Sotto il titolo di Industry 4.0 sono stati inclusi temi assai complessi ed in rapida evoluzione. Mentre si sta ancora ragionando sull’ IoT, le applicazioni di Artificial Intelligence sono già in uno stadio avanzatissimo (si stimano investimenti tra i 26 e 36 miliardi di US $ nel solo 2016). Queste tecnologie consentiranno di aumentare i ricavi e diminuire i costi; infatti, ad esempio, permettono di prevedere l’andamento della domanda, ottenere un rapido aumento nei volumi di prodotto ai fini di ottimizzare i processi, diminuire i cicli di sviluppo, aumentare l’efficienza, prevenire i difetti, automatizzare processi rischiosi, ridurre i costi del magazzino.
Le aziende piccole e medie sono preparate ad affrontare questo futuro prossimo? Hanno la dovuta visibilità di ciò che comporta il cambiamento a livello strutturale e di modello di business? Hanno la giusta visione di come operare la transizione?
Pensiamo ad esempio alla robotica ed ai robot che già oggi sono in grado di sostituire dei lavoratori e a quali conseguenze sull’organizzazione del lavoro porteranno; o quale organizzazione impostare ai fini di individuare i dati che consentono di prevedere la domanda, in modo anche da ridurre il magazzino con sensibili risparmi.
Siamo quindi in un momento complicato.
E’ pertanto comprensibile che un tema trascurato nei convegni e nelle pubblicazioni sia quello che riguarda la sicurezza. Però il “time to market”, le aspettative di qualità da parte del cliente, la regolamentazione italiana ed europea, richiedono che le applicazioni siano sviluppate velocemente, qualitativamente resilienti, di alta qualità, e sicure (protezione dei dati personali dalle minacce di perdita di riservatezza, disponibilità, integrità, ed auditabilità): ciò comporta cooperazione e collaborazione a livello dell’intera azienda, controllo della supply chain, sviluppo applicativo “agile”, attenzione ai Cyber Physical Sistems (CPS), ecc.
In contemporanea, la concorrenza, grazie proprio al cybercrime, è ancora più agguerrita e pericolosa; si parla addirittura di “crime-as-a-service”, ossia, un concorrente compra sul mercato nero un attacco ad una azienda; l’attacco può consistere nell’impedire al sito web di funzionare, nel rubare le fatture e le email dell’azienda con i propri clienti e fornitori, nel distruggere gli archivi, nel rubare ricerche e studi in corso, e così via.
Non ultimo, organizzazioni terroristiche hanno fatto del cybercrime la loro arma: siamo infatti nel corso di una cyberwar. Si comprende pertanto che la sicurezza dei sistemi digitali assume un ruolo primario.
Le aziende sanno cosa va fatto? In termini di sicurezza senz’altro: ci sono gli standard internazionali (ISO 22301; ISO 27001; ecc.) e la normativa. Recentemente il CIS ha diffuso delle istruzioni base, il framework nazionale, indirizzato proprio alle PMI.
Il problema, a quanto sentiamo dalle aziende di minore dimensione con le quali siamo in contatto, non è su “cosa”, ma è sul “come” fare.
Soprattutto con i progetti innovativi in corso, i mutamenti di scenari e le restrizioni di budget, la sicurezza rischia di rimanere indietro nei progetti aziendali. ANSSAIF, avendo molti soci che dopo una lunga esperienza in sistemi informativi si sono occupati di Security (a 360°) per tanti anni, è stata lieta di dare dei suggerimenti a quei soci o imprenditori che non sapevano come affrontare il momento di trasformazione in atto.
Quali suggerimenti abbiamo dato? Ci vorrebbe un libro per citarli! Però posso dire che il primo suggerimento è stato quello di partire dalla presa di coscienza della propria cultura del rischio. E’ fondamentale conoscere se stessi, ossia, la visione degli stakeholders. Partire da lì.
Ad oggi, alcune aziende hanno potuto cogliere degli spunti che hanno permesso di poter risolvere delle problematiche urgenti (con bassissimi e a volte nulli costi, con le sole risorse interne) ed impostare un approccio, condiviso a tutti i livelli della organizzazione, per affrontare i nuovi progetti.
Se la macchina della Sicurezza è ben impostata a livello dell’intera azienda, concetti quali la “security by design”, la business continuity, il crisis management, l’ICT risk management, non sono più un incubo.
ANSSAIF, così come immagino le altre associazioni che si occupano da tanti anni di sicurezza, in questo momento non facile e di grande trasformazione sono senz’altro liete di dare gratuitamente dei suggerimenti alle tante piccole e medie imprese italiane.
Anthony Cecil Wright
