Come supportare il business in modo efficace?
Nel corso della tavola rotonda, organizzata da Netalia in collaborazione con la rivista Office Automation, si è affrontato il tema della business continuity e delle modalità per prevenire e risolvere le situazioni di rischio.
Gran parte delle attività aziendali, oggi, dipende dai sistemi informativi sui quali si appoggiano i servizi che abilitano i diversi processi, organizzativi e produttivi. Quando si parla di business continuity, o continuità operativa, tuttavia, non è sufficiente approfondire separatamente i singoli aspetti tecnologici di un sistema. È necessario, infatti, esaminare le diverse variabili in gioco e procedere seguendo una metodologia che consenta di ridurre i rischi e/o le conseguenze dei fermi operativi innescati da un’infrastruttura IT in difficoltà, analizzando anche l’impatto economico che ne deriva. Favorire il dialogo tra persone che lavorano in aree diverse e accrescerne le competenze in area business continuity e sicurezza sono tra gli elementi fondamentali da prendere in considerazione.
Per saperne di più su queste tematiche, Netalia, public cloud service provider italiano e indipendente, ha organizzato, insieme a Soiel International, una nuova tavola rotonda sul tema della continuità operativa. Durante l’incontro, moderato da Paolo Morati, giornalista di Office Automation, sono state coinvolte aziende di diversi settori che si sono confrontate sull’argomento.
Queste sono le domande che hanno fatto da spunto al dibattito:
Oggi a suo parere quanto è sentito il tema della business continuity all’interno delle organizzazioni e quali sono i trend che lo guidano maggiormente a livello tecnologico e operativo?Rispetto a un possibile stop dell’infrastruttura IT e delle relative applicazioni, qual è l’approccio strategico e infrastrutturale che ritenete più utile alla sua prevenzione e/o risoluzione?
Qual è la soglia oltre la quale i rischi non sono più accettabili e come questi si possono quantificare?
Il tema delle competenze. Oggi come queste stanno cambiando di fronte all’introduzione di tecnologie abilitatrici del business come quelle di cloud computing? E quali sono quelle che ritenete fondamentali per condurre un processo di trasformazione digitale che supporti concretamente la continuità?
Fabrizio Alampi, CIO di Colisee Italia
Il tema della business continuity è molto sentito in area sanitaria, un settore in cui il disporre di informazioni in modo tempestivo è fondamentale. Per fare un esempio: un medico, davanti a un paziente in un Pronto Soccorso deve controllare i dati disponibili e decidere la terapia più adatta. Se i dati non sono accessibili, neanche in versione cartacea, la situazione è problematica.
Un trend evidente riguarda il cambiamento nelle modalità di considerazione della business continuity. Un tempo la focalizzazione era sulla protezione del dispositivo fisico, oggi si presta molta più attenzione alla connettività. Tanti servizi in cloud devono essere identificati, è necessario il backup ed è indispensabile conoscere le procedure in gioco. In ambito sanitario la disponibilità di un dato certo è determinante e impatta anche sul budget.
Le decisioni, in materia di business continuity, dipendono anche dal valore dato al costo, per l’azienda, del proprio fermo. Nell’ambito sanitario, il cartaceo consente di dare qualche servizio, di garantire un minimo di continuità. Se non si riesce nemmeno a dare questo, la perdita dal punto di vista economico può dimostrarsi ingente, senza dimenticare il danno d’immagine, che non ha prezzo.
Una tendenza, a livello tecnologico, è la ridondanza, che può assicurare una ripartenza più facile. In questo caso, le imprese tendono a cercare i singoli point of failure e a raddoppiarli. L’obiettivo è di non arrivare all’uso del cartaceo.
Il rischio Zero non esiste, ne siamo coscienti. Un minimo di pericolo c’è sempre: il tutto dipende da quanto, come azienda, sei disposto ad accettare, dove poni l’asticella per decidere fino a quale punto il rischio è consentibile. Per molte persone, il risk point è sempre visto in previsione dei costi, anche perché, quando il problema si verifica, non si tratta di giustificare quanto si è speso fino a quel momento in cybersecurity, ma di gestire quello che è accaduto.
Un problema importante è il monitoraggio. Disporre della tecnologia adeguata, che consenta di ripercorrere quanto è avvenuto è importante per comprendere quando le difese siano state bucate. Spesso però è difficile far capire al board che spendere in questo ambito è un investimento che prima o poi sarà ripagato.
