Un vero “anno terribile” che, insieme alla pandemia, ha portato a una trasformazione del mondo del lavoro per molte aziende. Sotto il profilo della digital transformation, il 2020 ha segnato una tappa che sotto alcuni aspetti rappresenta un passo importante all’interno di un processo di evoluzione che porta a un modo diverso di lavorare e di gestire i dati in azienda.
“Finito il periodo emergenziale è probabile che le nuove modalità di collaborazione e condivisione online diventeranno parte del nostro modo di lavorare” conferma Alessandro Piva, Direttore dell’Osservatorio Cloud Transformation e dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano. “Quello che si concretizzerà sarà un modello ibrido tra il classico lavoro in ufficio e le attività a distanza che abbiamo forzosamente sperimentato nel corso di questi ultimi 12 mesi”. I vantaggi sperimentati in questa particolarissima fase, infatti, sono destinati a sedimentare e a diventare un patrimonio delle aziende stesse. Sotto il profilo della sicurezza e della data strategy, però, la nuova declinazione del lavoro “agile” richiederà un adattamento da parte delle imprese.
Un processo che arriva da lontano
Se il periodo di lavoro in remoto che è stato vissuto da una buona fetta di impiegati e collaboratori delle aziende rappresenta l’elemento più evidente del cambiamento in atto, ci sono altri aspetti legati alla gestione dei dati che si sono evoluti negli ultimi anni: “La fruizione dei dati da parte delle aziende ha subito considerevoli trasformazioni, la platea di utilizzatori è aumentata, così come gli ambiti di interesse” spiega Piva. “Attività come l’augmented analytics, la stessa possibilità di accedere in maniera più estensiva ai dati e l’allargamento del perimetro dovuto alle forme di lavoro in mobilità e in remoto, impongono l’implementazione di strumenti specifici e policy per gestire la data governance”. Un processo, quello di adeguamento al nuovo scenario, che negli ultimi mesi non è stato certamente indolore. L’accelerazione impressa dall’emergenza pandemica nell’adozione di forme di collaborazione e condivisione a distanza, ha infatti portato molte aziende a una “metamorfosi” piuttosto frettolosa, che ha avuto conseguenze negative soprattutto a livello di sicurezza e integrità delle informazioni. “Dal nostro punto di osservazione abbiamo riscontrato una serie di criticità che le aziende hanno faticato ad affrontare” conferma Matteo Ghiotto, AI Developer Director di Cyberoo51, azienda specializzata in data protection e data strategy: “In molti casi sono state implementate delle soluzioni raffazzonate che hanno creato notevoli problemi”.
Una data strategy inadeguata
Il fulcro della gestione di sistemi di collaborazione e condivisione online è la gestione del dato, che in un contesto “allargato” come quello che si determina in una situazione di lavoro in remoto “forzato” rischia di essere sottovalutato.
I fattori che incidono sulla sicurezza nella gestione delle informazioni, però, sono molti e l’esperienza riportata dall’esperto di Cyberoo51 conferma il livello di complessità che le aziende si sono trovate ad affrontare. “Uno dei problemi fondamentali è stato quello di un errato hardening delle configurazioni di rete e del cloud” conferma Matteo Ghiotto. “Molte aziende non erano affatto preparate a implementare strumenti di lavoro in remoto e non avevano policy per mettere in sicurezza le comunicazioni, né a livello di connessioni di rete e di gestione delle risorse cloud, né a livello di autenticazione degli utenti”.
Un problema al quale si è sommato anche l’utilizzo di dispositivi inadeguati, secondo un’interpretazione frettolosa della logica ispirata al “bring your own device” (BYOD) dettata dall’impreparazione ad affrontare una massiccia delocalizzazione del lavoro. “In molte aziende i lavoratori erano abituati a lavorare su computer desktop in ufficio” spiega Ghiotto. “Nel momento in cui hanno dovuto operare da casa, le aziende hanno permesso di utilizzare dispositivi personali che non avevano nessuna delle caratteristiche necessarie a garantire il livello minimo di sicurezza per la protezione dei dati trattati”. Lo scambio dei documenti e dei file, di conseguenza, avveniva attraverso device spesso privi di protezione (o comunque collocati in un ambiente con un livello di protezione inferiore rispetto a quello aziendale) e attraverso policy definite con estrema rapidità.
Le ricadute a livello di sicurezza dei dati
Il prevedibile risultato di questa situazione è stato un aumento di incidenti di sicurezza: perdita di file, condivisioni involontarie di documenti riservati e una errata gestione degli accessi e delle revisioni dei dati si sono moltiplicati esponenzialmente.
A generare questi incidenti ha contribuito un’errata percezione della sicurezza nell’utilizzo di sistemi cloud: “L’equivoco in cui sono cadute molte aziende è stato quello di considerare il tema security come un aspetto che viene gestito esclusivamente dal provider di servizi cloud” prosegue Ghiotto. “In realtà le garanzie di sicurezza offerte dal fornitore cloud non comprendono tutte quelle impostazioni personalizzate che richiede una situazione come quella che abbiamo vissuto”. A peggiorare la situazione, poi, ci si sono messi i cyber criminali. Consapevoli di potersi muovere in una situazione in cui le aziende operavano in una situazione emergenziale, i pirati informatici ne hanno infatti immediatamente approfittato. Le statistiche relative agli attacchi diretti alle aziende (e in particolare ai servizi cloud) sono letteralmente schizzate verso l’alto. Con un ulteriore problema legato alle conseguenze dei data breach subiti: la difficoltà di fornire le informazioni che le normative prevedono debbano essere comunicate ai sensi del GDPR.
La prospettiva futura
Se dal quadro tratteggiato appare evidente come le aziende abbiano dovuto affrontare criticità con ricadute anche gravi sulla loro attività, il futuro prossimo potrebbe essere caratterizzato da toni decisamente più positivi. “Già nel corso degli ultimi mesi abbiamo registrato una stabilizzazione e un miglioramento del livello di sicurezza rispetto ai primi mesi dell’emergenza” conferma Ghiotto. “Nell’ottica di una sedimentazione di modalità di lavoro simili a quelle adottate negli scorsi mesi, però, le aziende dovranno adattare le loro policy a una situazione in cui la conseguente frammentazione dei dati rende antiquate le procedure e gli approcci tradizionali”.
In altre parole, la delocalizzazione nella gestione dei dati e nel loro trattamento impone alle aziende di rivedere le politiche legate alla privacy, le analisi del rischio e le valutazioni di impatto. Un’attività che richiede sia un’attenta pianificazione, sia una scelta delle soluzioni indispensabili per garantire un livello di sicurezza adeguato così come l’integrità e la riservatezza dei dati aziendali. Le strategie per una data strategy corretta all’interno dell’azienda saranno l’oggetto del webinar organizzato da ZeroUno in partnership con Cyberoo 51 e Microsoft che si terrà il prossimo 29 aprile dalle 12.00 alle 13.00.
