Estratto dell'agenda dell'innovazione e del Trade Roma Speciale: I casi. Introduzione dell'area tematica

Transcript

1 Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL

2 Innovare e competere con le ICT: casi di successo - PARTE II Cap.11 Evitare i costi e i danni di una scarsa sicurezza del sistema informativo aziendale L Information Security può essere definita come l insieme delle misure (di natura tecnologica, organizzativa e legale) volte ad impedire, prevenire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate e dal supporto fisico sul quale siano custodite. L ICT Security, a sua volta, è generalmente considerata una componente dell Information Security, che si occupa della protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. La gestione di tali attività è resa più complessa dal crescente grado di sovrapposizione e di integrazione tra la sicurezza informatica ed altri domini di sicurezza, quali, ad esempio, la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi. È chiaro che un area così strategicamente rilevante e pervasiva necessita di sistemi di governance appropriati, tali da garantire un adeguata collocazione e visibilità all interno dell organizzazione, uno stretto collegamento con i programmi strategici complessivi dell impresa, l allocazione di budget congruenti con gli obiettivi prefissati, nonché la verifica dell efficacia delle soluzioni sviluppate e la misurazione dei risultati ottenuti. AGENDA dell INNOVAZIONE e del TRADE 127

3 PARTE II - Innovare e competere con le ICT: casi di successo L ICT Security, a sua volta, è generalmente considerata una componente dell Information Security, che si occupa della protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. La gestione di tali attività è resa più complessa dal crescente grado di sovrapposizione e di integrazione tra la sicurezza informatica ed altri domini di sicurezza, quali, ad esempio, la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi. È chiaro che un area così strategicamente rilevante e pervasiva necessita di sistemi di governance appropriati, tali da garantire un adeguata collocazione e visibilità all interno dell organizzazione, uno stretto collegamento con i programmi strategici complessivi dell impresa, l allocazione di budget congruenti con gli obiettivi prefissati, nonché la verifica dell efficacia delle soluzioni sviluppate e la misurazione dei risultati ottenuti. Si tratta della governance strategica dell ICT Security, che ha come obiettivo proprio la definizione delle soluzioni organizzative atte a garantire la massima efficacia ed efficienza delle attività di ICT Security. Le variabili di progettazione della governance strategica sono riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte (macro)organizzative, quali la creazione di unità organizzative ad hoc, l attribuzione di ruoli e responsabilità, le scelte di sourcing strategico, ecc.; la configurazione dei processi strategici, primo fra tutti i processi di pianificazione e controllo; le risorse umane. Lo sviluppo di profili di competenze appropriati per presidiare i diversi ambiti di responsabilità è infatti di fondamentale importanza nel determinare il successo di tali attività. Tra le varie componenti di un sistema di governance strategica della sicurezza, un ruolo fondamentale è rivestito dalla risk analysis. Si tratta di una fase fondamentale dei processi di pianificazione e controllo, atta ad assicurare che i sistemi di protezione progettati e attuati siano coerenti con le minacce e i relativi danni potenziali, nonché con i vincoli legali esistenti. Esistono svariate definizioni dell ICT Risk Analysis (e, in più in generale, di qualsiasi tipo di risk analysis). In ogni caso, si può affermare che con tale termine ci si riferisce al complesso di attività finalizzate all analisi sistematica delle informazioni per identificarne le fonti e stimarne i rischi, quindi, più precisamente, al processo che porta all identificazione delle minacce e delle relative probabilità di accadimento, degli impatti risultanti e delle contromisure che permetterebbero di mitigare o annullare tali impatti. Le fasi principali di una ICT Risk Analysis possono essere così sintetizzate: identificazione delle tipologie di dati gestiti dall organizzazione; mappatura degli asset su cui tali dati vengono elaborati, memorizzati e trasmessi all interno/ all esterno dei confini dell organizzazione; individuazione delle potenziali minacce (e le relative fonti); valutazione del rischio potenziale derivante dalle potenziali minacce; individuazione della tipologia di rischi da coprire e del cosiddetto rischio residuo non gestito, e conseguente definizione delle priorità di intervento. Nella realtà, per quanto concerne le metodologie di analisi utilizzate, il ricorso alla ICT risk analysis in molti casi non è ancora consolidato, e spesso l output di tale attività non rappresenta il punto 128 AGENDA dell INNOVAZIONE e del TRADE

