• Risk Management di casa nostra: il cloud computing basta?

    Risk Management di casa nostra: se il cloud computing cloud non bastaEventi come l’incendio ai server Aruba o l’esposto contro Dropbox per livelli di privacy inferiori a quanto garantito, stano portando alla ribalta un aspetto spesso trascurato: il Risk Management, ossia gestione del rischio per ridurne le conseguenze, coerentemente con il budget disponibile.
    Qual è lo stato dell’arte nelle aziende? Per esperienza diretta, vige uno stato di assoluta inadeguatezza in moltissime Pmi.

    Come consulente in ambito Privacy e trattamento dei dati personali (d.lgs.196/2003), infatti, mi capita sovente di “mettere il naso” nelle infrastrutture IT della aziende: in prevalenza aziende medio-piccole, a conduzione familiare o costituite da pochi soci e con un limitato numero di addetti. Anche facendo uno sforzo di creatività  e fantasia, mi risulta davvero difficile definire la strumentazione informatica utilizzata come “infrastruttura IT”.

    Nella stragrande maggioranza dei casi avere dei PC costituisce l’architettura informatica delle aziende. Computer assegnati nominalmente e nessuna centralizzazione della gestione degli accessi, nessun controllo sulla navigazione esterna all’azienda, livelli di protezione mediante firewall demandati alla buona volontà  del provider di turno.

    Veniamo all’aspetto di gestione del rischio.
    Benché qualcuno disponga di sistemi di continuità  (per intenderci quelli andati a fuoco nella server farm aretina di Aruba), la quasi totalità  non sa neppure di cosa si stia parlando. I sistemi di backup, poi, sono a dir poco fantasiosi e dimostrano la completa ignoranza in materia da parte di chi dovrebbe aver cura delle informazioni aziendali.
    Per quanto riguarda le procedure di disaster recovery, pochissime azienda hanno effettuato il ripristino di dati da un backup.

    Molti di questi strumenti sono stati adottati “obtorto collo” a seguito di una normativa che descrive i requisiti minimi di sicurezza, per l’appunto il Testo Unico sulla Privacy.

    Quel che emerge come dato più sconsolante, è la totale mancanza di nozioni e interesse per affrontare il problema. I dirigenti – che dovrebbero avere ben chiare le conseguenze di una perdita dei dati aziendali (non solo quelli contabili) – sono i primi ad avere un’idea approssimativa del sistema su cui l’azienda si poggia.

    Diventa impossibile parlare di servizi come profilazione d’utenza, comunicazione efficace, miglioramento del processo; tutti termini che non hanno alcuna possibilità  di applicazione nel sistema informatico perché il “sistema informatico” è un capitolo necessario ma di cui non si conoscono le potenzialità .

    In questo scenario, a cosa serve disporre di strumenti per ridurre i rischi di danni economici se poi non si è certi che siano realmente applicabili nella propria azienda?!
    Avere copie di backup ma non un criterio per il loro utilizzo (Backup integrale o incrementale, tempi di retention, disponibilità  dei backup stessi) a cosa serve?

    Questa problematica sicuramente segna un punto a favore del Cloud Computing per risolvere il problema: per il Risk Management e il Disaster Recovery vengono trasferiti tutti i dati aziendali (contabili, amministrativi, progettuali, campagne pubblicitarie, elenco clienti/fornitori) su server esterni all’azienda così da trasferire ad altri le responsabilità .

    A mio parere, però, si rischia di spostare solo il problema su un altro aspetto: la garanzia di scegliere il partner giusto (ma l’attacco a Sony sfata anche il mito della sicurezza dei grossi colossi) e di definire SLA (Service Level Agreements) tali da coprire ogni minimo rischio!

    Non so dire dove sia il problema: nella carenza endemica di fondi o nel disinteresse in qualcosa che non dà  un visibile e misurabile ritorno economico?

    Una delle soluzioni è, a parer mio, la formazione continua sia della dirigenza che degli addetti: l’innovazione è una strada che inevitabilmente passa anche da questi aspetti.

    Tags:

    Se vuoi aggiornamenti su Risk Management di casa nostra: il cloud computing basta? inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. polly30 dice:

      Ok, chiedo scusa se ho mandato il commento mille volte, ma ogni volta mi saltava la pagina…cmq la sintesi è che non consocevo il Cloud Computing fino a quando non ho inziato a leggere questi post http://bit.ly/kQSV27 Ne faranno un ciclo in modo da sviscerare meglio l’argomento. L’idea mi affascina ma la cosa che più mi preoccupa è la questione della sicurezza…non vi sembra un po’ precaria?Forse sarà  la diffidenza verso le cose nuove…non so…voi che ne dite?

    2. Ferdinando dice:

      Da estimatore del software libero, i miei dubbi sul cloud non sono solo a carico della sicurezza ma soprattutto della disponibilità  dei propri dati.
      Cosa succede se l’azienda che mi fornisce tale supporto decide di raddoppiare/triplicare/…/decuplicare i costi? E se invece chiude? E se semplicemente fra XY anni decido di riportarli su un sistema che ho in casa, chi mi garantisce che ci sia un modo “smart” per trasferire i “MIEI” Tera di dati distribuiti sul pianeta?

      Inoltre la legge italiana al momento NON consente di mantenere dati soggetti alla legge 196/2003 al di fuori del territorio nazionale… e quindi, di cosa stiamo parlando?

    3. Fale dice:

      E chi l’ha detto che il cloud deve essere public cloud? Il cloud è una tencologia per il Risk Managment non una roba commerciale. Io posso benissimo creare una piattaforma cloud in-house -.-.
      àˆ davvero squallido notare queste imprecisioni in siti così…

    Commenta

    Your email address will not be published. Required fields are marked *