La sicurezza dei dati nelle PMI. Conoscerla, gestirla e ottimizzarla
1. I N N O V A Z I O N E
D I G I T A L E
IMPRESE X INNOVAZIONE
La sicurezza dei dati nelle PMI
Conoscerla, gestirla e ottimizzarla
I N N O V A Z I O N E
Questa guida è stata realizzata
grazie al contributo di Hewlett Packard Italiana.
Le guide di questa collana
sono supervisionate da un gruppo di esperti
di imprese e associazioni del sistema Confindustria,
partner del Progetto IxI:
Between Spa, Eds Italia, Federcomin,
D I G I T A L E
Gruppo Spee, Ibm Italia, Idc Italia,
Microsoft, Telecom Italia.
Suggerimenti per migliorare l’utilità
di queste guide e per indicare altri argomenti
da approfondire sono più che benvenuti:
toolkit@confindustria.it
www.confindustriaixi.it
2. D I G I T A L E
LA SICUREZZA DEI DATI NELLE PMI
Conoscerla, gestirla e ottimizzarla
PROTEGGERE E DIFENDERE bile valutare correttamente quali soluzioni
I MIEI DATI sono indispensabili, quali utili e quali inu-
tili. In ogni caso, è buona norma di busi-
Il rischio è il punto di partenza di ogni con- ness misurare il più accuratamente possibi-
siderazione sulla sicurezza o, almeno, do- le il ROI della sicurezza, come di ogni al-
vrebbe esserlo, anche perchè è un concet- tra spesa, assumendo che si tratti di inve-
I N N O V A Z I O N E
to assolutamente radicato in un’impresa. stimenti e non di meri costi.
La sicurezza informatica fornisce ai mana- Ogni azienda deve, dunque, valutare le pro-
ger strumenti di gestione del rischio di per- prie esigenze in termini di sicurezza, identi-
dita e distruzione dei dati. Nonostante ciò, ficando le aree di interesse e gli ambiti nei
la complessità delle tecnologie rende i ma- quali sarà opportuno adottare determinati
nager spesso incapaci di comprendere qua- strumenti. È necessario studiare le infrastrut-
li siano le reali minacce e, quindi, di valu- ture utilizzate, le applicazioni ed i processi
tare correttamente quali asset aziendali sia- aziendali, al fine di comprendere quali in-
no in pericolo, nonchè quanto sia grande vestimenti conviene effettuare.
tale pericolo. Inoltre, le nuove tecnologie Data l’importanza della materia, anche una
che si possono introdurre in azienda nel- norma di legge ha introdotto l’obbligatorietà
l’ambito della gestione del rischio come per tutte le aziende sia pubbliche che private
elementi abilitanti della sicurezza possono di redazione del Documento Programmatico
essere sfruttate anche per estendere ed otti- sulla Sicurezza (DPS), al fine di migliorare il
mizzare i processi di business. controllo dei dati personali sensibili ed assi-
Solo considerando tutti gli aspetti della si- curare un’adeguata protezione a tutte le ban-
curezza e, quindi, i rischi e le opportunità che dati di cui l’azienda si serve nella condu-
che un’azienda deve fronteggiare, è possi- zione delle proprie attività.
1
3. LA SICUREZZA DEI DATI NELLE PMI
D I G I T A L E
Per valutare correttamente quali siano le che agisce per divertimento, impiegando i l’azienda. Tuttavia, spesso si tratta solo di Le conseguenze di un downtime causato
proprie esigenze e quali siano le dimensio- tool che abbastanza facilmente si trovano disattenzioni o di abusi senza particolari da tali eventi sono varie:
ni del rischio, è utile comprendere e cono- sulla rete. In un rapporto risalente al 2002, secondi fini le cui conseguenze sono prin- • perdita di clienti;
scere le minacce alla sicurezza (Figura 1). ma ancora molto attuale, CSI (Computer Se- cipalmente relative alla perdita di produtti- • perdita di opportunità;
vità. • perdita produttiva;
FIGURA 1 - PRINCIPALI CAUSE DEGLI EVENTI DI INDISPONIBILITÀ DEL SISTEMA INFORMATICO Inoltre, anche sugli attacchi esterni occor- • lavoro improduttivo;
re fare dei distinguo, in quanto una cosa • costi di ripristino;
NON PREVISTI PIANIFICATI è il tentativo di intrusione successivamen- • penali;
I N N O V A Z I O N E
Errori degli operatori Errori degli applicativi Applicativi e database
I N N O V A Z I O N E
te bloccato ed un’altra è il successo di un • vertenze;
Batch application
processing denial of service, capace di mettere fuori • cattiva pubblicità;
uso un server per molte ore, fino addirittu- • perdita di valore azionario.
