Assintel Report 2019: spesa, priorità e cambiamenti organizzativi in ambito ICT in Italia
Assintel Report 2019: la trasformazione digitale deve essere veramente compresa e inserita in una strategia bene precisa per trarne beneficio.
Tutti gli articoli dedicati a prodotti, tematiche e soluzioni relativi allinfrastruttura IT aziendale
Ricerca in ambito IT 2018: dati e tendenze in Italia
Negli articoli precedenti abbiamo trattato il tema della valutazione di un nuovo software in azienda e di quali sono le best practice per affrontare questo progetto nel migliore dei modi. Oggi invece diamo uno sguardo a come si sta muovendo il mercato e quali sono i cambiamenti nel ruolo dell’area IT nelle aziende italiane.
Per farlo abbiamo preso in analisi il report Insight Intelligence Technology Index che ha come scopo quello di fotografare il livello di adozione e l’impatto delle nuove tecnologie su un panel di aziende di nove Paesi europei. Per quanto riguarda l’ambito italiano, sono stati coinvolti 100 responsabili IT di aziende di diverse dimensioni.
Breve conclusione: questo reparto sta acquistando un’importanza sempre più rilevante e strategica per il business aziendale, ma nonostante ciò continuano ad essere presenti molte criticità.
I dati più rilevanti
Il dato che spaventa maggiormente è la valutazione da parte dei responsabili IT della propria area. Infatti circa il 76% dei rispondenti è convinto che sia destinata al fallimento per l’incapacità di puntare verso l’innovazione. Il problema che frena l’ascesa di progetti innovativi è la mancanza di tempo (43%). Supportare e manutenere i sistemi informativi già presenti occupa gran parte delle attività quotidiane, rubando del tempo alla ricerca di strumenti più evoluti ed innovativi.
Il reparto IT, infatti, non è attivo solo durante i progetti di software selection, anzi, si occupa del corretto funzionamento e controllo dei sistemi informativi, dell’infrastruttura e della sicurezza dei dati aziendali: monitoraggio e valutazione delle problematiche legate alle applicazioni e alle loro funzionalità e poi aggiornamenti, sviluppi, implementazioni,… insomma, numerose attività che non lasciano spazio ad una corretta valutazione del mercato e di nuove tecnologie, ma portano gli IT a concentrarsi solo sulla gestione dei sistemi e servizi già presenti in azienda.
Il 67% dei responsabili IT lamenta esigenze in conflitto e risorse insufficienti. Infatti emerge che le scelte tecnologiche sono influenzate dalle richieste e dalle esigenze di tutti i reparti: per il 26% dalla produzione, per il 15% dal customer service, logistica e supply chain 15% e infine vendite (11%) e marketing (8%).
Sviluppando esigenze diverse, la conseguenza è che molto spesso, le richieste di progresso tecnologico espresse dall’IT non siano accolte con lo stesso entusiasmo dal resto dell’azienda. Vengono viste come troppo innovative rispetto ai processi di business, ancora fermi alla gestione delle attività in maniera tradizionale. Quello che manca è una corretta definizione di ruoli e responsabilità (circa per il 38% delle imprese) ed un allineamento tra le pratiche di business e il supporto all’innovazione che potrebbe fornire il reparto IT.
A conferma di ciò, anche noi molte volte, durante l’analisi delle esigenze di aziende intenzionate a rivoluzionare i processi aziendali, ci siamo imbattuti in realtà dove la volontà di adottare soluzioni software per automatizzare e supportare le attività quotidiane si scontrava con il radicamento al “abbiamo sempre fatto così” delle risorse operative.
Budget in aumento e investimenti nel cloud
Un aspetto positivo è che il budget dedicato all’IT è in crescita: il 50% afferma che il budget 2018 è superiore rispetto al 2017 di circa il 20%. Sembrerebbe quasi un controsenso se poi risulta che per l’86% dei casi, una delle principali fonti di preoccupazione degli IT italiani sia il controllo dei costi, contro il 79% della media europea. Nonostante questo aumento, il budget risulta comunque insufficiente. Viene ancora visto come un costo, piuttosto che un investimento quindi speso per per la gestione e la manutenzione dei sistemi già presenti e delle risorse dedicate a queste attività piuttosto che per progetti rivolti all’innovazione.
Infine, dati molto positivi a favore del cloud, che per il 61% si rivela una scelta molto utile per rendere più flessibile la funzione dell’IT e quasi il 100% delle aziende che hanno investito nel cloud nel 2017 ne hanno tratto benefici. Il cloud infatti, slega l’azienda da investimenti economici legati all’adozione di un’infrastruttura adeguata, garantisce la sicurezza dei dati e la manutenzione che rimane a carico del fornitore. Si parla di vantaggi non solo economici, ma anche organizzativi.
“Benefici che derivano dagli investimenti nel cloud”
In conclusione, se da un lato i responsabili IT devono ancora trovare il giusto equilibrio tra una corretta definizione del proprio ruolo, la gestione delle attività quotidiane e le richieste espresse dai diversi reparti, la tendenza è quella di ottimizzare il supporto all’organizzazione aziendale e riuscire a liberarsi da attività a minor valore aggiunto per concentrarsi maggiormente su progetti innovativi.
