Le guide esclusive

#TerrazzaCloud 3, Chi ha paura delle nuvole... e perché sbaglia?

Timore per eccellenza quando parla di cambiare il modello IT, in realtà il terzo appuntamento di Terrazza cloud mette in luce come i veri pericoli siano mancanza di consapevolezza e conoscenza limitata

12 Dic 2016

Si parla di cloud e inevitabilmente uno dei primi nodi richiamati alla mente è la sicurezza, con relative preoccupazioni pronte a trasformarsi in timori. Un tema da affrontare con le cautele del caso, dopo aver chiarito gli aspetti utili per sapere come e dove agire. Di questo si è occupato il terzo incontro di Terrazza cloud, la serie di quattro appuntamenti a tema organizzati presso la sede di MWM CED, con la collaborazione di digital4Trade.

Molteplici le sfaccettature dell’argomento. Da una parte, la cultura del possesso può rivelarsi un ostacolo insormontabile. Dall’altra, una serie di circostanze ha reso l’Italia uno dei Paesi con il maggior numero di applicazioni cloud introdotte in azienda senza il consenso dei responsabili IT. Uno dei pericoli più evidenti è quindi ostinarsi a erigere barriere lungo il perimetro aziendale, mentre alle spalle il traffico di dati in entrata e uscita agisce indisturbato.

Una questione tanto ampia, prima di tutto ha bisogno di essere inquadrata. Un compito affidato ad Andrea Zapparoli Manzoni, membro del comitato direttivo del Clusit. L’esperto entra subito nel merito della questione, individuando i limiti entro i quali muoversi. In particolare, sono quattro i problemi principali su cui concentrarsi, con gli aspetti tecnici non necessariamente in primo piano. Si parte infatti dalla cosiddetta awareness, vale a dire la consapevolezza a qualsiasi livello. Senza tanti giri di parole, nella situazione attuale “l’utente si muove spesso come Alice nel paese delle meraviglie”. La necessità di dedicarsi maggiormente alla formazione si scontra con uno scenario estremamente complesso, variegato e in continua evoluzione. Non facile quindi, inquadrare i giusti temi sui quali imbastire un programma di training.

Con la crescita del volume di affari legato alla Rete, crescono naturalmente le forme di criminalità. Si moltiplicano gli attacchi su più fronti e individuare i responsabili resta una speranza o poco più. Aggiungendo comportamenti poco accorti da parte degli utenti, per un CIO le preoccupazioni non mancano. In più, la tendenza del management a muoversi in autonomia nel momento in cui si verifichi un’esigenza. A completare, il quadro, il grande amplificatore del mondo social. Anche le piattaforme più usate sono prive di sistemi antispam e antiphishing adeguati. Non a caso, sono anche i veicoli più utilizzati per gli attacchi ai dati personali. Nell’euforia, o nella foga, di adottare il cloud e non restare esclusi dal giro, si può tendere a trascurare un altro aspetto importante. I benefici sull’efficienza dell’organizzazione interna a un’azienda sono una delle maggiori certezze. Qui entra in gioco un potenziale outsourcing anche delle risorse umane. Un’opzione da valutare con grande attenzione. In caso di necessità infatti, il provider non è in grado di garantire interventi tempestivi in loco e di fatto rimediare può rivelarsi più lungo del sopportabile.

Fondamentale quindi, calcolare il Return of Security Investment. Dal punto di vista aziendale, perdere competenze, può costare molto più dei presunti risparmi sul personale. Come sempre, la vera capacità manageriale è trovare il giusto equilibrio, senza aspettare che qualcosa vada storto per rendersene conto.

C’è ancora un aspetto da valutare prima di entrare nel merito del confronto. In passato, in Italia si è trascurata la data classification. Di fatto, oggi diventa molto difficile stimare l’impatto di eventuali attacchi. In pratica, può diventare difficile capire esattamente cosa si stia trasferendo al cloud, collegare i diversi fattori di rischio e calcolare l’appetibilità di un’azienda in termini di dati da carpire. Il problema si manifesta chiaramente anche nel momento di affrontare il discorso con una polizza assicurativa. In mancanza di uno storico statistico, alla fine la maggior parte delle compagnie tende a rifiutare del tutto una copertura.

