Le infrastrutture IT diventeranno strumento e bersaglio sia di conflitti geopolitici sia di guerre commerciali. Se l’unione fa la forza contro le minacce alla sicurezza delle imprese, quale sarà l’impatto sui CIO?
Il Gruppo Bosch è presente in Italia dal 1904, anno in cui fu inaugurato il primo ufficio di rappresentanza a Milano. Lo sviluppo di Bosch in Italia è proseguito negli anni ampliando notevolmente le aree d’interesse, trasformandosi da semplice sede commerciale a vera e propria realtà industriale. Nel 2012, Bosch Italia (www.bosch.it) con i suoi oltre 5.800 collaboratori ha conseguito un fatturato di due miliardi di euro. Oggi, la Bosh Italia, su tutto il territorio nazionale, conta 16 società e quattro centri di ricerca, costituendo per il Gruppo uno dei mercati più importanti a livello mondiale.
Con Lucio Gallina, regional manager IT per il Gruppo Bosch in Italia, incontrato nel corso di IT2020, il progetto organizzato da S3.Studium (www.s3studium.it) di Domenico De Masi, abbiamo parlato di sicurezza informatica. Un primo grande tema, in materia di sicurezza delle informazioni e di protezione dei segreti industriali è quello dell’intreccio fra le istituzioni politiche e il sistema delle imprese. «Si tratta di un tema posto all’attenzione dal caso Snowden-NSA – ricorda Lucio Gallina – ma che in realtà è già da tempo oggetto di forte attenzione, sia sul versante pubblico che su quello privato. Su questa materia, ovviamente, i governi dispongono di una “potenza di fuoco” assai superiore a quelle delle imprese, anche quelle più grandi e ben organizzate. In tal senso, la possibilità dei servizi informativi dei governi di penetrare nei sistemi informativi delle singole aziende resterà un dato con cui confrontarsi anche nel prossimo futuro».
Per certo, l’incremento dell’utilizzo di Internet genererà una moltiplicazione degli attacchi. Poiché la gran parte delle relazioni commerciali e una buona parte delle relazioni interpersonali si svolgeranno utilizzando strumenti informatici (e dato che le infrastrutture IT mantengono memoria di tali relazioni anche a prescindere dalla nostra volontà), i dati sensibili – sia delle imprese, sia dei cittadini – saranno sempre più oggetto di minacce.
Data Manager: Le aziende come devono comportarsi nei confronti della sicurezza informatica?
Lucio Gallina: La strategia di risposta delle imprese, a questa come alle altre minacce, sarà quella di abbandonare l’idea di potersi difendere da sole e di puntare quindi sulla collaborazione, “cloudizzando” il proprio ambiente e gestendolo quindi assieme. Questo varrà per le grandi aziende, ma anche e soprattutto per quelle piccole, prive delle risorse per darsi delle efficaci difese autonome. La componente di rischio, derivante dal mettere il sistema informativo della propria impresa sotto uno stesso “tetto”, assieme a quello di molte altre, verrà ampiamente bilanciato dal fatto di affidarsi a imprese fornitrici altamente specializzate, che daranno conto delle strategie di utilizzo e offriranno feedback sistematici sui risultati.
Cosa succederà sul fronte governativo?
Se la difesa di base verrà dalla messa in comune, fra privati, dei sistemi di protezione delle informazioni, non si può escludere che nei prossimi anni si rafforzi la collaborazione, a livello europeo, fra gli attori pubblici e quelli privati. Si tratta di un tipo di collaborazione che già oggi è assai forte in alcuni ambiti critici per i Governi (si pensi ai sistemi di difesa militare). I governi europei metteranno in campo molta energia e molte risorse, da qui al 2020, per evitare che le imprese dei propri paesi siano esposte agli attacchi provenienti da altri continenti. Se questo tipo di esigenza si porrà con forza in molti paesi europei, assai diversa sarà la situazione a livello italiano, dove le imprese rischieranno di trovarsi prive di un’interlocuzione adeguata sul terreno delle strategie per la sicurezza.
Come si comporteranno i pirati informatici?
