Eventi come l’incendio ai server Aruba o l’esposto contro Dropbox per livelli di privacy inferiori a quanto garantito, stano portando alla ribalta un aspetto spesso trascurato: il Risk Management, ossia gestione del rischio per ridurne le conseguenze, coerentemente con il budget disponibile.
Qual è lo stato dell’arte nelle aziende? Per esperienza diretta, vige uno stato di assoluta inadeguatezza in moltissime Pmi.
Come consulente in ambito Privacy e trattamento dei dati personali (d.lgs.196/2003), infatti, mi capita sovente di “mettere il naso” nelle infrastrutture IT della aziende: in prevalenza aziende medio-piccole, a conduzione familiare o costituite da pochi soci e con un limitato numero di addetti. Anche facendo uno sforzo di creatività e fantasia, mi risulta davvero difficile definire la strumentazione informatica utilizzata come “infrastruttura IT”.
Nella stragrande maggioranza dei casi avere dei PC costituisce l’architettura informatica delle aziende. Computer assegnati nominalmente e nessuna centralizzazione della gestione degli accessi, nessun controllo sulla navigazione esterna all’azienda, livelli di protezione mediante firewall demandati alla buona volontà del provider di turno.
Veniamo all’aspetto di gestione del rischio.
Benché qualcuno disponga di sistemi di continuità (per intenderci quelli andati a fuoco nella server farm aretina di Aruba), la quasi totalità non sa neppure di cosa si stia parlando. I sistemi di backup, poi, sono a dir poco fantasiosi e dimostrano la completa ignoranza in materia da parte di chi dovrebbe aver cura delle informazioni aziendali.
Per quanto riguarda le procedure di disaster recovery, pochissime azienda hanno effettuato il ripristino di dati da un backup.
Molti di questi strumenti sono stati adottati “obtorto collo” a seguito di una normativa che descrive i requisiti minimi di sicurezza, per l’appunto il Testo Unico sulla Privacy.
Quel che emerge come dato più sconsolante, è la totale mancanza di nozioni e interesse per affrontare il problema. I dirigenti – che dovrebbero avere ben chiare le conseguenze di una perdita dei dati aziendali (non solo quelli contabili) – sono i primi ad avere un’idea approssimativa del sistema su cui l’azienda si poggia.
Diventa impossibile parlare di servizi come profilazione d’utenza, comunicazione efficace, miglioramento del processo; tutti termini che non hanno alcuna possibilità di applicazione nel sistema informatico perché il “sistema informatico” è un capitolo necessario ma di cui non si conoscono le potenzialità .
In questo scenario, a cosa serve disporre di strumenti per ridurre i rischi di danni economici se poi non si è certi che siano realmente applicabili nella propria azienda?!
Avere copie di backup ma non un criterio per il loro utilizzo (Backup integrale o incrementale, tempi di retention, disponibilità dei backup stessi) a cosa serve?
Questa problematica sicuramente segna un punto a favore del Cloud Computing per risolvere il problema: per il Risk Management e il Disaster Recovery vengono trasferiti tutti i dati aziendali (contabili, amministrativi, progettuali, campagne pubblicitarie, elenco clienti/fornitori) su server esterni all’azienda così da trasferire ad altri le responsabilità .
A mio parere, però, si rischia di spostare solo il problema su un altro aspetto: la garanzia di scegliere il partner giusto (ma l’attacco a Sony sfata anche il mito della sicurezza dei grossi colossi) e di definire SLA (Service Level Agreements) tali da coprire ogni minimo rischio!
Non so dire dove sia il problema: nella carenza endemica di fondi o nel disinteresse in qualcosa che non dà un visibile e misurabile ritorno economico?
Una delle soluzioni è, a parer mio, la formazione continua sia della dirigenza che degli addetti: l’innovazione è una strada che inevitabilmente passa anche da questi aspetti.