Quanto vale il business al minuto?
Le imprese e le amministrazioni pubbliche di fronte alla sfida della Continuità Operativa. Resoconto della Tavola Rotonda Office Automation-Netalia.
Di fronte all’interconnessione globale e alla trasformazione digitale che permea ogni settore dell’economia, le imprese e le amministrazioni pubbliche italiane si trovano immerse in un contesto caratterizzato da nuove opportunità basate ‘sul dato’ ma anche a una vasta gamma di rischi e minacce.
L’accelerazione della transizione digitale ha portato a profonde trasformazioni nei modelli di business, rendendo le organizzazioni sempre più dipendenti da infrastrutture tecnologiche complesse e interconnesse.
Proprio questa interdipendenza espone le organizzazioni a una serie di vulnerabilità, che vanno dalla cybercriminalità e agli attacchi informatici fino alle interruzioni di servizio causate da eventi naturali o da crisi geopolitiche. In un contesto così dinamico e mutevole, la capacità di garantire la continuità delle attività diventa un aspetto cruciale per la sopravvivenza e il successo delle organizzazioni. Tuttavia, nonostante il riconoscimento dell’importanza della business continuity, molte realtà italiane si trovano ad affrontare sfide significative nell’implementare e gestire efficacemente le strategie e le pratiche necessarie per garantire la resilienza operativa.
Anche di fronte alla maturità delle tecnologie, alla presenza sul mercato di player sempre più specializzati, la responsabilità di garantire la prosecuzione del servizio all’organizzazione continua ad essere una sfida impegnativa per chi gestisce l’IT di un’organizzazione.
Si avverte il bisogno di una capacità orchestrativa che deve tenere insieme elementi diversi per la quale occorrono competenze nuove, difficili da reperire e da formare, che insieme a quelle tecniche richiedono il possesso di soft skill e una capacità di visione manageriale del problema.
In questa tavola rotonda realizzata da Office Automation in collaborazione con Netalia, i Responsabili IT di realtà molto diverse offrono ai lettori una visione concreta sullo stato dell’arte, in un confronto franco sul modo nel quale affrontano la sfida della Continuità operativa nella propria organizzazione mettendo sul piatto punti di forza e di criticità che non riguardano più soltanto gli ‘addetti ai lavori’ ma l’intera governance aziendale.
Queste le domande che hanno fatto da spunto al dibattito:
Quanto è sentita l’importanza della business continuity nella vostra organizzazione?
Come prevenire l’eventuale fermo dell’infrastruttura?
Esiste ancora una quantità di rischio accettabile?
Quanto contano le competenze interne nella vostra strategia di business continuity?
Carlo Giammichele – Corpo Nazionale Vigili del Fuoco – Dirigente Uff. Servizi Informatici
La business continuity è ormai un’esigenza ben presente all’interno della nostra amministrazione, e più in generale, all’interno della PA nella quale è in corso da tempo una significativa ed evidente trasformazione digitale spinta e regolata da un dettagliato e stringente apparato normativo.
Questa trasformazione rende la gestione dei dati sempre più rilevante e la loro disponibilità imprescindibile. Infatti, al nostro interno abbiamo digitalizzato molti processi ed eliminato le comunicazioni cartacee.
Detto questo, nonostante sia avvertita l’importanza della disponibilità dei dati e dei servizi digitali, il percorso per raggiungere una completa continuità operativa è lungo ed occorre stabilire le priorità di intervento per effettuare le scelte più opportune che ci guideranno lungo tale percorso. In primis occorre individuare i servizi essenziali ossia quelli che necessitano maggiormente di una continuità operativa. Tra questi ricadono quelli che interessano le missioni istituzionali dei Vigili del Fuoco come, ad esempio, i sistemi gestionali per il soccorso tecnico urgente e per la difesa civile, ma non possiamo trascurare anche alcuni servizi interni ormai indispensabili per le attività lavorative, quali la posta elettronica, i servizi di identity management, il protocollo informatico, così come non possiamo trascurare quelli esterni verso il cittadino, le imprese e gli altri enti.