40% 65% ra arrivare a bloccare il servizio di un pro-
40% 10% vider, con conseguenze economiche e Occorrerà, pertanto, calcolare il valore di
d’immagine gravissime. ogni evento e stimare le perdite che potreb-
20% 13% 10% I rischi legati alla mancata protezione pos- bero derivare dalla sua indisponibilità. Se
2% Impianti sono essere di diverso tipo (Figura 2). le perdite legate alla riservatezza, all’inte-
Hardware, ambiente
network, sistemi operativi, software Backup recovery grità o alla disponibilità
Fattori ambientali, disastri ad hardware e sistemi operativi
FIGURA 2 - LA NATURA DEL RISCHIO dei dati possono essere
Fonte: Gartner Group, December 2002
quantificabili in denaro,
ALTO Disastri naturali - incendi, terremoti, ecc la componente di intan-
Disastri umani - terrorismo, danni intenzionali
Concentrandoci sulle cause d’indisponibi- curity Institute) e FBI affermano che il 90% Security breach - hacker gibilità della stessa perdi-
Denial of service
Impatto per incidente
lità non pianificata di dati e di sistemi, no- delle aziende intervistate hanno rilevato vio- Attacchi di virus ta è più difficilmente mi-
Software failure
tiamo subito che fattori legati agli errori lazioni alla loro sicurezza negli ultimi dodi- Hardware failure surabile. Si pensi, ad
umani e agli applicativi sono molto più ri- ci mesi. L’80% di queste ammette perdite fi- Power failure Application failure esempio, alla fiducia dei
levanti di quelli che naturalmente verreb- nanziarie conseguenti a tali violazioni. clienti: si configura come
Network failure
bero in mente quando si parla di cause È interessante osservare come una tenden- uno dei principali obiet-
D I G I T A L E
d’indisponibilità (ad esempio, disastri natu- za iniziata qualche anno fa negli Usa si sia Downtime pianificati tivi quando si affronta il
BASSO
rali, incendi, ecc..). affermata così rapidamente anche in Italia BASSA Frequenza relativa ALTA problema della sicurezza
Anche le minacce provenienti da Internet con un aumento degli attacchi provenienti e rappresenta un fattore
sono riconosciute come pericolosa fonte di da Internet che hanno superato quelli pro- Chiaramente alcuni eventi sono meno fre- importante per la valutazione delle spese
attacchi dei sistemi informativi, ma va an- venienti dall’interno. D’altro canto, però, quenti ma hanno un impatto in termini di necessarie. Si potrà parlare profusamente
che ricordato che nessuna azienda può dir- emerge che alcune delle violazioni interne business operation e perdite finanziarie di intangibilità della perdita, ma rimarrà il
si completamente al sicuro, ma può rende- costituiscono una minaccia potenzialmen- molto alto, altri eventi, che causano l’in- fatto che per alcune tipologie d’azienda
re sicuri i propri sistemi quel tanto che ba- te più grave, in quanto sono azioni mirate terruzione del business, invece, sono più l’affidabilità si misura oltre che sulla solidi-
sta a scoraggiare almeno l’ hacker “casua- che, se portate a termine con successo, frequenti ma con un livello inferiore d’im- tà finanziaria anche sulla sicurezza tra-
le”, quello relativamente meno preparato causano la perdita di informazioni vitali per patto. smessa e percepita dalla propria clientela.
2 3
4. LA SICUREZZA DEI DATI NELLE PMI
D I G I T A L E
trollo dei costi per il calcolo del ROI; sicu-
ramente chi fornisce un servizio di questo
tipo sarà più accorto nel non tralasciare al-
cuni costi “nascosti” che noi comunemen-
te non considereremmo come il tempo de-
dicato da ciascun addetto alla pulizia della
mail a causa dello spam.
I N N O V A Z I O N E
I N N O V A Z I O N E
Le conseguenze di un downtime variano
anche in relazione al mercato di riferimen-
to in cui le aziende operano.
Vediamo adesso un esempio di stima del
rischio e delle conseguenze effettuata su
un’ azienda di medie dimensioni operante
nel settore manufatturiero (Figura 4).
Secondo il parere degli esperti, il tempo miare 82.000 dollari all’anno se ogni utente FIGURA 4 - ESEMPIO DI AZIENDA DEL SETTORE MANUFATTURIERO CON 160 DIPENDENTI
che un’azienda impiega per riabilitarsi da non dovesse sprecare 10 minuti al giorno nel-
Dati finanziari
una perdita di dati catastrofica è diretta- la cancellazione dello spam ricevuto.