Gli hacker sono una minaccia, ma possono essere anche un’agguerrita categoria di esperti. Questa tipologia di consulenza strategica – e costosa – per molte imprese, ha in molti casi una dimensione prevalentemente nazionale, ma è assai probabile che nei prossimi anni tenderà a internazionalizzarsi, esattamente come è avvenuto o sta avvenendo per le altre tipologie di fornitori. D’altronde, questo tipo di figure sono già oggi necessariamente globalizzate dal punto di vista delle competenze e dei sistemi di cui si avvalgono a prescindere dalle origini nazionali.
Come cambieranno le competenze?
Su questo terreno, che pone evidentemente fortissimi problemi di affidabilità e garanzia, si evidenzierà l’importanza della collaborazione fra le imprese clienti, per condividere informazioni sui risultati offerti dalle imprese di consulenza. D’altronde, se le grandi imprese saranno dotate di professionalità interne, capaci di valutare l’azione e le competenze dei fornitori di servizi per la sicurezza, per le piccole aziende l’unica forma di difesa sarà la condivisione. Insomma, di fronte alla globalizzazione dell’offerta, sarà soprattutto lo scambio di informazioni fra imprese a offrire garanzie di affidabilità, poiché le autorità nazionali avranno concretamente pochi strumenti di controllo sulla correttezza etica di questo tipo di operatori, tanto nei paesi, come quelli europei, in cui la regolazione dei servizi professionali è sviluppata, quanto in quelli in cui invece i sistemi di regole sono più fragili.
Quale sarà il nuovo paradigma?
L’evoluzione dell’approccio alla sicurezza informatica andrà oltre il semplice potenziamento dei sistemi esistenti, con tecnologie magari più avanzate e sulla carta più sicure, ponendo l’esigenza di cambiare l’attuale paradigma di controllo con altre modalità operative. Per proteggere il sistema informativo aziendale mentre si utilizzano sempre più sistemi aperti, si dovranno utilizzare tecniche e programmi di crittografia e protezione dei documenti più efficaci e potenti. Il nuovo paradigma della sicurezza comporterà non solo una forte attività di aggiornamento professionale sui responsabili della sicurezza dei dati, che dovranno ridisegnare l’impostazione della sicurezza, ma contemporaneamente un ridisegno degli strumenti di monitoraggio degli accessi e di controllo dei documenti.
Oltre all’azienda nel suo complesso, anche il singolo utente dovrà possedere strumenti di controllo dei documenti (aziendali, ma anche personali) potenti per evitare l’accesso incontrollato e per poter inviare in rete tali documenti in modo che possano essere letti e stampati solo dalle persone abilitate a farlo.
Come cambierà il mercato?
Le grandi aziende e le multinazionali continueranno a puntare sulle server farm interne con staff dedicati alla sicurezza e un security manager come collaboratore diretto del CIO corporate. Le piccole e medie aziende, invece, cercheranno i servizi relativi alla sicurezza sul mercato o comunque affideranno i propri dati e applicazioni ad aziende vendor in grado di garantire e certificare la sicurezza delle applicazioni. L’offerta crescente del cloud e di commodity di servizi di disaster recovery consentirà maggiore possibilità di programmi di business continuity anche per servizi IT di basso profilo. Ai vendor sarà richiesta a livello contrattuale la certificazione di application security. Una delle linee di business più prolifiche delle startup IT sarà quella della application security. In Italia, il settore della sicurezza informatica e crittografia resterà nei prossimi anni modesto dal punto di vista della numerosità delle imprese specializzate.
LUCIO GALLINA STORY
Nato a Novara nel 1956, sposato (una figlia), nazionalità italiana. Background tecnico, inizia la sua carriera professionale nel gruppo SICAM, nell’area della supply chain nel mondo FIAT negli anni 80, dove si occupa di production planning, procurement e logistica fino a diventare responsabile dell’intera area. In Bosch Italia, è dapprima responsabile della logistica strategica, poi nel 1991 passa alla divisione IT come project leader per l’implementazione di SAP in Europa. Oggi, è il regional manager IT per il Gruppo Bosch in Italia.