È importante, inoltre, tener presente anche il contesto dinamico in cui si colloca il discorso della continuità operativa nell’ambito del nostro Dipartimento. Infatti, il percorso verso la digitalizzazione dei processi e di evoluzione dei nostri sistemi, condotto nel rispetto delle linee guida Agid e delle norme vigenti in materia quali il codice dell’amministrazione digitale, il GDPR e le misure previste per il perimetro nazionale di sicurezza cibernetica, ci ha spinto ad un forte cambiamento attraverso nuove applicazioni ed alla reingegnerizzazione di quelle legacy soprattutto nell’ottica di una migrazione verso il cloud.
In questo quadro dinamico ed abbastanza complesso dobbiamo quindi orientare le nostre scelte per perseguire la sempre maggiore disponibilità dei servizi e dei dati dei nostri sistemi informatici.
Attraverso il cloud è possibile disporre di Infrastrutture, piattaforme e servizi qualificati e certificati per gli aspetti di sicurezza che favoriscono certamente la continuità operativa. Tuttavia, occorre considerare anche alcuni aspetti apparentemente marginali ma che possono impattare negativamente sulla continuità operativa se non valutati opportunamente. Ad esempio, gli aggiornamenti automatici del software di base (sistemi operativi, dbms etc) previsto dai sistemi PAAS, dal punto di vista della sicurezza sono auspicabili ma possono avere anche un impatto negativo sulla continuità operativa se prima non vengono effettuate le opportune verifiche di compatibilità sulle applicazioni interessate che all’occorrenza devono essere ricompilate e testate.
Inoltre, il cloud richiede delle scelte oculate che riguardano le interconnessioni con la VPN dell’amministrazione relative alla capacità di banda ed alla ridondanza delle stesse, per evitare che diventino l’anello debole della catena che serve a garantire la continuità operativa.
Sul piano delle competenze necessarie, ritengo che dovrebbero essere sempre maggiori e sempre più verticali. Infatti, come abbiamo detto esistono soluzioni architetturali con complessità sempre crescenti che richiedono pertanto competenze specialistiche su vari settori.
La Pubblica Amministrazione deve avere la capacità di investire sulle competenze interne, perché esiste un tema di responsabilità verso gli investimenti pubblici che richiede una capacità e un livello di consapevolezza adeguato nelle scelte tecnologiche e nell’interlocuzione con i partner.
Certo non è semplice attrarre e mantenere le risorse particolarmente brillanti e skillate nell’IT all’interno dell’amministrazione.
Inoltre, nelle realtà pubbliche gli addetti IT devono occuparsi di tanti aspetti e coprire più ruoli.
Tutto ciò non permette di avere il necessario livello di specializzazione e competenze nei vari ambiti quali database, sviluppo software, architetture, analytics etc.
Per quanto ci riguarda, cerchiamo di agire organizzando cicli continui di formazione nei vari ambiti IT, tuttavia, tale attività formativa spesso non è sufficiente o non si concretizza nell’applicazione immediata di quanto appreso. Una strategia di crescita/trasferimento delle competenze è anche quella di affiancare il personale interno con quello esterno, oppure, su temi specifici, cercare il supporto del mondo universitario.
C’è poi da considerare che esiste la necessità di avere competenze cha vanno oltre l’aspetto tecnico, mi riferisco, in particolare, all’informatica giuridica. Oggi il settore informatico deve rispondere a norme e requisiti precisi. Occorre conoscere bene, ad esempio, il Codice dell’amministrazione digitale e la sua applicazione attraverso le linee guida Agid, che rappresentano dei veri e propri regolamenti dai quali il ‘tecnico’ non può prescindere e sui quali deve rimanere al passo.
Tutto ciò evidenzia che la gestione della Continuità Operativa richiede attenzione continua su più piani; occorre quindi una vera e propria cultura della continuità che deve essere condivisa da tutti a partire dai livelli apicali dell’amministrazione.
Valerio Foti – ADR Aeroporti di Roma – Manager ICT Networks & Infrastruttures
Chi ha la responsabilità della gestione delle infrastrutture e delle operation IT, con una particolare attenzione al tema della business continuity, può ben testimoniare quanto siano cruciali i requisiti di affidabilità e resilienza dei servizi che vengono forniti al sistema aeroporto. Si tratta di temi che ormai non sono soltanto nell’agenda del dipartimento ICT ma di tutto il business aziendale.