Fattore umano: l’anello debole per i cyber criminals
Il cybercrime esiste da quando è nato lo spazio cyber ma solamente ora si è evoluto a tal punto da colpire anche le aziende leader con sistemi di sicurezza reputati inviolabili. Di fronte a tale realtà come stanno reagendo aziende e istituzioni?
La preoccupazione verso le minacce informatiche è aumentata e con essa anche i provvedimenti per tutelare maggiormente i propri sistemi. I top manager per esempio hanno cominciato a prendere seri provvedimenti, a partire da un’adeguata formazione e l’adozione di tecnologie all’avanguardia per proteggere la propria struttura IT. Nonostante queste misure, a marzo 2017 l’Italia, che sembrava sulla giusta strada in termini di sicurezza informatica, è salita di “un’altra posizione nella classifica globale, divenendo il secondo paese più colpito in Europa.”
Come fare quindi per proteggersi dal cyber crime?
Come si è potuto constatare, adottare tecnologie super avanzate serve a poco se poi non si ha un’adeguata conoscenza in termini di security IT e, nonostante si sappia che il fattore umano in questo contesto è la principale causa di attacchi IT, molte aziende ancora non investono nella formazione del personale. Il rapporto 2017 di Verizon ha riportato “42.068 incidenti di sicurezza e 1.935 violazioni provenienti da più di 84 paesi” sostenendo che “gli attacchi che sfruttano il fattore umano” sono ancora un tasto dolente.
Le istituzioni si stanno impegnando per migliorare la sicurezza IT ma molte aziende, come confermano diversi indagini, non sembrano ancora aver capito l’importanza di difendersi adeguatamente. Come già detto, il fattore che incide di più e che porta ad accedere più facilmente ai dati sensibili è il fattore umano. I cyber criminali sfruttano soprattutto quattro aspetti principali del comportamento umano per convincere gli utenti a rivelare informazioni: entusiasmo, distrazione, curiosità e incertezza.
La formazione prima di tutto
Molti dipendenti sottovalutano il problema e commettono errori banali ma fatali. L’81% di violazioni hacker è avvenuta tramite password rubate, password che si possono definire deboli. Gli accorgimenti principali che si dovrebbero prendere sono semplici ma se attuati possono davvero evitare catastrofi. In primis è importante formare il personale: un’adeguata cultura in materia di sicurezza e di difesa IT permette di individuare la maggior parte delle minacce. Il secondo suggerimento consiste nel consentire l’accesso a determinate informazioni solo ed esclusivamente a personale che ne ha bisogno per poter eseguire il proprio lavoro. Crittografare i dati sensibili è il terzo consiglio che i più esperti si sentono in dovere di dare perché i dati crittografati risultano difficili da decifrare quindi inaccessibili.
In ultimo ma non per ultimo, implementare una buona protezione di base può davvero fare la differenza. Vuoi iniziare a fare la differenza? Comincia dalla nostra suite di prodotti: Kaspersky, Spamina, Nagios e Veeam sono alcuni dei più importanti leader a livello internazionale in materia di security e sono nostri partner, perché vogliamo offrirvi i migliori servizi in termini di efficienza e affidabilità.
Cybercrime: le tendenze per il primo semestre 2018
Eccoci arrivati a luglio di questo 2018, pronti per trarre un bilancio di ciò che è successo da gennaio a oggi, nel primo semestre di quest’anno punteggiato di attacchi informatici sempre più insidiosi.
Dal “Cyber Attack Trends: 2018 Mid-Year Report” di Check Point Software Technologies emerge chiaro un dato: il cybercrime sta diventando sempre più forte e i crimini sono aumentati.
E si parla di una percentuale notevole, poiché dal 20,5% di imprese attaccate del 2017, siamo passati al doppio con ben il 42%.
Gli attacchi celebri tra il 2017 e il 2018 sono stati parecchi. Ricordiamo ad esempio il virus Taxalolo con le sue 88 aziende colpite solo in Italia, Bad Rabbit o andando un pochino più indietro WannaCry. La loro fama, dovuta ai danni provocati, è servita a farli uscire dalle testate giornalistiche di addetti ai lavori e a portarli anche sui media generalisti. Eppure non è bastato per convincere le aziende ad adottare politiche serie di prevenzione e protezione, tant’è che gli attacchi negli ultimi mesi sono raddoppiati.
Sistemi in cloud sotto attacco
Una delle novità riscontrate nel rapporto è che sono aumentati gli attacchi alle infrastrutture cloud. Ma qual è la causa? Non ci avevano giurato che il cloud è più sicuro proprio perché più controllato?
Innanzitutto bisogna considerare il fatto che queste tendenza è del tutto naturale: la scelta del cloud da parte delle aziende è aumentata esponenzialmente negli ultimi tempi, proprio per i vantaggi che ne derivano. È quindi logico che diventi il principale target delle organizzazioni criminali, che ovviamente mirano al massimo guadagno.
Inoltre, come abbiamo sempre detto, il cloud è vantaggioso ma dipende dal fornitore, che deve essere serio e in grado di proteggere con misure sempre aggiornate i sistemi che gli vengono affidati.