Organizzazione/Dipartimento
mente proporzionale alla probabilità che Attualmente, nonostante la quantità di mi-
Fatturato euro 19.064.829
quell’azienda ha di uscire dal mercato. nacce sia notevolmente cresciuta, anche le Costi operativi euro 18.488.819
Secondo la stima di IDC (Figura 3), ogni uten- opzioni di protezione disponibili diventa- Utili euro 576.011
te spreca circa 10 minuti al giorno per ripuli- no molto potenti e sofisticate. Appare, per-
re la propria casella dallo spam. Moltiplican- tanto, opportuno effettuare un assessment Dipendenti
do questo tempo per il costo giornaliero a per- sullo stato dei propri sistemi di difesa per Numero dipendenti 160
sona per il numero di addetti si deduce a evitare di ritrovarsi vittima di spiacevoli e Costo dei dipendenti euro 9.069.347 di downtime
D I G I T A L E
quanto ammonterebbe il costo del mancato costosi danni all’integrità del proprio patri- Costo medio per dipendente euro 56.683 non pianifica-
investimento in antispam. Ad esempio, un’a- monio di dati. A tale proposito si rivela uti- to (Figura 5).
zienda con 100 dipendenti potrebbe rispar- le l’utilizzo di tool capaci di stimare il li- Il tool BID as-
vello di rischio cui Tale analisi è stata condotta utilizzando un sume che un downtime non pianificato ad
FIGURA 3 - UTILIZZATORI DI E-MAIL
un’azienda è esposta. tool che permette di calcolare il cosiddetto un servizio critico per il business avrà co-
Tempo impiegato per cancellazione posta indesiderata (per user) 10 Minuti Inoltre si può valutare BID (Business Impact of Downtime), cioè me conseguenze:
Media annuale di (costo) risparmio possible per l’azienda 82.000 $ la possibilità di avvaler- l’impatto che l’interruzione del sistema ha • perdita immediata di fatturato;
si di un service provider sul business. • diminuzione della customer satisfaction;
Fonte, IDC Spam Study 2004. Basato su un’azienda con 100 utenti in outsourcing che sia Il tool Business Impact of Downtime (BID) • perdita di produttività;
di posta elettronica. Considerando il solo costo di produttività oraria. specializzato nel con- permette di quantificare il costo di un’ora • diminuzione del valore delle azioni.
4 5
5. LA SICUREZZA DEI DATI NELLE PMI
D I G I T A L E
FIGURA 5 - COSTI TOTALI DI PERDITA DI UN’ORA DI DATI AZIENDALI produce reports sul costo GESTIONE DELLA SICUREZZA IT ragionevole i dati di business, le appli-
totale del Downtime per cazioni software, i processi e, insieme
EFFICIENTE ED EFFICACE
Funzione aziendale impattata Valorizzazione economica della un’azienda specifica. ad esse, la reputazione dell’azienda. La
perdita Un piano di protezione ben È provato che è impossibile proteggere prima regola è formulare una procedu-
Supply chain euro 8.433 congegnato può costituire la un’organizzazione al 100%, ma l’ap- ra di sicurezza adatta all’azienda; la se-
Vendite euro 11.674 polizza assicurativa di cui si plicazione di alcune semplici misure conda è implementare efficacemente la
Distribuzione euro 5.511 ha bisogno per proteggere i (Figura 6) aiuta a salvaguardare in modo procedura mediante un programma
vostri preziosi dati. completo per la gestione della sicurez-
I N N O V A Z I O N E
Intranet euro 5.627
FIGURA 6 - SETTE “C” PER UNA GESTIONE
I N N O V A Z I O N E
za, facilmente modificabile e adattabile
Internet euro 3.244 EFFICIENTE ED EFFICACE
Riportiamo di seguito alcu- DELLA SICUREZZA IT per proteggere l’azienda dall’insorgere
Brand euro 3.180
C
ne informazioni essenziali di nuove minacce.
Costi Finanziari euro 3.170
che possono esservi d’aiu- CONTROLLARE il livello di sicurezza esistente
Customer service euro 5.444
to ad implementare un pia- CONFORMARSI alle normative Definire una procedura di sicurezza
Mancata Fatturazione euro 3.737 no finalizzato a mantenere Una procedura di sicurezza definisce il conte-
COSTRUIRE un’infrastruttura sicura
Costo totale del downtime euro 50.019 sana e salva l’azienda. sto (il framework) per un programma comple-
CONTROLLARE gli accessi alle risorse
ESEMPIO CONTRASTARE le minacce to di prevenzione, identificazione e neutraliz-
Fermo delle linee di produzione e perdita delle relative informazioni per un’ora di CHIEDERE aiuto zazione delle minacce adatto all’azienda.
attività produttiva. CONTENERE i rischi di sicurezza Tale contesto deve coprire gli aspetti relativi
La perdita di ordini di clienti già registrati comporta costi di recupero e reinserimento alla sicurezza logica e fisica, alla privacy/ri-
degli ordini.
servatezza e alla conformità normativa che
Perdita degli ordini dei distributori.
coinvolgono l’organizzazione. Il contesto de-
Costi di recupero delle informazioni del portale interno.
Costi derivanti dall’indisponibilità del portale aziendale. ve anche definire i ruoli e le responsabilità
Perdita di fiducia da parte dei clienti e danni alla reputazione aziendale. di amministratori, utenti e service provider e
Costi di riparazione delle macchine e recupero dati. prevedere un componente regolamentare
Costi di personale extra per risolvere eventuali problemi causati ai clienti. che stabilisce i comportamenti contrari alla
Costi di re imputazione e recupero delle fatture già emesse e mancata fatturazione. procedura e le azioni disciplinari che l’azien-
D I G I T A L E
da intraprenderà in caso di violazioni.