Anche gli aeroporti naturalmente ricadono nel PSNC, dobbiamo rispondere ad un complesso strato di requisiti di servizi definiti dal regolatore che ci obbligano a mettere al centro l’affidabilità e la sicurezza dell’informazione, e quindi la business continuity.
Fino ad un recente passato, il tema era molto tecnico o, meglio, riservato ai tecnici IT.
Il management, nel vecchio scenario, affrontava gli investimenti su temi come ridondanza o resilienza con una certa riluttanza. Oggi il contesto è del tutto diverso. Complici grandi eventi, come sono stati la pandemia o l’eco degli attacchi informatici, i rischi ai quali sono esposti i dati e i servizi informatici sono ora ben evidenti in tutte le organizzazioni e nel nostro settore in modo particolare. Questo agevola, in un certo senso, il ruolo dell’IT ma ci impegna in modo consistente. Oggi il nostro budget è impegnato per circa il 50% in servizi collegati al tema della business continuity o comunque di affidabilità dei servizi IT. Circa il 40% di Opex annuali sono dedicati al mantenimento dei livelli di servizio.
Dal punto di vista dei trend tecnologici e operativi sono state fatte delle scelte che puntano sull’investimento on premise. Abbiamo optato per una scelta active-active su due siti a distanza ottica di 40 km. Credo sia importante sottolineare che oggi, l’attenzione a questo tema, si riflette anche sul piano delle skill che cerchiamo in fase di ricerca del personale. Si tratta di competenze specifiche che non è semplice reperire sul mercato. Su questo punto abbiamo anche avviato percorsi interni di formazione significativi.
ADR si è dotata di una struttura di risk and compliance. L’IT lavora in forte sinergia con questa struttura organizzativa, misurandosi su diversi scenari di rischio: dalla gestione della supply chain alla gestione delle infrastrutture fisiche, dove verifichiamo i percorsi di arrivo al cloud; mappiamo la dipendenza che abbiamo nei collegamenti transoceanici tra Europa e Stati Uniti. In altre parole, mappiamo il rischio interno ed esterno alla nostra struttura. Da questa mappatura capiamo quali sono le contromisure possibili, sia sul piano tecnologico che organizzativo.
Di fronte a questa complessità la scelta del partner tecnologico riveste chiaramente un aspetto fondamentale. In questo ambito occorre optare per contratti di lunga durata e la scelta deve essere molto attenta. Su questo punto incide anche il fatto che ADR è un ente appaltante e rientra quindi nella disciplina del codice degli appalti.
In questa ottica il tema delle competenze interne non è meno rilevante. Magari non è più centrale la capacità operativa ma servono comunque proprio per scegliere e interagire con il partner esterno nel modo corretto. Per questo scopo ci siamo dotati di una governance operativa che riveste un ruolo importante e presidia le attività di control room e dei competence center.
Sul piano della strategia e della gestione dei rischi, per assicurare la continuità dei servizi, abbiamo definito dei periodi di freeze nei periodi di picco stagionali nelle quali non vengono rilasciate attività sulle infrastrutture. Questo significa che tutte le mantenance window vengono concentrate in altri periodi. In questa fase ogni mercoledì tutti i responsabili IT esaminano i piani operativi di rilascio. Questo ci ha consentito di minimizzare i rischi di fermo operativo non pianificati. Questa sistematica attività di controllo ci consente di quantificare la soglia di rischio. Siamo in grado di stimare sulla base degli eventi accaduti, o anche evitati sulla base delle misure prese, quali sono i livelli economici o i rischi reputazionali che possiamo affrontare. Condividiamo con il business questo tipo di fattori con la consapevolezza che se l’impatto economico può essere grave quello reputazionale può essere devastante.