Oltre alla scelta del fornitore giusto è fondamentale poi adottare alcune best practice che possano garantirci la sicurezza di sistemi e dati.
Formazione prima di tutto
Una considerazione che ad esempio va fatta è che spesso gli attacchi sono resi possibili dall’ingenuità delle persone, che con leggerezza cliccano su un link sbagliato o si fidano di mittenti di e-mail fraudolente. A volte quindi basterebbe semplicemente un minimo di formazione a tutti i dipendenti per bloccare all’ingresso qualsiasi tentativo di attacco, che una volta avviato è molto difficile da fermare.
D’altra parte più il progresso tecnologico avanza, più i criminali troveranno sempre nuove strade per attaccarci e quindi l’aggiornamento e la formazione costante sono la prima e fondamentale arma contro questi malfattori.
Backup e ripristino: la prudenza non è mai troppa
Eppure a volte accade che l’attacco arrivi nonostante tutta la prudenza possibile. Cosa fare in quel caso? Anche in questa situazione basta un pochino di lungimiranza. Se i tuoi dati e i tuoi sistemi sono al sicuro con backup programmati e un ripristino rapido, puoi arrivare a ridurre in modo drastico le conseguenze di una qualsiasi interruzione del lavoro.
Il livello di servizio, cioè la frequenza con cui eseguire il backup e il tempo di fermo che la tua azienda è in grado di sopportare, è qualcosa che si può definire in base a un analisi del rischio stabilita da esperti del settore.
Se poi si vuole abbandonare ogni preoccupazione, è possibile affidare tutto questo in outsourcing a un fornitore di fiducia, che si occuperà di garantire la sicurezza con le tecniche e le tecnologie più all’avanguardia.
Banche e openbanking: è arrivato il momento di cambiare?
Recentemente ho letto un articolo de Il Sole 24ORE dal titolo “L’innovazione in banca parte dalla piattaforma” in cui si promuoveva il concetto di openbanking e di utilizzo di piattaforme open per rispondere al meglio al mercato, sia ai clienti che ai competitor.
L’openbanking sembrerebbe la risposta ai problemi del mondo bancario, da troppo tempo monolitico e poco aperto alla collaborazione.
Partiamo dal problema. Per le banche le sfide di oggi, definite sfide 4.0, sono riassumibili in questi punti:
- concorrere con competitor del tutto nuovi al settore (es. Big tech) a cui il digitale ha aperto le porte
- affiancarsi a partner moderni e innovativi per essere più affascinanti nei confronti dei clienti, soprattutto per i millennials
- rispondere più velocemente e con servizi sempre accessibili alle aziende
- migliorare l’efficienza aziendale, migliorando i processi e riducendo i costi
La piattaforma dell’openbanking abiliterebbe la collaborazione e il contatto tra banche e soggetti innovatori per lo sviluppo di nuove soluzioni che da una parte migliorano il rapporto con la clientela e dall’altra efficientano i processi operativi. Si tratta di un ecosistema in cui banche, startup e altri player possono collegare le proprie soluzioni, competenze, tecnologie e servizi per ridurre i costi e velocizzare i processi di innovazione e risposta ai clienti.
«Laddove c’è un forte brand il marketplace proprietario può funzionare, ma in caso contrario diventa più efficiente il modello della piattaforma aperta a servizi diversi, anche di soggetti concorrenti» [Paolo Gianturco, partner Deloitte, Fintech & Fsi Tech Leader]
Per fare ciò è necessario lo sviluppo di una piattaforma tecnologicamente moderna, aperta e quindi in grado di integrare diversi programmi. Si parla quindi di API (application programming interface), cioè di connettori, e di opensource. Termine che ha sempre spaventato le banche per questioni di sicurezza e protezione di rete e dati, ma che oggi torna in auge e anzi viene promosso poiché raccoglie tutti i vantaggi di cui oggi le banche hanno bisogno.
Un openbanking basato su una piattaforma open source è quanto più di open si possa pensare. Sarebbe uno scardinamento a 360° del tradizionale sistema bancario, statico e chiuso, che è stato anche il freno al motore dell’innovazione e della competizione.
Una migliore predisposizione all’opensource da parte delle banche era emersa anche dallo studio condotto da NextValue (che puoi scaricare gratuitamente a questo link).
Il dato interessante che emerge dal report è sull’utilizzo di questa tecnologia tra le aziende del mondo finanziario: più dell’80% dichiara, infatti, di ricorrere e far uso di sistemi opensource.
Superati gli ostacoli che impedivano all’open source di varcare la porta delle banche, oggi ritroviamo questa tecnologia in maniera diffusa tra gli istituti, anche se si concentra su processi non-mission critical a indicare che comunque prevale un approccio più cauto. Sui problemi di sicurezza e risk management l’open source ha fatto passi da gigante negli ultimi 10 anni e la percezione delle imprese Italiane sembra essere migliorata. Un po’ come è stata recentemente la paura del cloud.
Cosa ha spinto le banche a introdurre l’opensource?