Lo scenario risultante è tutto tranne che rassicurante. Le cifre del fenomeno e la scarsa percezione della realtà si rivelano i primi fattori da combattere. Consapevoli o no, in Italia si contano almeno 50 milioni di utenti cloud, gli stessi proprietari di uno smartphone o un tablet. Troppo spesso, la sicurezza è solo di facciata. Tra i comportamenti comuni più a rischio Andrea Zapparoli Manzoni individua dispositivi dotati di lettori di impronte digitali ma sui quali l’utente utilizza la stessa password per accedere a ogni servizio. Oppure, la cancellazione di foto e dati in locale ma non dal backup. Azioni dove si ignora la natura stessa del cloud, non tanto andare a caccia dei dati nel dispositivo, ma limitarsi ad attraversarli per accedere ai server.
ANDREA ZAPPAROLI MANZONI, Clusit

#TerrazzaCloud 3, il cloud va gestito ma non bloccato

Andrea Zapparoli Manzoni, membro del Comitato direttivo del Clusit, nel corso di #TerrazzaCloud ha sottolineato le problematiche poste dall’avvento della nuvola, che devono però essere affrontate. E mette in guardia le aziende dagli errori più comuni


Conoscere di più rischiare di meno

Per quanto dai risvolti preoccupanti, il quadro tracciato dal Clusit non sorprende più di tanto gli addetti ai lavori. Almeno, quelli disposti ad affrontare la situazione di petto. In Continental, come spiega l’IT Manager Emilio Cogliani, un progetto di digital awareness è già stato avviato. In programma, una buona dose di formazione, affiancata dalla discussione di business case, utili a far capire con esempi concreti come usare dispositivi sul lato sia personale sia professionale senza esporsi più del necessario.

Un altro problema emerge pensando ai giovani che, nel tempo, si portano appresso una storia online potenzialmente in grado di metterne a rischio la carriera. Anche senza addentrarsi nei dettagli tecnici, un messaggio da trasmettere sin dai primi approcci al mondo del lavoro.

E Andrea Zapparoli Manzoni porta un esempio in tema, citando il caso dell’amministratore delegato di una grande impresa quotata in borsa, di fronte a una richiesta di estorsione avanzata da persone entrate in possesso di importanti file aziendali riservati. Le ricerche partite da presunte falle sul sistema aziendale hanno portato a conclusioni del tutto inattese e imprevedibili. Tracciando l’attività online, per i criminali non è stato difficile ricostruire come la vittima vivesse insieme a un figlio. Attraverso un falso profilo di Facebook, il minore è stato avvicinato e indotto a clickare su un link infetto. È stato sufficiente a introdursi nel Wi-Fi di casa per avere accesso al NAS con tutti i dati personali (non cifrati perchè altrimenti non compatibile con il TV), ignorando completamente i dispositivi iperprotetti del padre.

Nel caso di realtà alle prese con impianti dedicati al settore medicale come, ad esempio, Inpeco, la situazione si complica ancora di più. Per l’azienda ticinese, il CIO Francesco Ciuccarelli ha, infatti, previsto due modalità di adozione del cloud. Una, più standard legata ai servizi classici e rivolta essenzialmente all’interno, affiancata da una seconda infrastruttura per gestite invece i dati in arrivo dai sensori. Un percorso dove la combinazione tra m2m e IoT è impellente e dove già oggi è forte la spinta per passare i referti in cloud. Sul lato utente inoltre, il desiderio di poter accedere alla propria cartella clinica da smartphone rende urgente trovare il giusto compromesso tra utilità, difesa della salute e tutela di dati sensibili.

Anche quando la consapevolezza non manca, contenere i rischi si rivela una sfida impegnativa. Nel caso di un importante brand del fashion italiano, il cui Cio ha partecipato all’incontro, diventa ancora più importante combinare il buon senso delle policy con il necessario utilizzo di applicazioni potenzialmente rischiose ma necessarie per non impattare sulla produttività. Per una casa di moda, ogni regola di controllo rischia, infatti, di penalizzare la creatività. Facile quindi intuire quanto sia importante agire con estrema discrezione e sicurezza senza interferire con il lavoro degli stilisti.
EMILIO COGLIANI, Continental

#TerrazzaCloud 3, il caso Continental: il cloud è un aiuto per la forza vendita

Emilio Cogliani, IT manager Continental, racconta a #TerrazzaCloud come la nuvola permetta di evitare la gestione della complessità degli aspetti infrastrutturali, permettendo di lavorare ovunque


Chiedere senza paura

Sul piano strettamente operativo invece, i problemi vanno affrontati senza eccezioni. Qua, le potenzialità del cloud non mancano. Quello che è emerso, è anche una certa impreparazione dell’offerta. Appena si esce dallo standard infatti, diventa più difficile vedere assecondate le proprie richieste. Anche per questo, mantenere un buon livello di competenze interne è indispensabile a valutare offerte cloud dietro le quali può nascondersi solo un vecchio outsourcing nascosto dietro una facciata diversa. Per la natura stessa del cloud, definire confini sulle applicazioni e sugli ambiti d’uso è praticamente impossibile. Il migliore aiuto in casi del genere arriva dal buon senso. Quando Continental Italia si è trovata a dover affrontare la questione Whatsapp, la blacklist della corporate tedesca non prevedeva il divieto. Se la cifratura delle conversazioni può indurre una minima sensazione di sicurezza, la possibilità di inoltro porta però le informazioni fuori dal controllo aziendale. E anche la rubrica è da considerare un dato sensibile. La soluzione prevede tre contesti cloud. Uno centrale gestito direttamente dalla casa madre, affiancato da uno nazionale, a cui compete anche la gestione delle controllate.