Tornando sul tema delle competenze sappiamo che si tratta di un tema determinante che va ben oltre il perimetro della business continuity. Ciò che abbiamo sperimentato nella nostra realtà, in effetti, è che la specializzazione è stata demandata al partner ma abbiamo la determinazione di mantenere un background tecnologico interno in grado di interagire in modo adeguato con questi specialisti. Per esempio con competenze in grado di intervenire nelle situazioni di crisis management. A differenza di altre realtà abbiamo visto un alto turn over e, da questo punto di vista, ha rappresentato l’opportunità di acquisire persone che hanno portato un patrimonio di conoscenze diverse che per ‘contagio’ si è trasferito anche ad altri nell’organizzazione. Un’altra scelta rilevante è stata trasferire nei diversi competence center una visione più sistemica e manageriale del servizio che non si limitasse alla sola gestione tecnica del proprio ambito di intervento.
Alessandro Cimalacqua – LAZIOcrea SpA – Network & Datacenter Infrastructure Manager
LAZIOcrea è la società in house della Regione Lazio che gestisce, tra l’altro, i servizi informatici e che, per questo scopo, ha seguito l’evoluzione dell’attenzione riservata, dall’Ente, alla digitalizzazione. Nell’Ente sono maturati, negli anni, grande interesse e consapevolezza sull’importanza dello sviluppo dei propri asset informativi. Oggi c’è sicuramente sensibilità nei confronti del tema della continuità operativa. Questa maturità è frutto di un percorso avviato diversi anni addietro.
Già nel 2010 la Regione Lazio, presso il sito della Pisana dove ha sede il Consiglio regionale, ha messo in funzione un proprio sito di disaster recovery con un’infrastruttura parallela.
Le applicazioni più sensibili sono state reingegnerizzate per essere idonee a questo tipo di scenario. Il primo esperimento è consistito nella creazione di un sito secondario che conteneva una copia del dato critico, per consentire una parziale prosecuzione del servizio, a fronte di un eventuale fault generale, con operazioni da svolgere manualmente.
Intorno al 2015 si è passati invece ad un progetto di business continuity propriamente detto, attivando una componente cloud su Azure e, al tempo stesso, sono iniziati dei lavori di adeguamento del data center della Regione Lazio. Questa attività si è svolta tra 2018 e 2020. Il Data center è stato rivisto in gran parte in un’ottica di capacità di ospitare applicazioni pronte per il porting su cloud. È composto da tre sale: una, in particolare, è stata organizzata con una tecnologia di cloud privato. Abbiamo avuto una sensibilità sempre elevata nei confronti del tema, con particolare attenzione alla sicurezza del dato.
Uno degli aspetti principali, nel percorso di sviluppo di un ‘sistema’ che opera considerando un valore la continuità del servizio, è stato far comprendere, alla dirigenza e all’utenza interna, l’importanza di adottare comportamenti digitali appropriati.
Se cresce una cultura adeguata della sicurezza tra gli utenti, il rischio diminuisce in modo evidente. Siamo fornitori dei servizi informatici per una realtà articolata come un Ente locale di grandi dimensioni. Ogni Assessorato, ogni Direzione, ha l’aspettativa che il servizio sia disponibile in modalità continua e senza alcuna interruzione. Il fermo applicativo, nel nostro caso, non determina soltanto danni economici, ma soprattutto danni di immagine e reputazione dall’impatto fortissimo.
Abbiamo quindi lavorato molto sul miglioramento dell’infrastruttura. La Regione Lazio ha investito in particolare in ambito sanitario, dotandosi di una rete apposita che, al suo completamento, arriverà a coprire circa 900 sedi sul territorio. Definire, in questo quadro, quale possa essere la soglia accettabile di rischio oltre la quale possa essere ritenuto accettabile il fermo, è diventato difficile.
Lungo questo percorso anche la visione sulla formazione è cambiata. C’è un approccio più ampio anche sul piano operativo. Siamo passati da una visione molto settoriale, segmentata sulle diverse componenti IT, a una visione finalizzata alla complessiva qualità del sistema e del servizio erogato. La formazione è un elemento cruciale. Se infatti le soluzioni tecnologiche ‘promettono’ una sempre più completa automazione e capacità di presidio, avere il controllo della gestione dei servizi informatici resta un compito complesso per il quale la competenza e l’aggiornamento rimane un fattore cruciale. Si tratta di un tema che riguarda l’organizzazione utente ma anche l’ecosistema dei fornitori che, spesso, si trovano esposti anch’essi al ritmo del cambiamento. Un altro aspetto significativo, a cui è stata particolare importanza, è quello delle certificazioni; sono processi che portano ad agire secondo punti di riferimento precisi per prestazioni, requisiti e affidabilità.