Il tool BID è basato su un modello che
quantifica l’impatto di tutti questi fattori. Di seguito sono elencati le cinque fasi che
Il calcolo che presentiamo si basa su: è necessario intraprendere per implemen-
• dati di bilancio; tare una procedura di sicurezza efficace:
• dati specifici del cliente; 1. Condurre un esame approfondito di tut-
• dati di Benchmark sulla base di statisti- ta la rete e di tutte le risorse IT a essa col-
che per industry e per segmento di mer- legate (workstation, applicazioni, dati e
cato. database, sistemi e server, dispositivi sto-
In base alle informazioni in input, il BID rage, periferiche e strumenti di servizio),
6 7
6. LA SICUREZZA DEI DATI NELLE PMI
D I G I T A L E
menti operativi, cadute di corrente e ral- guamento della procedura ai cambia- sia a livello fisico che mediante meccani-
lentamenti causati da virus. menti introdotti nell’azienda e nell’am- smi di autenticazione e/o autorizzazione.
4. Valutare i rischi e le vulnerabilità identi- biente business. Creare quotidianamente copie di backup
ficate rispetto all’importanza delle risor- dei dati e conservarle in un sito diverso.
se vulnerabili. In questo modo è possi- Implementare la procedura di sicurezza Automatizzare il backup dei desktop effet-
bile stabilire quanto tempo e denaro in- stabilita tuando a livello centrale la copia dei dati
vestire per proteggere ciascuna risorsa. Sviluppare una procedura di sicurezza è contenuti non soltanto sui server, ma anche
5. Assegnare la priorità alle varie minac- piuttosto semplice, farla funzionare è ben su laptop e personal computer. Molti drive
I N N O V A Z I O N E
I N N O V A Z I O N E
ce sulla base delle valutazioni del ri- più complesso. Grazie ai moderni tool per locali contengono grandi quantità di dati
schio e utilizzare queste priorità per la gestione dell’informazione, tuttavia, preziosi dei quali non viene effettuato il
sviluppare una procedura comprensiva l’amministrazione proattiva della sicurezza backup altrove, con il pericolo che vadano
di regole, procedure e tool di protezio- IT oggi è molto più facile e lineare. Ad irrimediabilmente perduti in caso di mal-
ne oltre che per documentare le misu- esempio, è possibile utilizzare le informa- funzionamento del computer su cui si tro-
re disciplinari e di altro genere da in- zioni di auditing per definire le abitudini vano.
traprendere in caso di violazioni della d’uso con l’obiettivo di evidenziare le vul- Tenere presente che tutti i dati di cui viene
procedura stabilita. nerabilità, rilevare e bloccare le intrusioni; effettuato il backup a livello centrale devo-
oltre che di qualunque altro sistema in- filtrare i contenuti, neutralizzare i worm e i no essere copiati, tipicamente su un server
dipendente in uso nell’azienda. Tra i vari aspetti, la procedura di sicurezza virus, e automatizzare gli aggiornamenti e separato situato altrove, a scopo di archi-
2. Documentare il ruolo di ognuna di que- dovrebbe contemplare: l’implementazione delle patch software viazione e backup. Verificare regolarmente
ste risorse informative, evidenziando A) L’uso appropriato dei sistemi di posta evitando di sprecare tempo prezioso. tutti i sistemi di backup (almeno due volte
quelle critiche per la sopravvivenza del- elettronica e di instant messaging dell’a- È importante sottolineare come la protezio-
l’azienda, senza dimenticare i processi zienda. ne dei dati si articoli su due aspetti fonda-
di business da esse utilizzati e supporta- B) Misure appropriate per proteggere i dati mentali: definire misure di sicurezza ade-
ti né gli utenti che ne fanno uso. È ne- operativi (ad esempio, informazioni re- guate ed effettuare regolarmente il backup
cessario inoltre documentare le risorse lative a dipendenti, clienti e contabilità) dei dati. Secondo una recente indagine
fisiche che proteggono queste risorse in- e le altre informazioni sensibili. condotta da “Quocirca”, negli ultimi dodi-
D I G I T A L E
formative, come porte di sicurezza, C) Procedure per rispondere a minacce al- ci mesi, il 50% delle PMI non ha verificato
computer room protette, sistemi di bac- la sicurezza, tentativi di intrusione, per- la propria capacità di effettuare il recovery
kup on-site e off-site, ecc. dite di dati e malfunzionamenti di rete dei dati dai backup esistenti. Questo dato
3. Analizzare singolarmente e complessi- o di sistema. L’utilizzo e la cura di pro- indica che al verificarsi di eventuale perdi-
vamente le reti e le risorse documentate tocolli e sistemi di autenticazione (user ta di dati e contemporanea indisponibilità
al fine di identificare i rischi e le vulne- name e password). dei backup i problemi per le aziende sareb-
rabilità potenziali. Tra i rischi più comu- D) Infine, per mantenere aggiornata la pro- bero enormi.