Per definizione, l’accesso pubblico al codice sorgente riduce i costi legati alle licenze ed alla manutenzione. Eppure, sebbene il principale beneficio resti il contenimento dei costi (71%), più della metà del nostro panel (53%) ha individuato la facilità di accesso all’innovazione come fattore chiave per l’adozione di software open source. L’open source permette infatti di testare nuove soluzioni senza rischiare. Grazie ad un ampio set di componenti ed una forte riduzione dei costi è possibile sperimentare nuove idee e prototipare nuove soluzioni, con un investimento minimo in termini di tempi e risorse.
Ed ecco che ritroviamo quanto scritto precedentemente: in un mercato dove la competitività si gioca sulla velocità e adeguatezza delle risposte al cliente – sempre e ovunque- sulla riduzione dei costi di gestione e sull’aumento dell’efficienza ecco che l’open source si rivela uno strumento in grado di guidare il settore in questa corsa verso l’innovazione.
Openbanking e open source potrebbero dunque rivelarsi la chiave di volta per l’immobilismo delle banche italiane e fornire nuova linfa ad un mercato che viene sempre più minacciato dai nuovi player, big tech prima di tutto.
Progetti open source per ambienti mission-critical
“L’open source non è più un tool di nicchia con un impatto ristretto ai processi non-mission critical delle imprese italiane. Al contrario, le soluzioni open source sono sempre più utilizzate per guidare il processo di innovazione delle core-operations e la loro adozione in processi mission critical è ormai prevalente.” Questo è quanto viene affermato nel report di NextValue, secondo cui più del 63% del panel utilizza progetti open source in ambito mission-critical contro un 56% in ambito non-mission critical. Nello specifico:
Nonostante la titubanza di alcuni, molte aziende stanno utilizzando piattaforme open source anche per progetti complessi e centrali nelle politiche aziendali, definiti appunto più in generale come mission-critical per indicare i processi/attività essenziali per la corretta operatività della propria impresa. Per interpretare le dinamiche future, è stato chiesto al panel se nella scelta futura di un software sarebbe disposto a valutare una soluzione open. È emerso che “l’84% dei rispondenti intende valutare soluzioni open source in futuro: il 59% per l’automazione di processi non-mission critical, il 43% per l’automazione di processi mission-critical. Considerando le scelte singole, il 24% del panel intende focalizzarsi esclusivamente su processi mission-critical, il 40% solo su processi non-mission critical, mentre il 19% del panel su entrambe le aree.”
Open source e mission critical: sì o no?
Ad oggi il mercato è caratterizzato da una forte personalizzazione. Questo comporta per le aziende di ogni settore e di ogni dimensione di rispondere in tempi brevi con prodotti/servizi di qualità.
Le aziende si trovano quindi a dover fare di più con meno tempo e spesso con poche risorse.
La soluzione a tale problema è proprio l’open source, sfruttato nei processi core business aziendali proprio perché permette di innovare e personalizzare rapidamente e contenendo i costi. Quello che però molte aziende non considerano è che è necessario implementare le stesse misure e accortezze che si applicano per l’introduzione di soluzioni informatiche “tradizionali”, a maggior ragione se si tratta di processi mission-critical.
Cosa intendiamo dire nello specifico?
L’open source ha diversi vantaggi tra i quali c’è il sostegno fondamentale della community che permette di sviluppare al meglio una soluzione. Uno però dei problemi più frequenti è che spesso le aziende “non hanno le competenze, oltre che le risorse (in termini di tempo e costi) per interagire con la community e trarne così vantaggi reali quali flessibilità, velocità e risparmio di tempo e costi.” È quanto afferma lo stesso G. Anguilletti, Country Sales Italia di Red Hat, leader nell’offerta open source.
La collaborazione con l’azienda vendor rappresenta in questo caso il valore strategico perché permette di valutare per esempio il livello di maturità dei sistemi informativi e capire quanto siano “pronti” o meno a determinate soluzioni. La cooperazione diretta consente inoltre di formare adeguatamente tutte le risorse per la corretta gestione delle core operations.
Certo è che formare adeguatamente le risorse e implementare misure di sicurezza come per le soluzioni IT tradizionali rappresenta un costo diverso. Vi chiederete quindi se l’open source sia davvero una scelta strategica.
Per rispondervi, riporto quanto affermato da una ricerca IDG (IT mission critical: l’evoluzione delle infrastrutture a supporto delle nuove tecnologie):
“Customers now have greater access to and dependence upon mission-critical data via the applications they use, and they expect results more quickly than they did in the past. If a customer can’t place an order with one store, there’s another alternative just a few clicks away. That means any system involved in fullfilling the transaction needs mission-critical performance and availability because a system failure can impact not only revenue but a company’s reputation in the industry.”
In poche parole, i clienti si aspettano maggior velocità e performance nelle transazioni rispetto al passato, quindi qualsiasi errore potrebbe incidere molto negativamente sulla stessa reputazione aziendale. La ricerca riporta un esempio tipicamente appartenente al mondo B2C, cioè un cliente che, di fronte a un ordine online, decide di interrompere la procedura perché l’applicazione è troppo lenta e poco intuitiva. Lo stesso concetto vale anche per il mondo B2B.Un esempio?
Un CRM intuitivo può fare la differenza nella gestione clienti e rendere questi ultimi soddisfatti e quindi fidelizzati. Ad esempio, con un sistema di raccolta segnalazioni online che permette sia al personale interno che ai clienti di inserire con facilità in un CRM intuitivo eventuali richieste e avere la sicurezza di rispondere a tutti in tempi brevi.