Stefano Tomasini – (Ex) INAIL – Direttore Centrale CIO; Dirigente MEF
Nei dodici anni vissuti all’interno dell’Inail posso affermare di aver assistito ad un trend crescente di attenzione al tema della continuità operativa, cosa non sempre rinvenibile in organizzazioni di analoga complessità.
Specie nelle pubbliche amministrazioni, la gran parte delle questioni attinenti alla gestione del “digitale” resta sostanzialmente poco nota; la continuità operativa è poi un oggetto sconosciuto e materia generalmente relegata a “questioni tecniche” di pertinenza dell’IT.
Il periodo del Covid, però, ha contribuito a rendere maggiormente consapevoli le organizzazioni che continuità operativa, significa anche poter continuare a lavorare in condizioni diverse da quelle ordinarie, in situazioni di emergenza.
L’IT, ad onor del vero, nell’ultimo decennio ha maturato una forte consapevolezza circa la rilevanza della continuità operativa per rispondere efficacemente ai bisogni del business.
Oggi è chiaro che soprattutto nelle situazioni di crisi, oltre al presidio tecnologico, il fattore di successo è rappresentato dalle risorse umane e dall’organizzazione, dove gioca un ruolo chiave la capacità di orchestrare efficacemente le diverse funzioni, ruoli e processi aziendali.
Nel corso di questi anni l’INAIL ha definito la propria soluzione di business continuity basata sulla gestione di due siti e del sito di DR, sull’aggiornamento delle procedure di conduzione dei sistemi, sulle certificazioni (ISO 9001, 27001, 20000, ANSI TIA 942, ecc,), sulla formazione delle persone.
Con riferimento alle certificazioni, inoltre, posso affermarne la rilevanza, non tanto sotto l’aspetto formale, quanto per consolidare i comportamenti delle persone nel seguire processi definiti e condivisi.
Per quanto riguarda l’individuazione delle priorità e dei livelli di rischio accettabili, in questi anni i comportamenti organizzativi sono molto cambiati. Oggi l’ipotesi del fermo del servizio non è più considerata accettabile. Il “servizio digitale” per definizione oggi deve essere disponibile H24 e 7 giorni su 7. E mentre un tempo esistevano delle fasce orarie in cui il servizio poteva essere considerato non cruciale per consentire i necessari interventi, oggi non è più così. L’immediatezza del servizio “digitale” presuppone che questo sia sempre disponibile. Questo significa dotarsi di infrastrutture e processi che garantiscano la continuità e la scalabilità dei sistemi senza compromettere i livelli di servizio. Occorrono, quindi, strumenti idonei a monitorare e migliorare la capacità di prevedere eventuali incidenti. In Inail abbiamo cercato di affrontare il tema, puntando sulla cultura della prevenzione sia sul piano tecnologico che organizzativo.
In generale, credo che sia difficile stabilire quali possano essere le soglie di rischio accettabili. Credo che si tratti, per tutte le organizzazioni, di un limite in costante rivalutazione che, con il tempo tende sempre più ad alzare l’asticella verso l’inaccettabilità del rischio. Inail, per esempio, si interfaccia con imprese e intermediari, da un lato, e dall’altro con le persone infortunate che si relazionano con l’Ente nel momento delle cure sanitarie. A questa tipologia di utenza non puoi non garantire la disponibilità delle informazioni.
Il tema delle competenze, poi, è molto sfidante, anche a causa di una crescente indisponibilità di nuove risorse. In Inail, ad esempio, dopo aver effettuato una gap analisys del fabbisogno di personale, un assessment delle competenze disponibili in presenza di un blocco delle assunzioni (che ha nel tempo depauperato e precluso la possibilità di sviluppare internamente risorse tecniche robuste), la scelta è stata quella di valorizzare al meglio le competenze e le risorse messe a disposizione con i contratti di fornitura in una logica di ecosistema, coinvolgendo nel modo più efficace possibile le terze parti.