ni figurano accessi non autorizzati, dif- cedura di sicurezza, è opportuno inclu-
fusioni di informazioni riservate, perdite dere una funzione built-in di Per salvaguardare più efficacemente i dati
o danneggiamenti di dati, malfunziona- auditing/revisione atta a facilitare l’ade- è opportuno: proteggere l’accesso ai dati
8 9
7. LA SICUREZZA DEI DATI NELLE PMI
D I G I T A L E
all’anno) per accertarne il regolare funzio- ducete enormemente il rischio e pratica- frastruttura può scalare in modo da sod- Ambienti LAN
namento. mente vi garantite la possibilità di soprav- disfare le esigenze aziendali in continua Il backup basato su LAN (Local Area Network)
Installare gruppi elettrici di continuità per vivere a un evento catastrofico. evoluzione? viene spesso utilizzato dalle aziende che ese-
evitare perdite e danneggiamenti dei dati guono processi continui con più server e
provocati da cadute di corrente. Implemen- È essenziale scegliere una soluzione per la Il primo passo nella pianificazione della vo- workstation. I dispositivi di backup di storage
tare sistemi data storage ad alta disponibi- protezione dei dati adatta alle vostre esigen- stra soluzione per la protezione dei dati è sono collegati alla rete aziendale e gestiti cen-
lità tolleranti ai guasti nel caso in cui le at- ze e in grado di risolvere problemi quali: capire di che tipo di ambiente IT disponete. tralmente da una sola console mediante un
tività dell’azienda dipendano dall’accesso • il collegamento di un’unità nastro a cia- solo server di backup, per una notevole ridu-
I N N O V A Z I O N E
I N N O V A Z I O N E
costante ai dati. scun server causa una duplicazione di ri- Ambienti DAS zione dei costi hardware e del tempo dedica-
Fare il backup dei dati è l’attività più impor- sorse che potrebbe essere razionalizzata Il DAS (Direct Attached Storage) è il più to alla gestione. Le aziende che dispongono
tante per garantire la business continuity. diversamente; semplice ambiente di backup e ripristino e, di backup basato su LAN in genere:
• la distribuzione del backup in molti siti in genere, consiste di un’unità nastro colle- • necessitano di operazioni business-criti-
BACKUP, UNA GARANZIA complica notevolmente la pianificazione gata direttamente al server che protegge. Le cal continue;
DI BUSINESS CONTINUITY della gestione e del disaster-recovery; aziende che dispongono di un ambiente • necessitano di backup giornalieri o ad
• la rete aziendale ha dimensioni sufficien- DAS in genere: ogni ora;
Dicono che per ogni problema esiste sem- ti a gestire il volume di traffico prodotto • necessitano di backup solo giornalieri o • dispongono di più di cinque server in rete;
pre una soluzione. Infatti, esiste un sistema quando vengono effettuati i backup? L’a- settimanali; • eseguono sistemi operativi multipli;
infallibile che chiunque può adottare per zienda è in grado di gestire le finestre di • dispongono di meno di cinque server in • hanno bisogno di automatizzare i proces-
proteggere i propri dati. È sufficiente farne backup in modo da lasciare libera la rete rete; si di backup;
il backup! Ovviamente, questa importante durante le ore di lavoro? • necessitano di un solo sistema operativo; • non sono in grado di prevedere la cresci-
attività può essere eseguita facilmente e a • I server dedicati per il backup offrono l’u- • non necessitano di operazioni business- ta del volume dei dati.
un costo irrisorio dal semplice utente pri- tilizzo migliore delle vostre risorse? L’in- critical on line.
vato, ma quando si parla di aziende occor- Ambienti SAN
re stabilire un vero e proprio piano di busi- Le aziende che dispongono di una SAN (Stora-
ness continuity. ge Area Network) hanno caratteristiche simili a
quelle che dispongono di una LAN. Inoltre:
D I G I T A L E
Anche le aziende possono avvalersi di • hanno una rete complessa e di grandi dimen-
un’ampia gamma di potenti programmi di sioni, che necessita del 100% di uptime;
backup e ripristino facilmente reperibili in • probabilmente dispongono anche di uno
commercio. In parole povere, questi soft- staff IT dedicato, i loro dati subiscono
ware risiedono in un server autonomo che una crescita esponenziale e hanno la ne-
scatta una serie di “istantanee” delle infor- cessità di ripristino immediato.