Rapidità, personalizzazione, alto livello di prestazione sono tutte caratteristiche che oggi incidono molto anche nel business to business. Per riuscire dunque a stare a passo con le richieste e i cambiamenti repentini del mercato odierno servono soluzioni scalabili, ma soprattutto affidabili, dato che stiamo parlando sempre di processi mission-critical.
Nonostante dunque i costi iniziali di investimento, necessari per gestire al meglio e in modo integrato hardware, application, processi e risorse, l’open source rimane comunque una soluzione vantaggiosa perché consente di rispondere in tempi brevi e apportare qualsiasi modifica-personalizzazione in qualsiasi momento.
Progetti open Source e Mission-Critical con le giuste attenzioni
Axioma, che ha sviluppato diverse soluzioni sfruttando una piattaforma Java opensource, è consapevole di quali servizi potrebbe aver bisogno un’azienda per poter gestire al meglio e a lungo termine i propri progetti open source e mission critical. Nello specifico i servizi di Axioma comprendono:
- Consulenza nell’individuazione di prodotti open source e Java
- Consulenza nell’uso di piattaforme per lo sviluppo di applicazioni
- Formazione e supporto sull’uso di piattaforme open source per lo sviluppo di applicazioni gestionali
- Consulenza sull’architettura delle applicazioni open source
- Sviluppo e aggiornamento di applicazioni gestionali in Java
- Installazione e configurazione di prodotti open source
In questo modo hai la sicurezza di portare a termine un progetto e di gestirlo al meglio, con tecnologie sicure e innovative.
Vuoi saperne di più? Dai uno sguardo a quali soluzioni abbiamo implementato grazie a una piattaforma open source Java!
Innovare rapidamente con una piattaforma Java
L’Open source è la nuova frontiera dello sviluppo anche in ambiente enterprise e i motivi sono molteplici. Come si può vedere dal grafico estrapolato da una ricerca di Nextvalue, in relazione ai benefici prodotti da un software open, in pole position troviamo la riduzione dei costi di acquisto delle licenze, al secondo posto la facilità di accesso all’innovazione e in terza posizione l’estrema velocità e facilità di accesso al codice.
L’aspetto interessante da sottolineare è che il potenziale del modello open non viene più semplicemente e solamente ricondotto ai costi ridotti come lo era fino a qualche anno fa. Quello che porta alla scelta di una piattaforma open è soprattutto l’opportunità di innovare rapidamente, caratteristica in particolare di una piattaforma Java. Andiamo a scoprire perché!
Open Source sì…. ma Java
“Eppure, sebbene il principale beneficio resti il contenimento dei costi (71%), più della metà del nostro panel (53%) ha individuato la facilità di accesso all’innovazione come fattore chiave per l’adozione di software Open Source. L’Open Source permette infatti di testare nuove soluzioni senza rischiare. Grazie a un ampio set di componenti e una forte riduzione dei costi è possibile sperimentare nuove idee e prototipare nuove soluzioni, con un investimento minimo in termini di tempi e risorse” Nextvalue Report “Open Source in Italia: what’s next.”
Ma c’è di più. Quello che accomuna il panel interrogato dalla ricerca svolta è la scelta del linguaggio di programmazione. Si è evidenziato infatti come incida particolarmente una piattaforma Java. Alla domanda infatti sull’uso, il panel ha risposto riportando i seguenti risultati: “solo l’8% dei rispondenti non ne fa uso. Il 38% pur utilizzando Java preferisce altri linguaggi di sviluppo, mentre per il 54% del panel Java è il linguaggio più utilizzato.”
È interessante notare come “questa percentuale sale al 71% nel settore banche e finanza, al 67% nel Commercio, Distribuzione e Servizi, al 60% nella Pubblica Amministrazione e in generale al 61% nelle aziende Top del panel, segmenti in cui Java si attesta come linguaggio dominante per le organizzazioni con un team di sviluppo Open Source.”
Perché sviluppare soluzioni in Java
Il linguaggio Java è infatti uno dei più usati e l’opzione preferita dalla maggior parte degli sviluppatori. La sua notorietà è provata dal fatto che 9 milioni di sviluppatori lo utilizza, testandolo e migliorandolo in continuazione.
Vi starete chiedendo perché proprio Java, perciò scopriamone i motivi:
- si tratta di un linguaggio di alto livello, funzionale, conosciuto per lo più come linguaggio di script per pagine web, ma utilizzato in molti ambienti browser
- considerato semplice, robusto e sicuro, risponde alla filosofia “write once, run everywhere”. Si tratta infatti di un linguaggio che può essere eseguito su qualsiasi altra piattaforma senza bisogno di riscritture
- consente di adottare forti strati di astrazione, favorendo la robustezza del software ed eliminando molte problematiche di configurazione semplificando l’integrazione di diverse tecnologie e componenti di basso livello
La peculiarità delle piattaforme Java sta nell’alto livello di scalabilità, affidabilità e nell’opportunità di una gestione trasparente e semplice dei dati provenienti da diverse fonti.
