Stefano Epifani (Università La Sapienza)
Rossella Macinante
(NetConsulting)
Bruno Cameli
(Telecom Italia)
Giorgio Mosca
(Finmeccanica)
Guido Pagani
(Banca d’Italia)
Giovanni Vassallo
(Accenture)
Francesca Gatti
(BTicino)
Roberto Faraguti
(Number 1
Logistics Group)
Giampiero Longobardi
(Banca d’Italia)
Giuseppe Pavone
(Poste Italiane)
Antonio Battaglia
(Ferrovie dello Stato)
Vincenzo Bloise
(Trenitalia)
Gabriele Chiesa
(Eni)
Riccardo Baraldi
(Andaf)
Loredana Cafarda
(Eni)
Leonardo Casubolo
(Om Carrelli Elevatori)
Davide Ferrari
(Cofathec Servizi)
Paolo Ginevro
(Unicredit Globa Information Services)
Renzo Passera
(Zurich Insurance)
Dario Valtorta
(Decathlon Italia) | La circolarità delle informazioni, le nuove forme di collaborazione con il continuo scambio di dati e documenti, le esigenze di compliance, richiedono oggi un attento controllo sulla divulgazione di dati e documenti sensibili. L’ottimizzazione dei processi di gestione documentale rappresenta quindi uno snodo cruciale per quanto riguarda privacy e sicurezza aziendale nel suo complesso.
L’enterprise printing è l’ultimo anello di questa articolata catena ma è anche il più delicato perché, se non opportunamente inserito nei processi aziendali con sistemi hardware e software in grado di sostenere solide policy di security, rischia rendere inefficaci tutte le procedure e gli investimenti a monte.
Sono questi, in estrema sintesi, i temi affrontati nel corso di due Executive Dinner organizzati a Roma e Milano da ZeroUno in collaborazione con Hp (www.hp.com), con la presenza, in funzione di esperto ed analista, di Stefano Epifani, docente di Comunicazione Interattiva presso l’Università la Sapienza di Roma (www.uniroma1.it) e di Rossella Macinante, Practice Leader di NetConsulting (www.netconsulting.it); l’incontro di Roma è stato coordinato dal direttore di ZeroUno, Stefano Uberti Foppa, mentre quello di Milano dal caporedattore Patrizia Fabbri; ad entrambi ha partecipato Enrico Toson, Enterprise Printing Sales & Services Director di Hp Italia. Nel corso delle due serate è stato delineato lo scenario di riferimento dal quale emerge quali sono oggi gli impatti sulla sicurezza che provengono da una comunicazione e collaborazione (ovvero scambio di informazioni) sempre più veloce: la condivisione delle informazioni su scala sempre più vasta rende complessa l’attività di controllo dei dati riservati; la possibilità di diffondere le informazioni attraverso strumenti on ed off-line aumenta il rischio che tali dati ed informazioni si perdano o vengano trafugate; la maggiore e incrementale diffusione di documenti stampati o elettronici rende più difficile il controllo sulla documentazione prodotta.
Esistono dunque delle criticità nella gestione delle informazioni che, prima ancora di arrivare all’anello del printing, necessitano di attenzione e, tra le altre, riassumiamo le seguenti: molteplicità di informazioni e di formati da gestire con il rischio di dispersione dell’informazione (crescita di informazioni destrutturate); incremento esponenziale dei canali di distribuzione e accesso da differenti device; aumento esponenziale dei costi di archiviazione e, in generale, dei costi di gestione; il controllo degli accessi e la gestione della distribuzione dei contenuti.Informazioni destrutturate: quale approccio per gestirle e controllarle?
