L’emergenza sanitaria ha colto di sorpresa ogni tipo di organizzazione. La maggior parte di esse si è trovata dall’oggi al domani, letteralmente, a dover pensare a come garantire la business continuity. Da una parte trovando il modo di continuare a collaborare con i partner della filiera, dall’altra offrendo ai dipendenti la possibilità di lavorare da remoto, senza rinunciare alla sicurezza, anche se in tanti casi il bisogno di trovare soluzioni immediatamente percorribili ha messo effettivamente a rischio gli asset aziendali: dati, applicazioni, infrastrutture.
E’ il punto di partenza del confronto proposto da Alain Sanchez, Emea Ciso e senior evangelist di Fortinet, con Jorge Fernandes, Ciso presso Council of Europe Development Bank e Sai Pitta, global head Software Defined Networks Tata Consultancy Services.
Sanchez: “Nessuno avrebbe pensato che sarebbe accaduto e invece la pandemia ha davvero sconvolto i piani delle aziende. Alcuni verticali, come la sanità, si sono trovati sotto pressione da più punti di vista, anche nell’ottica di continuare a garantire un servizio essenziale ad un numero improvvisamente maggiore di persone, ed in ogni caso tutte le aziende hanno dovuto pensare a come consentire il lavoro da remoto a percentuali di dipendenti che dal 10/20% sono arrivate fino ad oltre il 90%”.
“La differenza in questi casi – interviene subito Jorge Fernandes – la fanno i business continuity plan “reali”. Non parliamo quindi dei progetti che si elaborano una tantum e che spesso poi vengono lasciati nel cassetto, parliamo piuttosto della capacità di tenerli vivi, funzionali, testarli e metterli in pratica, tenendo conto comunque che alla fase di testing non corrisponderà mai la situazione di emergenza reale, quindi si tratta di sostenere una sfida nella sfida“. Di fatto la lezione appena imparata richiama l’attenzione su tre aspetti: persone, processi e tecnologie.
Solo un piano per l’emergenza in grado di coniugare e allineare le esigenze e le sensibilità delle prime, su processi collaudati e con tecnologie affidabili consentirà di agire bene ed effettivamente di “switchare modalità”. A questo proposito, Fernandes spiega come “un approccio Bring Your Own Device (Byod) non gestito si può rivelare un’arma a doppio taglio” e afferma che quelle aziende che hanno pensato per tempo a dotare i dipendenti di dispositivi, software e piattaforme collaudate per il lavoro da remoto, “hanno corso decisamente meno rischi di chi ha dovuto chiedere ai dipendenti di lavorare da casa su device condivisi, per esempio, senza disporre di soluzioni di digital workspace adeguate”.
Se prima dell’emergenza puntare sulla mobility già rappresentava un vantaggio, la crisi porta ora le aziende a spingere ulteriormente sulla “smaterializzazione delle infrastrutture” facendo leva sul cloud che ha dimostrato effettivamente di poter sostenere i carichi di lavoro anche nei momenti critici. Anche per questo non ha senso oggi ancorarsi ai sistemi legacy, senza pensare ai processi aziendali come “processi adattativi e rinunciando al vantaggio delle tecnologie scalabili”. “Sì – conferma Pitta – dal nostro punto di osservazione possiamo affermare che le aziende più avanti nei percorsi di trasformazione digitale in questo senso sono anche quelle che hanno reagito meglio.
Tata Consulting Services a questo proposito propone il modello operativo Sbws (Secure Borderless Workspace) che permette alle aziende di sfruttare appieno le risorse facendo leva su adattabilità e resilienza attraverso la corretta formazione dei dipendenti, l’utilizzo di tecnologie abilitanti, i meccanismi di governance, le pratiche di collaboration e engagement.
Un modello trasformativo che prevede l’accesso remoto per i dipendenti, imposta un quadro definito per la sicurezza informatica (a tutela di privacy e dati) adeguato e contempla pratiche e sistemi di gestione puntuali per garantire l’allocazione, il monitoraggio e la comunicazione tra tutti gli anelli della supply chain. “Di sicuro puntare su un modello di lavoro distribuito, in tempo di “non emergenza” è un aspetto su cui bisogna continuare a lavorare, così come investire ancora di più sulla “dematerializzazione infrastrutturale” possibile con il cloud“.
“L’emergenza – incalza Sanchez – in alcuni casi ha portato le aziende a prendere in modo diverso le decisioni e la trasformazione massiva del lavoro ha giocato un ruolo importante da questo punto di vista sulla catena decisionale e delle responsabilità“. Un aspetto di cui si parla poco ma importante, la cui incidenza dipende fortemente da come è organizzata l’azienda.
“Per esempio – spiega Fernandes – le aziende che dispongono di un team dedicato alla security da questo punto di vista hanno reagito in modi e tempi diversi rispetto a quelle in cui la cybersecurity fa capo all’IT o è gestita da un service esterno e, se nell’emergenza è risultato quasi naturale fare affidamento sui Ciso, sarebbe importante tenere conto di questo anche con il ritorno alla normalità”. Il primo compito dovrebbe essere semplicemente “pensare a come ri-organizzarsi per fare meglio alla prossima occasione, sfruttare le lesson learned altrimenti si è persa una grande opportunità”.
Pitta: “Per fare meglio bisogna di sicuro puntare sulle risorse distribuite, quindi rinunciare all’idea della sicurezza come un perimetro fisico, e piuttosto investire sulle soluzioni che garantiscono visibilità e inspection puntando poi sulla collaborazione dei dipendenti e non sul loro controllo“. “Sono i dati a documentare che in smart working la produttività aumenta, il problema da questo punto di vista non si pone – insiste Fernandes -. Le aziende poi che lavorano alla sicurezza non con un approccio solo normativo, ma evidenziando i benefici di un comportamento responsabile e sicuro per gli stessi dipendenti, ottengono risultati di valore e a lungo termine”.
Per quanto riguarda invece le questionidi metodo per organizzare la sicurezza e il lavoro in futuro, Pitta evidenzia interesse per “i benefici legati alla metodologia DevOps applicata alla sicurezza (DevSecOps) non solo a quella logica”. L’idea di salvaguardare l’intero ambiente di lavoro e aziendale attraverso strategie, policy, processi e tecnologie collaudate e di poter identificare e rimediare alle vulnerabilità e alle lacune di processo prima che esse possano causare danni importanti è di sicuro interessante.
In questa emergenza per esempio è risultato chiaro come “la possibilità di poter disporre di una visibilità sull’intero “network” a livello di codice apre importanti scenari anche per quanto riguarda le possibilità di automazione” che si sono rivelate vantaggiose proprio quando è servito scalare i servizi di rete, per quanto sia importante “aspettare un livello di maturità superiore”.
Alla fine dell’emergenza le aziende si troveranno per certi aspetti a dover compiere il percorso inverso e cioè a “riportare le persone in ufficio“. Anche questa fase dovrebbe sollecitare a ripensare a modelli operativi basati sulla resilienza ma collaudati – per esempio lavorando sulle micro supply-chain, perché siano efficienti -, quindi ad essere pronti a cambiare le priorità sui progetti in corso.
Con al centro le persone. La cultura della sicurezza (Fortinet a questo proposito ha pensato a un programma di formazione Network Security Academy) prima ancora che puntando sulla tecnologia inizia con il corretto coinvolgimento dei dipendenti e punta sulla formazione (messaggio ricorrente in questi giorni), gli strumenti tecnologici ci sono, ma serve riaccelerare sui processi di trasformazione digitale abbracciando definitivamente “il digital journey”.
© RIPRODUZIONE RISERVATA