In tutto questo l’utilizzatore è l’anello debole della catena. Si possono avere le tecnologie più evolute in ambito cybersecurity, ma se l’utente non è formato e non comprende quello che sta accadendo e cosa può fare per far fronte alle anomalie, il problema è notevole.
A volte si pensa che la difficoltà possa essere risolta chiamando il fornitore. Non sempre però si ha la garanzia che qualcuno risponda subito e dia sostegno immediato. A volte anche l’adeguato supporto ha un costo che deve essere valutato.
Per sensibilizzare le persone sulla cybersecurity, nella nostra azienda siamo ricorsi alla gamification. Premi per i migliori hanno incentivato il personale a seguire corsi sull’argomento. Test di phishing realizzati ogni mese hanno confermato che la percentuale di individui che cade in trappola è diminuita in modo esponenziale.
Jodi Entrade, responsabile infrastruttura IT e Middleware di Percassi
Percassi è una realtà imprenditoriale bergamasca, la cui area dedicata al franchising, attiva in sei Paesi europei, si occupa dello sviluppo e della gestione delle reti commerciali di brand internazionali. Lavorando in un’azienda retail, la business continuity per molto tempo non è stata tra i temi principali su cui si investiva. La tematica principale era costituita dall’espansione, dall’apertura di nuovi negozi. Più recentemente, tuttavia, sono subentrati fattori che hanno accresciuto la percezione dell’importanza della Business Continuity, primo fra tutti la pandemia.
Quando da un giorno all’altro abbiamo dovuto lavorare in lockdown eravamo pronti per farlo, ma siamo stati proiettati in una realtà in cui il tema del disaster recovery era percepito come una possibilità reale, da dover gestire anche nell’immediato.
Un altro argomento che ha accentuato l’importanza della business continuity è la security. Fortunatamente non abbiamo avuto grossi incidenti in quest’area ma, sentendo che altre imprese erano state attaccate, abbiamo iniziato a porci il problema. Di conseguenza abbiamo messo in campo alcuni accorgimenti come il backup e la protezione da ransomware mentre l’attenzione sulla business continuity è cresciuta notevolmente. Una seconda tematica che ci ha portato a considerare con più interesse l’argomento è anche il cloud, che ha dato una spinta importante alla percezione dell’affidabilità del servizio.
Spesso, ancora oggi, il rischio nella nostra realtà è percepito con una visione parziale, legata solo alla possibilità di non vendere. La necessità di intervenire sugli ERP per attività di ripristino da parte dell’IT e la perdita di tempo dovuta alla risoluzione di un problema ha implicazioni che non riguardano solo la vendita.
Stiamo adottando un approccio Zero Trust, ma un tema comune in realtà aziendali come la nostra è la mancanza della percezione effettiva del rischio. Se non si riesce a far percepire che il rischio non è solo “non vendo”, ma è molto di più, tutto quello che è investimento IT è difficile da giustificare. Per questo abbiamo in programma una fase di valutazione del rischio, che deve comprendere tutto il business, dal negozio al franchising. Importante è anche considerare le specificità di ciascun brand. Per questo deve esserci una forte collaborazione tra l’IT e il business.
Riguardo alle competenze, ci sono dirigenti che preferiscono non investire su personale tecnico interno ma esternalizzare. Personalmente preferisco un approccio contrario; perché eliminare dall’IT competenze tecniche se esistono persone formate per svolgere attività di questo tipo? Svuotare l’IT da queste abilità significa essere in balia dei fornitori.
Per la parte infrastrutturale ho scelto di avere tecnici specializzati su tematiche fondamentali, soprattutto in un’ottica di business continuity.
Quindi ho uno specialista sulla parte di networking firewall, un esperto sull’area security, ci stiamo evolvendo sull’ambito di networking, mentre seguiremo lo Zero Trust tramite un partner.
Pamela Perego, direttore IT (CIO) di MultiMedica
Prima di lavorare in una realtà sanitaria ospedaliera come MultiMedica, ero inserita in un’azienda del settore assicurativo. In questo ambito digitalizzazione e raccolta di dati, rimozione della carta erano temi già considerati nei primi anni 2000 all’interno di progetti che avevano come priorità l’eliminazione del cartaceo e lo spostamento del dato a un sistema informatico. Questo aveva quindi già allora stimolato una maggiore sensibilità verso la business continuity e la sicurezza.
Il settore sanitario, sicuramente molto sviluppato in termini di digitalizzazione delle macchine elettromedicali e diagnostiche, non ha ancora raggiunto un livello adeguato di digitalizzazione negli altri processi e la carta è ancora centrale.