Holon Platform stessa si presenta come una piattaforma di sviluppo Java per creare e manutenere applicazioni software e servizi di qualità, sia di livello enterprise che web, con la sicurezza che le applicazioni siano compatibili con tutte le tecnologie dei più grandi produttori di software, testimoniato anche dalla recente certificazione di Red Hat.
GDPR Misure di sicurezza – Come prevenire i data breach
Parliamo ancora di GDPR e ne parliamo questa volta cercando di sviscerare un articolo a nostro avviso cruciale per le novità introdotte dal nuovo regolamento: l’art. 32 e le misure di sicurezza del GDPR.
GDPR Misure di sicurezza
Facendo un piccolo passo indietro per contestualizzare l’articolo, il GDPR prevede l’adozione, da parte delle imprese che trattano dati personali, di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo regolamento.
Questo significa che ogni azienda deve adottare delle misure per eliminare, o almeno ridurre al minimo, il rischio di data breach (=violazione dei dati personali sotto forma di perdita, distruzione o diffusione indebita a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi).
Per fare ciò, l’art.32 del GDPR parla delle misure di sicurezza che devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. L’espressione “adeguato al rischio” implica che non ci sia nessun obbligo specifico sulle azioni e sugli strumenti da utilizzare e, soprattutto, che queste misure devono essere adeguate alla portata del rischio corso dalla violazione delle informazioni che vengono gestite. Detto in maniera più semplice: un’azienda che promuove i propri servizi e prodotti ad altre aziende (o meglio, ai referenti delle aziende) di cui tratta nome, cognome ed e-mail aziendale adotterà delle misure più soft rispetto ad una banca che gestisce transazioni finanziarie e custodisce quindi dati sui conti correnti, carte di credito, …
Tale valutazione del rischio è compito del titolare e del responsabile in rapporto ai rischi.
Per alcune tipologie di trattamenti (art. 6) potranno restare in vigore le misure di sicurezza attualmente previste attraverso le disposizioni di legge applicabili: stiamo parlando ad esempio del trattamento dei dati sensibili attuato dagli enti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.
Articolo 32 GDPR Misure di sicurezza
Riportiamo ora l’articolo 32 del GDPR, oggetto del nostro articolo:
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: |
||
|
||
|
||
|
||
|
||
| 2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. | ||
| 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. | ||
| 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. |
Al punto 1° si parla di pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione devono essere conservate impedendone l’identificazione dell’utente. Ne è un esempio la cifratura dei dati.
Al punto 1b “la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” possono essere garantite con soluzioni che permettono la profilazione, l’autenticazione e le autorizzazioni attribuite in base al ruolo che una persona ricopre all’interno della sua azienda. Si ha così la certezza di fornire l’accesso e il trattamento ai dati solo alle persone che ne hanno diritto e che lo esercitano in conformità al regolamento interno – a sua volta conforme al GDPR –, concetto rafforzato al punto 4 dell’articolo.
Al punto 1c si evidenzia l’importanza di saper ripristinare in tempi adeguati la disponibilità e l’accesso ai dati che hanno subito un incidente fisico o tecnico. Ovvero in caso di incendio, allagamento, corto circuito, … l’azienda deve avere la capacità di garantire una continuità operativa ripristinando la situazione.
Come si fa ad essere sicuri che una metodologia ed uno strumento funzionino correttamente? Tramite i test. Ecco perché al punto 1d si prevede un’azione volta a verificarne e valutarne l’efficacia al fine di essere sempre in grado di attuare misure correttive.
Cosa succede in caso di data breach?
A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al Garante della Privacy le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque “senza ingiustificato ritardo” se da questo data breach derivano rischi per i diritti e le libertà dei soggetti interessati. Ancora una volta la valutazione del rischio è un punto cardine della normativa.
In alcuni casi, quando cioè il rischio è molto elevato, la violazione dovrà essere comunicata anche agli interessati (art. 34 GDPR).
Quali misure di sicurezza adottare
Alla luce di quanto scritto prima, un concetto sempre presente è quello della valutazione dei rischi. Tale valutazione è chiaramente un’analisi nei confronti dei dati trattati e dagli strumenti che vengono utilizzati per archiviarli e gestirli. Ovvero le soluzioni software presenti in azienda.
Se non si mastica un po’ di informatica, la valutazione non è un’attività facilissima. Il rischio poi è strettamente connesso al grado di compliance che tali sistemi hanno nei confronti del GDPR.
Facciamo degli esempi concreti: CRM ed ERP (gestionali) sono i due sistemi che per eccellenza contengono dati su clienti e possibili tali. Secondo la normativa, i software per essere conformi devono essere costruiti secondo il criterio di privacy by design. Axioma Cloud CRM e Axioma Cloud ERP ne sono un esempio e garantiscono attraverso una tecnologia legata al database Oracle un livello di sicurezza adeguato al rischio. In base ai diversi livelli di cui si ha bisogno, Axioma è in grado di soddisfare tutte le esigenze, raggiungendo un livello di conformità attraverso progetti di infrastruttura mirati e commisurabili al livello di rischio a cui è esposto il nostro cliente.