mazioni che desiderate proteggere, ad in- Un sistema SAN offre backup sofisticato
tervalli regolari impostati da voi stessi. Ese- che fornisce:
guendo il backup dei dati, non scongiurate • elevati livelli di scalabilità per capacità
completamente il rischio di perderli, ma ri- di dati e prestazioni;
10 11
8. LA SICUREZZA DEI DATI NELLE PMI
D I G I T A L E
• una rete di backup dedicata che consen-
DOCUMENTO PROGRAMMATICO LE TESTIMONIANZE DELLE IMPRESE
ta alla LAN di offrire tempi di risposta più SULLA SICUREZZA
rapidi agli utenti della rete;
Cosa è il DPS
• l’opportunità di utilizzare storage assisti- Nata in Italia nel 1960, Tenax è oggi una del-
È l'unico documento in grado di attestare
to per il ripristino immediato; le più importanti realtà al mondo per la pro-
l'adeguamento della struttura alla normativa sulla
• procedure di ripristino semplificate con duzione di reti in plastica e geosintetici. Que-
tutela dei dati personali (Dgls n. 196/2003). Redatto
backup diretto dai server applicativi. entro il 31 marzo di ogni anno, il DPS è un manuale sto genere di prodotti ha molteplici campi di
applicazione: si considerino, ad esempio, le
I N N O V A Z I O N E
di pianificazione della sicurezza dei dati in azienda:
I N N O V A Z I O N E
Per ovvi motivi, i dati di backup devono es- descrive come si tutelano i dati personali di recinzioni utilizzate in agricoltura o nel giar-
sere archiviati in un luogo diverso dai server dipendenti, collaboratori, clienti, utenti, fornitori ecc. dinaggio, le reti da imballaggio o per uso edi-
che intendete proteggere. Non esiste una so- in ogni fase e ad ogni livello (fisico, logico, le, le reti più tecniche impiegate nell’industria
luzione semplice e veloce per gestire in ma- organizzativo) e come si tuteleranno in futuro o nell’ingegneria civile. Tenax ha perciò svi-
niera completa la sicurezza IT. Tuttavia, svi- (programmazione, implementazione misure, verifiche, luppato un catalogo di oltre 3.000 referenze
luppando una procedura e un programma analisi dei risultati ecc.). In ogni caso si tratta di un ed è cresciuta nel tempo fino a diventare un
di gestione della sicurezza adeguati, modifi- consistente piano di gestione della sicurezza, gruppo internazionale con un fatturato annuo
disponibilità ed integrità dei dati, avente data certa a
cabili rapidamente in modo da fornire pro- di circa 120 milioni di euro e un organico di
prova formale dell'adeguamento sostenuto. Il numero
tezione contro le nuove minacce, un’azien- quasi 800 persone. In Italia l’azienda è pre-
delle pagine di un manuale medio è di 150 pagine. Precisazioni
da può disporre di strumenti efficaci per pro- Manuali inconsistenti e improvvisati di 10-15 pagine, Il documento deve avere data certa e deve essere sente con tre sedi (il quartier generale di Viga-
teggere i dati business, le applicazioni soft- non solo sono carta straccia e delle inutili perdite di aggiornato annualmente. Il testo unico impone come data nò, in provincia di Lecco, e due unità produt-
ware, le attività e, aspetto ancor più impor- tempo e soldi, ma non servono a niente ai fini per la redazione e l'aggiornamento il 31 marzo di ogni tive a Rieti ed Eboli), ha un fatturato annuo di
tante, la business continuity e la propria re- dell'adeguamento e della garanzia in caso di controlli. anno. Si consiglia di non aspettare l'ultimo mese utile per la 45 milioni di euro e circa 250 dipendenti.
putazione. messa in regola della vostra struttura, perché potrebbe non
Molti degli inconvenienti riscontrati dalle pic- Scopo del DPS bastare. Innovazione tecnologica continua
cole aziende sono riconducibili a forze ester- Descrivere la situazione attuale (analisi dei rischi, Operando in un settore altamente tecnologico,
ne: il ristagno dell’economia, una calamità na- distribuzione dei compiti, misure approntate, distribuzione Una copia del DPS deve essere custodita presso la sede per Tenax ha sempre dedicato grande attenzione
turale, un dipendente di vitale importanza che delle responsabilità ecc.) ed il percorso di adeguamento essere consultabile e deve essere esibita in caso di controlli. e risorse alla ricerca, alla sperimentazione, al-
D I G I T A L E
prescelto dalla struttura per adeguarsi alla normativa Una documentazione in linea con la norma BS7779 e le
decide di licenziarsi. È dunque logico che le le collaborazioni scientifiche e alle sinergie
privacy. linee guida ISO 17799:2005 permette di costruire e
aziende in grado di sopravvivere in tempi di con affermati istituti universitari. Fin dagli an-
mantenere nel tempo i processi che determinano e
congiuntura sfavorevole siano quelle che ri- ni Sessanta, l’azienda ha perseguito la strada di
Tempi di stesura del DPS definiscono ruoli, responsabilità e procedure conformi agli
ducono al minimo i rischi, adottando delle Certamente non ci si mette a norma in un giorno, obiettivi del Sistema di Gestione per la Sicurezza delle una continua innovazione tecnologica e ha
precauzioni essenziali. Una delle prime pre- come si legge su certi siti... il documento Informazioni. contribuito alla definizione di nuovi standard
cauzioni è la protezione dei dati aziendali più programmatico richiede una attenta valutazione della nei processi di estrusione tradizionalmente im-
importanti. situazione aziendale e dei trattamenti effettuati. Per Il titolare del trattamento deve dare conto nella relazione piegati.