La pandemia ha sicuramente accelerato la digitalizzazione attraverso la spinta del fascicolo sanitario elettronico, delle prenotazioni e della consegna dei referti online, nonché della telemedicina. Questa nuova spinta alla digitalizzazione dei processi e dei dati, nonché purtroppo i fatti di cronaca degli attacchi hacker, hanno fatto emergere con sempre più enfasi l’attenzione verso la sicurezza e la business continuity.
Se in precedenza lo strumento per assicurare la continuità delle attività era la carta, valorizzando il digitale ci si è resi conto che questo non era più sufficiente. Le informazioni sono su server, gli operatori usano il pc, il cloud è sempre più apprezzato e la connettività deve funzionare.
Per garantire continuità di servizio ai pazienti servono ridondanza, backup più sicuri e monitoraggio.
L’ultima di queste parole, il monitoraggio, è fondamentale perché consente di cogliere le falle dell’infrastruttura e agire per prevenire potenziali blocchi operativi, applicativi, infrastrutturali o legati a un problema di sicurezza.
In caso di un attacco hacker in una struttura sanitaria il primo pensiero va verso le persone ricoverate o in pronto soccorso.
Il sistema informatico è un po’ come il corpo umano; l’importante è fare prevenzione, valutare se tutto sta funzionando bene. Se, nonostante i controlli, alla fine qualcosa si rompe, è necessario intervenire rapidamente. È essenziale sapere chi chiamare e poter disporre di un team, interno o esterno in base alle caratteristiche dell’azienda, su cui poter fare affidamento.
C’è quindi una terza fase, che chiamo “di riabilitazione”. Non è un momento facile, richiede tempo e, spesso, la situazione implica stress. Se a una persona che, dopo un intervento, deve fare la riabilitazione lo stress deriva da domande come “non ti sei ancora alzato? Quando inizi a camminare”, nel nostro caso le questioni sono “ma non avete ancora sistemato tutto? Quando Internet torna a funzionare?”
Nell’ambiente sanitario, il rischio dovrebbe essere prossimo allo Zero, in quanto l’eventualità è di mettere in pericolo persone che hanno problemi di salute. Un momento down implica inoltre costi di immagine causati dall’inefficienza dei servizi, costi di ripristino e legali, potenziali multe. Un costo che ha inoltre un forte peso è la perdita di fiducia da parte degli utenti.
Parlando di competenze, le abilità chiave da sviluppare sono tecniche e informatiche. C’è anche una competenza fondamentale da sviluppare, che riguarda i processi. Saperli gestire, conoscere, attivare centri di management a sostegno dei processi sono mosse vincenti. Importante è anche una mentalità aperta al cambiamento, necessaria per affrontare un mondo che evolve velocemente.
Davide Tercelli, direttore IT del Gruppo Giochi Preziosi
L’esigenza di business continuity è più o meno percepita come importante a seconda delle caratteristiche di ogni impresa. In aziende come Gruppo Giochi Preziosi, in cui non c’è un processo critico ma un percorso molto canalizzato – perché alla fine ci occupiamo di comprare e vendere prodotti – la tematica business continuity è meno sentita rispetto ad altre società. Nonostante questa tendenza, anche in un’impresa come la nostra esistono criticità. Si fattura, ci sono persone da pagare, ci sono dati sensibili da trattare. Spesso però l’importanza della business continuity è percepita solo in situazioni di emergenza e non in ogni momento.
Con la pandemia l’interesse verso la continuità del business è aumentato. Dovendo lavorare da casa si è compreso che tutto doveva funzionare comunque correttamente, che la merce doveva arrivare a destinazione anche cambiando mezzi di trasporto e itinerari di viaggio.
Talvolta, tuttavia, la sensazione è che la business continuity continui a essere percepita come un elemento che l’IT deve gestire e non una tematica che riguarda anche il business.
Dal punto di vista tecnologico è cambiato molto. Credo sia importante considerare il tema del networking e la gestione delle applicazioni in cloud che danno all’azienda una maggiore flessibilità. Determinante è che gli IT manager imparino a diventare più multidisciplinari e a mantenere la mente aperta.
Per prevenire o risolvere i problemi è importante un approccio olistico, che analizzi tutti gli aspetti coinvolti nella gestione di una difficoltà. Anche i costi vanno considerati; gli acquisti necessari devono essere fatti tenendo presente le caratteristiche e le necessità della propria impresa.