Reingegnerizzazione dei processi e formazione sono stati fondamentali per far crescere all’interno dell’organizzazione la consapevolezza e la competenza necessari a presidiare gli ambiti più strategici. Abbiamo selezionato e perimetrato gli ambiti più sensibili, affinando le capacità di gestione progettuale e imparando a monitorare i servizi secondo un modello di business e non solo tecnologico. Credo che la sfida oggi per l’IT sia quella di far crescere le competenze tecniche in un’ottica di governance e di visione generale sugli obiettivi dell’organizzazione.
Quando si affrontano temi delicati come, per esempio, le migrazioni tecnologiche è necessario amalgamare insieme le competenze tecnologiche dei partner con la capacità progettuale interna e la sensibilità e conoscenza del business. La complessità dell’evoluzione digitale impone anche un ripensamento dei perimetri delle singole pubbliche amministrazioni per rendere sostenibile lo sviluppo e la qualità dei servizi. Non si può più essere autoconsistenti. Consolidamento e razionalizzazione saranno i driver delle prossime strategie a livello corporate per le aziende private e ai diversi livelli di governo per le pubbliche amministrazioni.
Il parere di Netalia:
Michele Zunino – Netalia – Amministratore Delegato / Federico Descalzo – Netalia – COO
Netalia è sul mercato da quasi 15 anni, si caratterizza dalla grande attenzione ai temi regolatori e normativi relativi al trattamento del dato, ed è cresciuta in parallelo alla diffusione dei servizi cloud, in particolare del Public Cloud.
In questo lasso di tempo, abbiamo potuto constatare come sia cambiata la percezione generale sul rischio, il cui perimetro si è progressivamente allargato. Viviamo infatti nella data economy e siamo tutti (cittadini, imprese, Pubblica Amministrazione) calati in un sistema nel quale il servizio digitale è diventato il cardine di ogni processo di lavoro: deve quindi dare garanzie di tenuta elevatissime. In questo contesto evolutivo, per garantire protezione e sicurezza, le imprese sono passate da valutazioni puramente tecnologiche e di costo a un’analisi che tocca ogni aspetto della complessità organizzativa. In molti casi, è diventato opportuno includere considerazioni di natura geopolitica: abbiamo quindi la responsabilità di chiederci quali potrebbero essere i rischi di rivolgerci a realtà che operano al di fuori del sistema regolatorio nazionale o europeo, in termini di affidabilità e disponibilità.
Le organizzazioni cercano oggi soluzioni in grado di mettere al sicuro tutte le aree di rischio e sostenibili. La PA e molte imprese devono affrontare uno scenario complesso, in cui partner specializzati e qualificati fanno la differenza. Netalia mette a disposizione il valore della propria qualificazione ACN per la gestione dei dati strategici della PA, i più sensibili. Questo, insieme al valore delle tecnologie, si traduce in capacità progettuali e organizzative precise, a beneficio di processi e modalità operative.
Il problema della scarsità di competenze interne alle aziende deve essere affrontato in modo strutturato. Data per assodata la funzionalità e la presenza delle tecnologie, l’attenzione va rivolta alla BIA (Business Impact Assessment), la capacità di valutazione dell’impatto sul business. Come cloud provider, affrontiamo la sfida di far percepire a settori diversi, ognuno con esigenze e requisiti specifici, il livello della qualità che eroghiamo. È una cosa che riusciamo a sostenere grazie a livelli tecnologici molto spinti e a un intervento umano specialistico fortemente orientato all’ascolto.
Oggi il cloud, e più in generale l’IT-as-a-Service, va incontro alle esigenze di gestione delle risorse e delle competenze informatiche del tessuto delle imprese italiane, fatto principalmente di PMI. Per le realtà più grandi permane l’esigenza di mantenere un proprio strato di governance e di presidio tecnologico, esternalizzando le esigenze specialistiche.
La PA ha bisogno di un modello ancora diverso. L’avvio del PSN, il Polo Strategico Nazionale, è un buon esempio: offre la possibilità di rivolgersi a un player specializzato, crea efficienza aggregando competenze, tutela un patrimonio informativo speciale come quello pubblico. Al contempo però, in una visione prospettica, sarebbe importante far crescere le capacità e le competenze delle diverse amministrazioni per stimolare il loro ruolo di utenza attiva e consapevole.