Riprendendo il punto 1b, Axioma rende disponibili soluzioni in cloud che permettono di disporre di architetture hardware sofisticate, altamente affidabili e costantemente presidiate dal nostro team specialistico in grado di controllare l’integrità e l’efficienza delle transazioni end-to-end, cioè dall’utente alla tecnologia:
- utente che, sempre profilato, accede a qualsiasi applicazione tramite credenziali che gli forniscono gli adeguati permessi di consultazione e modifica delle informazioni.
- tecnologia che, grazie ai servizi di Kaspersky, protegge tutti i dispositivi utilizzati per accedere e trattare i dati.
La continuità operativa, punto 1 c, viene inoltre assicurata da soluzioni di backup e disaster recovery poiché ci avvaliamo di partner internazionali e affidabili come Veeam, famoso per il miglior data center a livello internazionale.
Infine, il ciclo della qualità (=Plan –> Do –> Check –> Action) adottato da Axioma con una metodologia di gestione dei sistemi e delle applicazioni solida e ben definita assicura la continua conformità alle normative e assicura che qualsiasi azione venga testata e verificata. L’attività di prevenzione, derivante da un’attenta pianificazione delle attività, è la conseguenza della nostra esperienza con clienti che quotidianamente si rivolgono a noi per esigenze di sicurezza, prevenzione e continuità operativa. Oltre che di adeguamento alle normative.
Open Source come Application Framework
L’Open Source non è più una soluzione di nicchia utilizzata soltanto da un gruppo ristretto di aziende. Al contrario, i dati confermano la sempre più crescente popolarità del modello open. Ma in quali aree viene impiegata maggiormente una piattaforma open source?
Secondo il report di Nextvalue le aree software, ad “alto potenziale”, su cui i manager aziendali stanno concentrando le intenzioni e le priorità di investimento sono legate al “middleware web e application server”. Nel riquadro “diffusione” troviamo invece le soluzioni che hanno già una maturità tale per cui sono già largamente impiegate anche a livello enterprise; stiamo parlando nello specifico di sistemi di content management, portali e mashup services.
Ciò che però è rilevante è la voce “Application framework” per il fatto che “si candida a passare nei quadranti di alto potenziale o diffusione”. Si tratta dunque di una “zona calda”, dove si stanno concentrando curiosità e un livello di intenzione di investimento alto. Vediamo di cosa si tratta!
Application Framework: l’ “impalcatura” per sviluppare applicazioni
Framework significa letteralmente impalcatura/intelaiatura e sta a indicare una “piattaforma che funge da strato intermedio tra un sistema operativo e il software che lo utilizza.” In sostanza si tratta di un insieme di moduli/librerie che forniscono servizi, componenti di codice etc, utili al programmatore per poter sviluppare un’applicazione web o enterprise. Un framework di sviluppo web permette in breve lo sviluppo di altre applicazioni. I suoi componenti sono infatti creati per essere utilizzati e condivisi da altre applicazioni per svolgere azioni che lo sviluppatore non dovrà così preoccuparsi di implementare partendo da zero.
Stiamo parlando quindi di piattaforme open source che danno la possibilità, a partire dal codice sorgente, di sviluppare o implementare un progetto tramite componenti/funzioni già esistenti che fornisce lo stesso vendor o che la stessa community implementa, svolgendo così una funzione di tester e co-sviluppatore.
Sviluppare applicazione web o enterprise tramite una piattaforma open source è dunque la prossima, se non l’attuale, intenzione di investimento nel futuro prossimo. Il perché sta in motivi come riduzione dei costi, tempi ma anche più sicurezza, grazie a mille occhi di sviluppatori esperti che possono intervenire e correggere errori di scrittura in qualsiasi momento. Inoltre, il modello open source consente di innovare e personalizzare molto rapidamente, caratteristica peculiare delle piattaforme open sviluppate in linguaggio Java.
Perché scegliere una piattaforma Java?
Java è uno dei linguaggi di programmazione più utilizzati non solo da programmatori ma dalle stesse aziende, infatti “circa il 26% delle organizzazioni con team di sviluppo Open Source ha piani di adottare una piattaforma in Java open source.” I motivi?
Quale miglior spiegazione di un esempio pratico? Axioma Cloud CRM, il software di Customer Relationship Management che Axioma ha sviluppato usando il framework Holon Platform, ha le tipiche caratteristiche di usabilità e intuitività dei prodotti software di consumo più avanzati.
La soluzione è dotata di un client di posta elettronica, un calendario, un modulo di gestione contatti, strumenti di marketing e vendita, moduli per la gestione delle relazioni, della pianificazione e reporting delle attività e di un mdulo per la gestione delle segnalazioni clienti (ticketing). Tutti i moduli sono integrati tra di loro con la gestione dei documenti.
Le caratteristiche delle piattaforma Java utilizzata stanno nell‘alto livello di scalabilità, affidabilità e nell’opportunità di una gestione trasparente e semplice dei dati provenienti da diversi fonti. Inoltre, tutte le funzionalità dell’applicazione, dal backend all’interfaccia utente, possono essere sviluppate rapidamente e consentono inoltre di applicare un alto livello di personalizzazione.
Le soluzioni che Axioma ha sviluppato con l’ausilio di una piattaforma Java open source sono diverse; dai uno sguardo per saperne di più!