Il nostro obiettivo in ambito resilience è garantire l’operation continuity in qualunque situazione pensabile e di permettere che i dati che le persone ci affidano non siano girati a qualcuno, interno o esterno all’azienda, che li utilizzi in maniera impropria.
Questi sono elementi importanti da esaminare; tutto il resto può essere visto anche in maniera più tranquilla e non concentrata sui costi e sulle tecnologie di fascia alta volte a gestire il rischio.
Un elemento da considerare è la resilienza, che è anche un aspetto procedurale che coinvolge persone e processi. La resilienza implica innovazione, che si traduce in un cambiamento tecnologico e di reti. L’innovazione comporta una diversa gestione delle informazioni, spesso condivise con colleghi, clienti e fornitori.
L’introduzione di nuove tecnologie talvolta è vista con sospetto dal personale che identifica questa mossa in una possibilità di perdita di lavoro.
Le persone detentrici di una cultura aziendale tradizionale, quando sentono la frase “digitalizziamo il tuo processo”, pensano a questo. C’è questa ritrosia al cambiamento soprattutto in imprese rivolte a mercati non particolarmente dinamici. Determinante, quindi, è aiutare il personale a capire e ad assumere la corretta mentalità.
Il punto di vista di Netalia
Michele Zunino, amministratore delegato di Netalia e Federico Descalzo, responsabile operation, ricerca e innovazione di Netalia
La continuità operativa è oggi un tema trasversale alle organizzazioni e non più limitato all’area IT: garantirla diventa sempre più rilevante e necessita di un approccio illuminato, che favorisca la collaborazione tra funzioni.
Al contempo, la tecnologia è diventata un elemento abilitante per il core business, valorizzata anche in ambito di go-to-market, e non più una funzione ancillare. Con lo sviluppo dei servizi e delle applicazioni digitali, in primis quelli legati all’Intelligenza Artificiale, questa tendenza non potrà che incrementare.
La figura del CIO quindi cambia, fino a identificarsi con un esperto di processi aziendali e non solo di tecnologie: si parte dai processi per poi risalire alla tecnologia e da lì tornare alla revisione dei processi. I momenti di monitoraggio possono quindi diventare occasioni per prendere coscienza delle vulnerabilità e delle modalità per mitigarle, poiché eventi come un’alluvione, una pandemia o un errore umano influiscono sulla business continuity.
Per gestire il rischio occorre definire le metriche utili a valutare le potenziali problematiche associabili a ciascun processo. La valutazione della soglia di rischio accettabile parte dall’analisi dell’impatto economico, ma la sensibilità nei confronti delle varie problematiche cambia nel tempo: sono le esigenze di business a guidare le scelte dell’impresa, talvolta le mosse dei competitor.
Un fattore importante per incrementare l’orientamento alla continuità operativa è la cultura aziendale. Un’azienda medio-piccola, per esempio, avrà come obiettivo principale la crescita. Potrà scegliere di perseguirlo ampliando il numero dei propri punti vendita. Se questo però avviene senza valorizzare adeguatamente il tema generale della sicurezza, il rischio di discontinuità aumenta anziché diminuire.
Anche le tecnologie, naturalmente, sono importanti e in continua evoluzione. In ambito cloud, la definizione del modello di erogazione è particolarmente strategica: private, hybrid, o multi-cloud corrispondono ad altrettante scelte anche sotto il profilo della business continuity, su cui il partner tecnologico deve saper dare consigli qualificati. Una raccomandazione è quella di non sottovalutare mai gli aspetti contrattualistici che legano al provider di servizi: le clausole operative ed economiche possono fare la differenza, in particolare nei passaggi evolutivi.
Se il mercato e le tecnologie stanno cambiando, mutano anche le interazioni tra player. Per esempio cambia il ruolo del System Integrator, che deve aumentare le proprie competenze sull’integrazione multidisciplinare degli ambienti cloud che i provider mettono a disposizione. Muta anche la gestione del valore: il fornitore diventa sempre più rilevante se collabora e partecipa al miglioramento del processo di business.
L’innovazione si fonda sul cambiamento. Non è solo una questione di tecnologia, di sicurezza, fruibilità, disponibilità dei dati. Se non si ha una mente aperta, se non ci si rende conto dei rischi all’orizzonte, le minacce trovano terreno fertile per realizzarsi, con conseguenze anche catastrofiche. Servono persone competenti e soprattutto con il giusto mindset.