Uno degli aspetti più importanti legati all’information security emerso in entrambe le serate è dato dal proliferare dei dati non strutturati che sembrano acquisire una sempre maggiore importanza strategica e di business nelle aziende. Viviamo in un momento in cui i processi di comunicazione e collaborazione stanno crescendo e cambiando al contempo. Ci troviamo quindi davanti ad un modello sempre più complesso da gestire: oggi l’informazione è destrutturata per definizione; la modalità di creazione della conoscenza passa da meccanismi di comunicazione e collaborazione non strutturati. Come affrontare allora l’aspetto di gestione di queste informazioni e, soprattutto, come controllarle e renderle sicure? Coro quasi unanime nel ritenere che se le informazioni sono destrutturate non significa che lo debbano essere i processi aziendali. Per riuscire a gestire e proteggere quindi anche questo tipo di conoscenza serve un approccio metodologico che trova le sue radici nei processi di business e nelle cosiddette “regole comuni”. Certo non è un cammino facile perché implica, oltre al necessario cambio culturale, un ridisegno dei processi stessi il cui governo deve tener conto di tutti gli elementi in gioco: cultura, appunto; processi esistenti e stratificati; costi; implementazione tecnologica; ecc.
Ad ogni modo, i Cio riuniti intorno al tavolo, sia a Roma sia a Milano, si sono dichiarati d’accordo nel ritenere che il problema più grande legato alla sicurezza non sta nel definire le procedure, le metodologie o il sistema di governo delle informazioni destrutturate, quanto nell’identificare e coprire gli eventuali “spazi bianchi” tra questi elementi: in altre parole, la visione olistica del processo di sicurezza delle informazioni (in tutti i suoi stadi, fino anche all’anello del printing) non è così semplice da delineare. (Cameli, Mosca, Pagani, Starace, Tancini, Vassallo).
Altro importante elemento su cui molti degli executive presenti durante le due serate hanno trovato comunanza di visione è la responsabilizzazione delle persone. In molti casi, infatti, è emerso dalle parole dei Cio che l’unico modo per cercare di rendere sicure le informazioni destrutturate, veicolate soprattutto attraverso i nuovi strumenti di comunicazione e collaborazione, è quello di responsabilizzare gli utilizzatori di tali informazioni. In altre parole, pur non essendo semplice, fare in modo (attraverso policy e processi) che chi produce, usa, distribuisce le informazioni ne sia responsabile (Pittoni, Spada, Gatti, Faraguti, Pizzini). Garantire disponibilità e accesso alle informazioni in sicurezza. Come?
Quali possono essere allora i passi necessari per rendere disponibili e fruibili le informazioni in modo sicuro?
I punti emersi durante le tavole rotonde, possono essere così riassunti:
1) classificare le informazioni e i dati in funzione della criticità per il business e del grado di riservatezza;
2) analizzare i flussi informativi all’interno dell’azienda;
3) definire diritti e ruoli su cui basare le policy di accesso e di fruizione delle informazioni in tutte le fasi del ciclo di vita dell’informazione/documento (creazione, modifica, archiviazione, condivisione, stabilendo le modalità: via mail, via Intranet, Chat, Instant messaging, ecc.);
4) introdurre strumenti per monitorare l’accesso a documenti e informazioni caratterizzate da criticità elevata e il relativo utilizzo anche tramite stampa.
Per quanto riguarda il primo aspetto (classificare le informazioni) un’interessante visione è emersa da alcuni Cio: non tutte le informazioni sono critiche e sensibili; anzi, si sta sottovalutando il rischio legato ad un eccesso di controllo sulle informazioni che fa perdere di vista alcuni aspetti, erroneamente ritenuti minori (come il printing) che potrebbero però rivelarsi pericolosi. (Chiesa, Faraguti, Passera).
Quanto all’analisi dei flussi informativi e al monitoraggio/controllo sono tutti d’accordo nel ritenere che la tecnologia sia matura e consolidata per questo tipo di attività; gli aspetti più problematici sono, ancora una volta, dati dalle policy e dall’individuazione dei ruoli e delle responsabilità (Longobardi, Spada, Pizzini, Pavone). Secure enterprise printing: anche qui, serve una strategia!