Il 25 maggio si avvicina: GDPR cosa fare
Tic toc, il tempo per adempiere agli obblighi del nuovo regolamento europeo sulla protezione dei dati personali sta scadendo. Per sintetizzare il tema, in questo articolo risponderemo in maniera molto semplice a questa domanda, una tra le più ricercate su Google negli ultimi giorni: GDPR cosa fare?
Il 25 maggio entrerà in vigore il General Data Protection Regulation, dopo aver lasciato due anni di tempo alle aziende per adeguarsi a quanto definito in materia di protezione dei dati.
Le norme si applicheranno a tutte le aziende europee, anche a quelle con sede extra UE che offrono prodotti e/o servizi al mercato europeo. Questo vale sia per le aziende private che per quelle pubbliche.
Finanza, HR, Marketing, Vendite, Legal, IT, … quando si parla di trattamento dei dati personali sono coinvolte molte figure aziendali: c’è chi si occupa del trattamento dei dati dei dipendenti, dei candidati, dei clienti, chi li utilizza per veicolare messaggi promozionali, chi ne fa profilazione, … Quando si deve pensare a cosa fare per il GDPR è fondamentale coinvolgere tutti gli attori aziendali che impattano sui dati e sul loro trattamento.
Le strade da percorrere sono due: quella di impronta legale e quella tecnica.
GDPR cosa fare: la via legale e quella tecnica
Bene, il 25 maggio dovremo essere conformi al nuovo regolamento. Cosa significa in estrema sintesi?
- analizzare quali dati, come vengono raccolti e gestiti nella propria azienda
- nominare un DPO-Data Protection Officer che ha il compito di supervisionare i processi, garantire la conformità alla normativa e prevenire i rischi (l’obbligo è previsto solo per Enti pubblici, aziende private dove le “core activities” del titolare del trattamento o del responsabile del trattamento “consista in trattamenti richiedenti il monitoraggio sistematico su larga scala” o ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati”.)
- effettuare una valutazione d’impatto sui processi a rischio di violazione della privacy dei dati del soggetto interessato e definire una politica di prevenzione per limitare i rischi
- in caso di data breach, notificare al Garante della Privacy entro 72 ore la violazione subita
Ecco che arriviamo al punto concreto: GDPR cosa fare?
La prima strada, ovvero l’orientamento legale, è quella che si pone l’obiettivo di un adeguamento più formale che sostanziale della normativa. Le aziende che prediligono questa strada impegnate nello studio delle informative, dei consensi, delle policy dei dipendenti e dei collaboratori che accedono ai dati aziendali, nella creazione e gestione del registro dei trattamenti, nella nomina del DPO e nella nomina del DPO che supervisionerà i lavori.
La via tecnica, invece, una volta analizzate le procedure interne e valutati i rischi, adotta misure di prevenzione e di attuazione della normativa tramite tecnologie software sofisticate. Con il termine sofisticate non vogliamo intendere costose, ma l’utilità e l’efficacia di questi strumenti che vanno a intervenire su situazioni complesse e delicate. Stiamo parlando cioè del concetto di “privacy by design” ovvero la considerazione della privacy durante la definizione di un processo aziendale con le relative applicazioni informatiche di supporto.
Noi crediamo che quest’ultimo approccio sia quello che più risponde agli obiettivi del GDPR perché è a partire da una riorganizzazione aziendale, anche in termini di sistemi informativi, che si ottiene una vera gestione protetta e organizzata dei dati.
GDPR cosa fare: la conformità attraverso soluzioni software e tecnologie
Di cosa avete bisogno? Di software per la gestione dei dati dove l’accesso sia profilato e ben tracciato e di tecnologie che consentano di prevenire i rischi o che, in caso di data breach, riescano a recuperare i dati violati.
In caso di guasto o di attacco informatico ai tuoi sistemi sei in grado di rispondere a queste domande:
“In quanto tempo siamo in grado di ripristinare dati e soluzioni applicative ? 1 ora, 1 giorno, 1 settimana?”
“A quale momento temporale risalgono i dati recuperati dall’ultima operazione di salvataggio ? 1 ora, 1 giorno, 1 settimana?”
I tempi di ripristino e lo stato di aggiornamento dei dati ripristinati è un tema che coinvolge in modo importante tanto la conformità al GDPR quanto la continuità dei processi di business gestiti con le vostre soluzioni applicative.
Per raggiungere il pieno livello di conformità al GDPR ed evitare le pesanti sanzioni previste, per evitare interruzioni prolungate nei processi di business o per non perdere quantità significative di dati, Axioma sviluppa i propri software secondo il concetto di privacy by design visto prima, dove i dati vengono raccolti, ad esempio nel CRM, tracciando la provenienza del dato, il suo trattamento e i consensi che il soggetto ha espresso al trattamento. Cosa molto importante, ogni accesso al software è possibile solo tramite un sistema di credenziali che previene da accessi non desiderati o non controllati.
Inoltre, attraverso un team di esperti in sistemi di protezione delle reti, siamo in grado di fornire la consulenza necessaria per migliorare le politiche di sicurezza attualmente in vigore presso la vostra organizzazione, attraverso ad esempio sistemi di backup e disaster recovery.
SOCIAL
