcellona, quel “nesso di forze” rappresentato dalla confluenza e dalla sinergia tra i quattro grandi fenomeni che stanno rivedendo completamente i modelli Ict in impresa, con la possibilità, per quest’ultima, di crearsi nuove opportunità di business: cloud, mobility, social networks, informations. In pratica, dice Gartner, non più “filoni” indipendenti di crescita ma forze la cui interdipendenza, se adeguatamente sfruttata, potrà aprire alle imprese nuove opportunità in termini di crescita, efficienza, capacità di proposta di prodotti e di servizi. Ecco allora, inevitabilmente, emergere il tema del rischio. La domanda è: se voglio davvero sfruttare le opportunità offerte da un modello flessibile come l’as a service, magari fruendone in modalità mobility perché la mia azienda è sempre più distribuita e mobile sul territorio; se in più voglio/devo favorire una maggiore collaborazione sia interna all’azienda sia tra questa e il mercato sfruttando e integrando i social networks, analizzandone infine i dati per prendere decisioni, ho ben presente che il tutto deve appoggiarsi su un livello di security adatto a ciò che voglio fare? In altri termini: ho ben presente qual è il livello di rischio che sono disposto ad accettare e sulla base di questo definire una strategia, organizzativa e tecnologica, che faccia della security il denominatore comune di queste “forze tecnologiche e organizzative di cambiamento?”. Noi crediamo che il tema sia stato fin qui ampiamente sottovalutato, o almeno, in termini di sicurezza, sia ancora abbastanza fermo alla “protezione del castello”, a “chiudere i ponti” per cercare di avere un po’ di sicurezza. Solo oggi, dalla difesa perimetrale, si comincia a pensare che il nuovo vero perimetro aziendale sia quello dell’identità dell’utente, riferendosi ad una organizzazione aziendale costantemente in cambiamento per sfruttare le opportunità di mercato. Sulla base di questo disegno organizzativo aziendale, che è molto flessibile e che deve potersi ridisegnare velocemente, dovranno essere compiute le scelte di security, frutto di un’attenta analisi dei processi. Numerosi studi confermano infatti che un’errata definizione dei processi IT porta con sé scarsa efficacia nelle decisioni di business, nonché determina la messa a punto di asset It non adeguatamente allineati alle reali esigenze competitive dell’azienda, con risultati di scarsa governance, crescente complessità e sottovalutazione dei rischi. Interruzione del servizio, perdita di dati, accessi indesiderati, processi obsoleti che causano ritardi e costi imprevisti nello sviluppo dei progetti, informazioni inaccurate, ecc. E’ su questi punti che deve partire, dalla prospettiva It che guarda all’efficienza aziendale e al risultato di business, la strategia di security e di risk management aziendale.
E sul fronte del top management? Se da un lato è ancora oggi vero che le nostre imprese per innovazione di prodotto e creatività del made in Italy sono riuscite a mantenere una propria identità pur nel mondo globalizzato, è altrettanto vero che l’integrazione nei modelli di business di tecnologie digitali vede le nostre aziende, in molte classifiche, posizionarsi nella parte bassa del ranking. Il Global Competitiveness Index, ad esempio, stilato dal World Economic Forum, in tema di livello di assorbimento delle tecnologie Ict da parte delle imprese, vede l’Italia al 104° posto su 144 nazioni, e dietro di noi non ci sono proprio paesi economicamente molto evoluti… Il 60% dei Cio italiani, secondo una recente ricerca Vanson Bourne, afferma che il top management continua a sottovalutare l’It aziendale, non considerandolo ancora asset strategico quanto, piuttosto, uno dei costi di esercizio. Ma, purtroppo, non avevamo bisogno della ricerca per accorgercene…Insomma, vale quello che si diceva all’inizio: un bel crash di sistema che ferma il business o un attacco hacker che manda in tilt il tutto vale più di mille corsi di formazione e di fiumi di parole sul valore strategico dell’It e della security. Dobbiamo aspettare che questo accada perché il top management veda da una nuova prospettiva le tecnologie Ict?
Scriviamo questo editoriale esattamente il giorno dopo le elezioni politiche. Oggi è il 26 febbraio. Ognuno tragga le proprie conclusioni, ma il dato certo, ad oggi, è il rischio di ingovernabilità. Che c’entra questo con il risk management? Vi ricordate le attese, le speranze, i dibattiti relativi all’Agenda Digitale di solo pochi mesi fa? Quali prospettive abbiamo oggi, all’indomani delle elezioni, per una sua attuazione concreta nel corso del 2013? Stiamo parlando della digitalizzazione del paese, non di poco: scuole, pubblica amministrazione, e-commerce, ricerca, start up…finanziamenti e digitalizzazione diffusa, uno scenario “digitale” nel quale le aziende dovranno muoversi sempre più, sia che l’Agenda venga attuata sia che venga “spazzata via” dalla naturale evoluzione del mondo e dei suoi abitanti, che va comunque verso una digitalizzazione di massa. In questo scenario digitale le aziende dovranno operare, svilupparsi, proporre prodotti e servizi. E ancora una volta una strategia di security che metta al centro una corretta gestione del rischio che si è disposti a correre sarà il denominatore comune di molti progetti e di una rinnovata capacità competitiva.