Secondo la definizione riportata dall’Enisa, European Network and Information Security Agency, nel suo Secure Printing Report del 2008, il Secure Enterprise Printing può essere definito come l’insieme di azioni orientate a: far si che i device di stampa siano “sicuri”; i dati trasmessi ai device di stampa rispettino i requisiti di confidenzialità, integrità e disponibilità. Tutti concordi con la definizione ma, si sa, dalla teoria alla pratica gli sforzi non sono da sottovalutare. Numerosi gli aspetti che “entrano in gioco” quando si deve pensare alla sicurezza delle informazioni, in generale, e dei processi di imaging e stampa, in particolare. Gli elementi su cui va posta l’attenzione e vanno presi i giusti provvedimenti in ordine alla sicurezza sono:
– Asset fisici: stampanti, fax, scanner, ecc.
– Persone: dipendenti, collaboratori, visitatori, clienti, ecc.
– Software: soluzioni di stampa o gestione documentale
– Dati: stampati, copiati, scannerizzati, trasmessi, ecc.
Dalle tavole rotonde è emersa una buona consapevolezza circa i rischi in campo legati ad una mancata attenzione ai processi di stampa: documenti stampati o copiati che vengono sottratti ed utilizzati per danneggiare la reputazione o l’immagine dell’azienda, o per danneggiarla economicamente (a volte anche con atteggiamenti non dolosi ma a causa di disattenzioni e poca responsabilità); documenti stampati o copiati “finiti” nelle mani di colleghi che non avrebbero dovuto vederli; documenti contenenti informazioni riservate sotto gli occhi di personale non autorizzato; un documento viene “smarrito” dopo essere stato stampato; il sistema di stampa è la “porta d’accesso” verso il sistema informatico. Sono solo alcuni degli esempi riportati ma che rendono l’idea di come gli interventi vadano necessariamente in più direzioni: dalla razionalizzazione dei processi di stampa attraverso scelte di centralizzazione e adozione di strumenti tecnologici specializzati (per esempio l’utilizzo di sistemi di Pull Printing con PIN o Smart-card), alla gestione delle identità e degli accessi/autorizzazioni nelle operazioni di stampa, copia, invio fino all’utilizzo di PIN per la gestione dei processi di stampa, oltre a sistemi di crittografia dei dati in transito e l’utilizzo di protocolli di trasmissione sicuri (Battaglia, Bloise, Longobardi, Toson).
Su una cosa sono comunque tutti concordi: il secure printing non è soltanto device, hardware, software ma è soprattutto gestione dei processi e approccio metodologico (bisogna partire, come sempre, da una strategia chiara e definita che identifichi processi, regole, ruoli e competenze, responsabilità). Approccio che richiede una condivisione di obiettivi (in questo caso di sicurezza) lungo tutta l’organizzazione e una stretta collaborazione tra varie linee di business (Petrosino, Cameli, Vassallo, Chiesa, Pittoni, Toson).
Hp: stampa aziendale protetta Benché le aziende spendano migliaia di euro per proteggere i propri server, la sicurezza dei dispositivi di stampa e imaging viene spesso trascurata. La tecnologia HP indirizza la problematica della security garantendo che i dati riservati siano protetti in qualunque fase del processo di imaging e stampa.
1) Crittografia dei documenti mentre vengono trasferiti in rete: è possibile proteggere i lavori di stampa trasferiti in rete con il protocollo di crittografia IPsec. In questo modo l’infrastruttura di imaging e stampa può sfruttare il livello di sicurezza impiegato dalle imprese per l’invio di informazioni riservate su Internet.
2) Proteggere i documenti nella memoria di un dispositivo o su un disco rigido: oltre a proteggere fisicamente i dispositivi, le soluzioni di sicurezza HP gestiscono le impostazioni di protezione contro gli attacchi provenienti dalla rete.
3) Impedire che i documenti vengano prelevati da persone non autorizzate: HP Pull Printing garantisce che il materiale stampato venga ritirato solo dal destinatario previsto (le soluzioni vanno dalla semplice stampa PIN privata alla tecnologia Pull Printing basata su stampante o su server, che assicura che la stampa venga avviata solo dopo che l’utente si è autenticato sul dispositivo).
Le soluzioni di stampa sicura HP hanno come obiettivi quelli di ridurre al minimo i rischi e definire e mettere in atto criteri di sicurezza per l’imaging e la stampa con un livello di rigore pari a quello dell’infrastruttura di rete principale. |