Tutti questi suggerimenti concorrono alla re- questo motivo i tempi di stesura del DPS variano da accompagnatoria del bilancio aziendale annuale La scelta di sviluppare al proprio interno tutte
dazione del Documento Programmatico sulla tre settimane a due mesi. dell'avvenuta redazione/aggiornamento del DPS. le innovazioni di prodotto e di processo ha di
Sicurezza (DPS). fatto caratterizzato la storia dell’azienda,
12 13
9. LA SICUREZZA DEI DATI NELLE PMI
D I G I T A L E
Proteggere il business migliorando conto che la nostra infrastruttura IT non era
la sicurezza dei sistemi IT più sufficiente, soprattutto dal punto di vista
Anticipando l’entrata in vigore del dgls. n. Fondata nel 1913 da Francesco Rigamonti, l’a- della capacità di elaborazione. L’introduzione
196/2003 relativo al Documento Program- zienda inizia la propria attività in un laborato- dell’euro e l’esigenza di adeguare il sistema
matico sulla Sicurezza (DPS), Tenax ha svi- rio artigianale situato nel centro storico di Son- informativo ci hanno convinto a compiere un
luppato una soluzione di backup che assi- drio. intervento radicale di trasformazione, anche
creando un vantaggio competitivo rispetto ai cura la massima protezione delle informa- La bresaola riscuote in breve tempo notevoli per aprirci alla posta elettronica e al Web”, ri-
concorrenti. zioni e dei messaggi e-mail. Questa solu- apprezzamenti, soprattutto fra i turisti che vi- corda Paolo Mazza, direttore amministrativo
I N N O V A Z I O N E
I N N O V A Z I O N E
La funzione IT di Tenax è oggi composta da zione permette di recuperare i dati degli sitano la Valtellina per curarsi grazie all’aria di Rigamonti. Il nuovo gestionale, rivolto prin-
sette professionisti, che si occupano di tutti gli utenti fino al mese precedente, giorno per salubre di montagna. cipalmente alla funzione contabile-ammini-
aspetti legati alla tecnologia informatica: dallo giorno. Il backup viene infatti eseguito quo- La struttura cresce in modo costante negli strativa, ha portato con sé la necessità di im-
sviluppo dell’ERP alla gestione degli applicati- tidianamente e, per i servizi più critici, ad- anni e vengono aperte altre due unità pro- plementare una soluzione server basata su tec-
vi, dai servizi Web all’assistenza help desk. Fi- dirittura ogni quattro ore. duttive a Poggiridenti e Mazzo di Valtellina, nologie standard. In questa fase, il principale
no a quattro anni fa l’infrastruttura era basata È stato inoltre necessario innalzare il livello di fino a raggiungere una superficie complessi- vantaggio della tecnologia è stata la possibili-
su una quindicina di server ma, non essendo sicurezza del server di posta, che rappresen- va di 27.000 metri quadrati. Il boom della tà di snellire alcune procedure interne ed
stata definita una chiara suddivisione dei pro- tava il punto potenzialmente più vulnerabile produzione arriva negli anni Novanta, quan- esterne, tra cui ad esempio la gestione dei con-
cessi, i sistemi risultavano nel complesso po- dell’intera infrastruttura. Il sistema è stato in- do viene riconosciuto il valore nutrizionale tratti con la GDO.
co efficienti e molto onerosi in termini di ma- nanzitutto protetto grazie ad una soluzione an- della bresaola e la sua possibilità di utilizzo Sono questi gli anni in cui la crescita del-
nutenzione. tivirus e antispam, poi si è proceduto a sepa- in diete e regimi alimentari a basso conte- l’azienda è più rapida e diventa indispen-
L’esigenza di mantenere elevato il livello di rare il server mail privato e pubblico. nuto calorico ed elevato apporto proteico. sabile aggiungere un modulo software per
qualità offerto ai clienti ed essere vincenti dal “Questa particolare configurazione ci tutela Rigamonti conta oggi 300 dipendenti e van- la gestione della produzione, aumentare il
punto di vista del time-to-market ha convinto anche in caso di accesso da remoto alla posta ta un fatturato annuo di quasi 100 milioni di numero delle postazioni di lavoro e poten-
Tenax a riprogettare l’architettura IT per ren- elettronica”, precisa l’ing. Rigamonti. “La si- euro. ziare la rete LAN che collega i tre stabili-
derla più affidabile e sicura. curezza dei dati e l’integrità delle informazio- menti produttivi, così da avere a disposi-
Affidabilità ed efficienza sono senza dubbio i ni è del resto una delle nostre priorità, per cui La tecnologia come elemento zione un’infrastruttura IT ad alte prestazio-
vantaggi principali della nuova infrastruttura di abbiamo cercato di proteggerci da ogni mi- di vantaggio competitivo ni ed elevata affidabilità.
