Possedere un’infrastruttura IT ad alte prestazioni è essenziale per far sì che un’azienda rimanga competitiva, soddisfando al contempo le esigenze portate dalla digitalizzazione, dall’esplosione dei dati e dall’evoluzione del business. Performace elevate, stabilità, sicurezza, backup e scalabilità sono un “must have” nel 2023
A seguito di una fase di studio e selezione dei provider adeguati a diventare partner tecnologico della Compagnia, l’azienda ha identificato Thux, società italiana di consulenza che opera nell’ambito dei servizi e dei prodotti ICT.
“C’è stata una fase progettuale molto importante – racconta Giulio Patisso, co-founder della società – perché dovevamo identificare tutti i punti critici in modo che il cut-off fosse quasi istantaneo con garanzia assoluta che la business continuity non fosse minimamente inficiata.
Abbiamo dovuto lavorare dal punto di vista organizzativo, oltre che tecnico e tecnologico. Ma questa intersezione oggi è spesso presente e lo sarà sempre di più in futuro”.
Uno dei motivi per cui Thux è stata scelta è la sua specializzazione ventennale nella cyber security. Una specializzazione che si ricava, fra l’altro, dalla partnership strategica con Palo Alto Networks, vendor che detiene da anni il primato come leader nel Magic Quadrant di Gartner for Network Firewalls.
Il “cambiamento epocale” di Global Assistance
In effetti, il tema della sicurezza fin dall’inizio è stato al centro della collaborazione fra Thux e Global Assistance. Quest’ultima, infatti, è un soggetto vigilato dall’IVASS, l’Istituto per la Vigilanza sulle Assicurazioni che disciplina il settore anche attraverso disposizioni definite nel Regolamento 38 del 2018 oltre che ad altre linee guida Europee dettate da EIOPA.
La compliance a questo regolamento presuppone, all’interno della governance societaria, un sistema di controlli interni e di gestione del rischio da cui non può essere esclusa ovviamente la componente IT.
“Thux, oltre ad aver fornito data center, macchine, firewall, VoIP, security, ci ha anche seguito per tutta la parte di porting dei dati” spiega Alessandro Nichetti, Head of Information Technology and Digital Transformation di Global Assistance, sottolineando la delicatezza dell’operazione.
“Perfino la “semplice” migrazione della posta elettronica ha significato un passaggio critico per evitare possibili impatti sul lavoro quotidiano dei dipendenti e garantire piena continuità con il servizio.
Un cambiamento epocale che, a distanza di più di un anno, si può considerare un successo” aggiunge Nichetti che ha avuto l’onere di seguire il progetto, unendo le proprie competenze manageriali a quelle operative dei colleghi che hanno collaborato proattivamente al progetto.
La figura del CISO come “effetto collaterale” a livello di governance
Tra gli aspetti collaterali legati all’implementazione della nuova infrastruttura e alle policy di sicurezza previste per una realtà come Global Assistance, Nichetti ha gestito anche tutte le fasi propedeutiche che hanno traghettato la Compagnia alla nomina di un CISO (Chief Information Security Officer). Come noto, il CISO è una figura chiave ancora poco presente in Italia, perché spesso la cyber security non viene considerata dalle aziende un elemento strategico per il business. Giulio Patisso è soddisfatto per la presenza di un CISO in Global Assistance e non teme il ruolo che un tale profilo possa ricoprire in veste di “controllore” indipendente dei requisiti di sicurezza garantiti da Thux come outsourcer di Global Assistance.
La scelta di un CISO, al contrario, testimonia una sensibilità elevata sul tema della sicurezza IT e facilita il dialogo di Thux con la compagnia assicurativa. “Se qualcuno giudica il nostro lavoro, sono certo che lo capisca” dice Patisso, ricordando quanto si sia evoluta la percezione delle aziende sulla cyber security da quando la sua società fece il primo vulnerability assessment nel 2004.
Anche allora esistevano i ransomware, ma gran parte delle organizzazioni erano convinte che nessuno fosse interessato a trafugare i loro dati. Ma nel continuo evolversi delle minacce informatiche e la crescita della complessità della sicurezza dovuta, sia alla maggiore “competenza” e abilità dei cyber criminali, sia all’ampliamento del perimetro di contenimento del rischio, rendono la governance della sicurezza un punto cruciale di ogni strategia aziendale. Per questo “avere un referente che possegga una particolare preparazione in materia, come nel caso del CISO, contribuisce a innalzare la sensibilità sull’importanza di
progettare una strategia di sicurezza che permetta uno sviluppo del business il più possibile sicuro. Il CISO deve anche tenere alta l’attenzione del management aziendale sugli aspetti di rischio informatico. Ed è quello che stiamo facendo noi attraverso una cyber security che parte dal perimetro e si spinge fino agli endpoint utilizzati dall’utente con una politica zero trust”.
Le tappe future in materia di IT e sicurezza
“Quest’anno dobbiamo proseguire nella mitigazione del rischio che non è solo legato all’infrastruttura, ma a tutta una serie di applicativi che fanno parte del nostro ecosistema informatico che è in forte evoluzione e a supporto di un piano strategico molto ambizioso, infatti la Compagnia si sta evolvendo, nuovi canali distribuitivi, nuovi prodotti, nuovi applicativi portano nuove sfide. La reattività nell’identificare eventuali vulnerabilità è necessaria sia nei confronti dei clienti sia nei confronti dell’organismo di vigilanza” sostiene in chiusura Alessandro Nichetti, consapevole del fatto che ogni miglioramento necessita comunque di risorse e di investimenti, appoggiati dal management della Compagnia.
Risorse e investimenti fra i quali figura il ricorso a strumenti di monitoraggio di sicurezza specifici come ad esempio il SOC (Security Operations Center) in aggiunta al NOC (Network Operations Center) già attivo in azienda. Si tratta di ulteriori sviluppi che potranno avvenire o meno tenendo conto del fatto che “adesso l’impalcatura è molto solida e per l’attuale modello di business di Global Assistance. Credo che il livello di cyber security raggiunto dalla compagnia assicurativa al momento si possa considerare tra i più alti in termini di benchmark di mercato” conclude Patisso.