Prima ancora di preoccuparsi per un’intrinseca sicurezza del cloud difficile da gestire, per il CIO si presenta un impegno molto più ravvicinato. L’evoluzione del ruolo porta infatti a dover fare da tramite tra un managament desideroso di sposare il nuovo modello, anche solo per questione di immagine, e l’esatta comprensione di meccanismi e potenzialità. In Inpeco, i vantaggi in termini di flessibilità non si sono fatti attendere. Chiudersi a riccio su posizioni conservative nel timore di perdere la propria autorità, rischiava di rivelarsi controproducente. Oggi chiunque è potenzialmente in grado di accedere al cloud e quindi tanto vale farlo in modo consapevole e controllato.

Punti di vista diversi e articolati. Per tutti però, in comune la necessità di seguire un percorso di trasformazione, senza mai perdere di vista la sicurezza dell’infrastruttura. Qua entra in gioco anche il partner. Enrico Ariotti, Ceo di Macro Web Media CED, non esita a riconoscere la necessità di saper trasmettere le competenze prima ancora di vendere soluzioni. Aver paura di trasferire il know how è di fatto un ostacolo alla chiusura di un contratto. Nella concezione maggiormente diffusa, sul lato azienda utente il cloud è un insieme di servizi erogati da altrettanti provider. Acquista quindi importanza la capacità di assistere il cliente nel trovare la giusta combinazione.

FRANCESCO CIUCCARELLI, Inpeco

#TerrazzaCloud 3, il caso Inpeco: il cloud come sfida per le risorse

Francesco Ciuccarelli, Cio di Inpeco, parla a #TerrazzaCloud della crescente presenza del cloud nell’azienda, giudicato una tecnologiapreziosa per il business


Sicuri per combinazione

Nell’insieme, dal punto di vista dei CIO la percezione di ogni sfaccettatura in materia di sicurezza è certamente a buoni livelli. Anche per questo, non si esita nell’indicare strade non sempre popolari ai piani alti. Il mito della maggiore sicurezza per i dati in casa, è infatti una delle convinzioni più difficili da superare. Quando però entrano in gioco certificazioni o standard molto elevati raggiungibili solo a caro prezzo l’approccio inizia a cambiare. Considerazioni ancora più importanti quando si opera su mercati internazionali, liberando l’azienda utente dall’allineamento alle normative locali.

Delegare non significa però disinteressarsi. In fase di rinnovo il provider può tendere ad allargare il proprio raggio d’azione. Le esperienze riportate parlano di tentativi insistenti di aggiungere moduli non richiesti, passati come indispensabili. Tanta solerzia non si riscontra invece di fonte alle richieste esplicite di conoscere come e dove sono sistemati i server.

In questi casi, uno dei consigli emersi è non esitare a valutare alternative. Una delle peculiarità del cloud è proprio la possibilità di trasferire dati senza problemi. Ogni vincolo contrattuale in questa direzione è da ritenersi un punto a sfavore di un offerta. Ariotti in particolare, in contesto di cloud pubblico, consiglia di concentrasi non più di tanto su clausole difficili da modificare. Meglio invece impuntarsi maggiormente sulle modalità di uscita del contratto. Un fattore distintivo per chi è in grado di assicurarlo. Così come l’assistenza, altro elemento da non sottovalutare quando si parla di sicurezza. La prontezza di intervento riduce infatti l’esposizione e di fronte a un grande operatore internazionale, non è assolutamente scontato. Per questo Macro Web Media in qualità di fornitore di cloud privati mette a disposizione numeri di telefono distinti per tecnici dedicati ad altrettante tematiche. Persone che già conoscono i processi delle aziende clienti, e i relativi software. A questo può essere ricondotto in definitiva il problema sicurezza del cloud. Gli elementi per ottenerla esistono. La sfida è conoscere tutte le proprie esigenze di azienda per individuare la migliore combinazione. Liberato dalla gestione dell’infrastruttura, il team IT può concentrarsi sulle sfide del quotidiano, in uno scenario in costante cambiamento. Più della singola realtà, è l’operatore di mestiere ad avere i mezzi per aumentare i livelli di sicurezza. Compito del CIO è valutare in dettaglio le singole offerte, senza timori di esigere risposte.