D I G I T A L E
Tenax. “Abbiamo a disposizione delle funzio- naccia che possa derivare da virus, spam, hac- La crescita di Rigamonti è stata accompagna-
nalità completamente nuove, come la possibi- ker e tentativi di accesso non autorizzato alla ta da un’infrastruttura informatica che, evol- “Dovendo massimizzare la qualità dei proces-
lità di accedere al server di posta da remoto. nostra rete”. vendo nel tempo, ha sempre garantito un ade- si interni, abbiamo dovuto risolvere due pro-
Possiamo così ricevere ed inviare e-mail anche Considerando i buoni risultati raggiunti fino- guato supporto al business dell’azienda. Ini- blemi fondamentali, ovvero garantire la trac-
quando siamo fuori ufficio, utilizzando dispo- ra, Tenax continuerà ad investire in questa di- zialmente basata su sistemi proprietari, verso ciabilità di ogni prodotto e dei suoi compo-
sitivi come notebook e palmari”, precisa l’ing. rezione anche nel prossimo futuro. la metà degli anni Novanta l’architettura IT è nenti, e assicurare il collegamento in tempo
Rigamonti. “Anche la gestione del server proxy “Il ruolo dell’IT in Tenax sta cambiando per- stata rinnovata per implementare un ambien- reale tra le diverse sedi”, spiega Wilson Cor-
è migliorata in modo significativo e oggi pos- ché oggi la tecnologia rappresenta la base del- te client/server in grado di sostenere il softwa- radi, responsabile IT di Rigamonti. “Ogni ope-
siamo controllare l’utilizzo di Internet attraverso la maggior parte dei nostri processi”, conclu- re gestionale allora in uso. raio utilizza infatti un lettore di barcode per
un’attività più puntuale di reportistica”. de Amanzio Rigamonti. “Alla fine degli anni Novanta ci siamo resi identificare le unità prodotte e lavorarle in mo-
14 15
10. viazione dei dati storage, tutto ciò grazie alla
realizzazione di una Storage Area Network.
Ciò consente a Rigamonti di potenziare all’oc-
correnza solo una delle due parti; i sistemi so-
no infatti indipendenti fra loro, tutti caratteriz-
zati da ottimi livelli di flessibilità e scalabilità.
“Nonostante sia aumentata la complessità del-
la nostra infrastruttura, siamo riusciti ad otti-
I N N O V A Z I O N E
do conforme ai livelli qualitativi definiti, ad mizzare i costi di gestione e non è stato ne-
esempio nella fase del bilanciamento degli cessario aumentare il personale IT interno.
aromi. La connessione continua al sistema in- Possiamo però garantire prestazioni decisa-
formativo centrale consente di trasmettere in- mente superiori agli utenti e alla rete nel suo
formazioni e ricevere istruzioni sui vari pas- complesso”, aggiunge Paolo Mazza.
saggi di lavorazione, per cui è necessario ope- Anche il parco PC è stato progressivamente
rare in tempo reale per minimizzare i tempi rinnovato negli ultimi anni: “Avere un’archi-
di inattività”. Con il supporto di rivenditori tettura monomarca e interamente basata su
specializzati in queste soluzioni, Rigamonti ha tecnologie standard riduce al minimo i pro-
quindi ridisegnato la propria infrastruttura IT blemi di compatibilità e ci permette di sfrutta-
per migliorare l’affidabilità e la sicurezza com- re meglio le sinergie tra i vari dispositivi”, pro-
plessiva dei sistemi, che devono essere sem- segue Wilson Corradi.
pre disponibili e garantire la continuità dei Nell’ottica di garantire la continuità delle atti-
processi aziendali. L’architettura proposta ha vità aziendali e la massima disponibilità dei
sostanzialmente eliminato i fermo macchina, sistemi informatici, Rigamonti ha affidato ad
assicurando i massimi livelli di efficienza ed un operatore esterno anche la gestione del ser-
efficacia. Tutti questi sistemi sono stati instal- vizio di assistenza tecnica affinché, in caso di
lati nella sede centrale di Montagna in Valtel- guasto ad uno dei server, l’operatività sia ri-
D I G I T A L E
lina, dove risiede il data center di Rigamonti. pristinata entro quattro ore. “L’obiettivo di
L’esigenza di conservare dati e informazioni quest’anno è consolidare la nuova infrastrut-
in modo sicuro è stata risolta con una soluzio- tura e completare il progetto in tutti i suoi det-
ne di backup innovativa. Questi sistemi sono tagli”, conclude Paolo Mazza. “Per noi l’in-
stati collocati in una palazzina secondaria del- formatica non è un costo, ma un’opportunità
la sede di Montagna, così da essere disponi- per gestire meglio le varie attività di Rigamon-
bili anche in caso di incendio o eventi straor- ti e continuare ad offrire ai clienti il massimo
dinari. Un altro vantaggio della nuova archi- livello di qualità. Oggi il nostro successo è le-
tettura è la separazione della capacità di ela- gato anche alla disponibilità di tecnologie
borazione dei server dalla capacità di archi- avanzate ed affidabili”.
16