Un altro strumento a disposizione delle aziende è la threath intelligence. Capire il proprio livello di appetibilità per gli hacker e da chi bisogna difendersi. La varietà e la quantità dei potenziali attacchi è talmente elevata da rendere impossibile seguirli singolarmente. Come suggerisce Andrea Zapparoli Manzoni, è più facile porre ostacoli o provare a disorientare i criminali. Creare dati falsi, honey pot, è sempre un’alternativa valida. Oppure, sfruttare gli strumenti in grado di classificare il rischio di fronte alle singole tipologie di attacco e concentrarsi su queste. In pratica, ridurre più possibile la superficie esposta e la propria visibilità. Invece delle tanto temute black list, può rivelarsi più proficuo fornire agli utenti delle white list, cioè elenchi di software permessi, in grado di offrire alternative alle applicazioni che non si ritengono sicure.

Il tutto, sempre mantenendo il pieno controllo della situazione. Per quanto impeccabile dal punto di vista tecnico, qualsiasi organizzazione può essere messa in crisi dal cybercrime nel giro di poco tempo. La prevenzione, sotto forma di azioni e formazioni, resta la via migliore. Come ribadisce l’esperto del Clusit, “anche il progetto migliore in ambito cloud, può squagliarsi in pochi giorni di fronte a un attacco”.
ENRICO ARIOTTI, MWM Ced

#TerrazzaCloud 3: MWM CED, un cloud privato a misura di ogni azienda

Enrico Ariotti, Ceo di MWM CED racconta a #TerrazzaCloud le particolarità del cloud ibrido. Che assicura un controllo completo sulla sicurezza e sui costi. Salvaguardando il know how
Emilio Cogliani IT Manager di Continental Italia
Fondata ad Hannover, nel 1871, Continental impiega più di 178mila dipendenti altamente qualificati per 269 filiali in 46 Paesi. L’impegno dell’azienda nel settore automotive è guidare l’innovazione e il progresso in modo sostenibile e responsabile. Sul fronte IT, l’organizzazione prevede da parte dei rispettivi CIO, la gestione delle realtà locali conciliando esigenze specifiche con le direttive della casa madre tedesca. In Italia, il compito è affidato a Emilio Cogliani, chiamato a individuare le soluzioni tecnologiche in linea con le esigenze manageriali e in grado di migliorare la produttività. Il ruolo impone anche di saper integrare a livello nazionale le direttive globali e i relativi strumenti.
Francesco Ciuccarelli, CIO di Inpeco
Fondata nel 1980, dagli anni 90 Inpeco si è concentrata sull’automazione dei processi clinici. Grazie a una serie di collaborazioni con i protagonisti del settore e l’incessante ricerca di innovazione, l’azienda non si è limitata a soddisfare le esigenze dei clienti, ma si dimostra regolarmente in grado di anticiparle. Attualmente, sono 1.200 gli impianti di diagnostica installati a livello mondiale. Una struttura dove è facile immaginare quanto sia cruciale il ruolo dell’ICT affidata a Francesco Ciuccarelli. Produttività e operatività non ammettono interruzioni, così come anche il reparto ricerca & sviluppo deve

Valuta questo articolo

La tua opinione è importante per noi!

Canali
E
Executive
Argomenti trattati

Approfondimenti

C
cloud
T
terrazzaCloud
T
Trade

Prossimo

#TerrazzaCloud 2, standard o flessibile? Ma il cloud è uno o si adatta alle imprese?
#TerrazzaCloud 3, Chi ha paura delle nuvole… e perché sbaglia?

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

LinkedIn

Twitter

Whatsapp

Facebook

Mail

Link

Articolo 1 di 5


Warning: include_once(/home/digital4de/domains/digital4sfdc.dev.digital360.it/public_html/wp-content/plugins/cookiebar4wordpress/vendor/cookiebar/cookiebar/includes/templates/cookie-bar.php): failed to open stream: No such file or directory in /home/digital4de/domains/digital4sfdc.dev.digital360.it/public_html/wp-content/plugins/cookiebar4wordpress/cookiebar.php on line 42

Warning: include_once(): Failed opening '/home/digital4de/domains/digital4sfdc.dev.digital360.it/public_html/wp-content/plugins/cookiebar4wordpress/vendor/cookiebar/cookiebar/includes/templates/cookie-bar.php' for inclusion (include_path='.:/usr/local/php74/lib/php') in /home/digital4de/domains/digital4sfdc.dev.digital360.it/public_html/wp-content/plugins/cookiebar4wordpress/cookiebar.php on line 42