4 Innovare e competere con le ICT: casi di successo - PARTE II di partenza per l individuazione delle iniziative di ICT Security. In molti casi si nota, inoltre, ancora un certo scollamento tra le analisi svolte in ambito ICT Security e quelle condotte per valutare il profilo di rischio complessivo dell impresa (tipiche dell unità enterprise risk management), scollamento che conferma la scarsa integrazione tra l ICT Security e la strategia complessiva dell impresa. Inoltre, gli approcci utilizzati non sempre sono caratterizzati da un livello di formalizzazione e accuratezza adeguati. Non di rado, poi, vengono utilizzati diversi approcci all interno della stessa impresa (con diverse finalità: regulatory compliance, protezione degli asset, business continuity), col rischio conseguente di inefficienze e incongruenze tra i risultati delle diverse analisi. strategico. La diffusione di sistemi di misurazione delle prestazioni (cruscotti direzionali, tableau de bord, ecc.) finalizzati al monitoraggio dell attuazione della strategia ICT e alla verifica dei risultati ottenuti appare ancora estremamente limitato. Più frequente l inserimento di qualche indicatore di prestazione (KPI) all interno dei sistemi di misurazione delle prestazioni di altre funzioni (ICT, risk management), anche se spesso tali indicatori appaiono poco integrati e di natura un pò troppo operativa (orientati al breve termine), o, al contrario, troppo generici e di alto livello. È chiaro che l assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell ICT Security, anche alla luce degli standard di riferimento (si pensi all ISO27001). Un altro elemento chiave della governance dell ICT Security è la valutazione ex ante di tipo economico-finanziario dei progetti di investimento. L utilizzo di metodologie strutturate non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici (che porta ad effettuare valutazioni di tipo qualitativo) e nell obbligatorietà (de jure o de facto) dell investimento, che rende non necessaria (almeno apparentemente) tale analisi. A nostro avviso questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell ICT Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management, in cui l approvazione dei progetti (soprattutto se di notevole dimensione) è possibile solo a patto che il Chief Information Security Officer riesca a far comprendere (e a misurare) il contributo che l ICT Security può fornire alla creazione di valore. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo In conclusione, il livello di maturità della governance dell ICT Security è sensibilmente inferiore a quanto avviene rispetto ad altri temi legati all ICT e pertanto spesso il livello di sicurezza delle aziende dipende in maniera significativa dalla sensibilità personale degli interlocutori coinvolti, dal top management al sistemista, ai fornitori esterni. Ma non sempre tale modo di operare è in grado di garantire l efficacia e l affidabilità nel tempo delle soluzioni adottate. AGENDA dell INNOVAZIONE e del TRADE 129

5 PARTE II - Innovare e competere con le ICT: casi di successo IL CASO Alliance Medical Finalista Proteggere la privacy dei pazienti attraverso una innovativa soluzione di Information Security L azienda Fondato in Inghilterra nel 1989, il Gruppo Alliance Medical rappresenta il più grande gruppo europeo nel settore dei servizi di diagnostica per immagini con oltre collaboratori tra dipendenti e professionisti associati. Oltre alla sede centrale londinese, il network ha sedi in Germania, Olanda, Polonia, Spagna, Irlanda ed in Italia a Roma, dove opera attraverso la Alliance Medical srl nata nel 1999 dalla joint venture della Alliance Medical Ltd inglese con l italiana ETF-Euro Trading&Finance srl, operativa nei servizi di diagnostica sin dal Grazie all introduzione di formule contrattuali flessibili, Alliance Medical ha conquistato una posizione primaria nel mercato dei servizi in outsourcing, mobili e fissi, per strutture sanitarie pubbliche e private. In Italia, Alliance Medical è in grado di offrire un ampia gamma di soluzioni in campo diagnostico: reparti di diagnostica fissi, interni a strutture ospedaliere pubbliche e private; sistemi di diagnostica su unità mobile; servizi di terapia con sistemi ad onde d urto, laser e iort; centri diagnostici privati convenzionati. L applicazione Negli ultimi anni, la forte crescita di Alliance Medical attraverso l acquisizione di centri diagnostici privati e lo sviluppo delle diverse linee di business, tra cui la gestione dei servizi radiologici presso gli ospedali e la movimentazione di unità mobili, ha portato l azienda ad una presenza capillare su tutto il territorio italiano. La diversità delle aree di business, la dislocazione delle sedi sul territorio, la molteplicità dei sistemi informativi coinvolti e la delicatezza delle informazioni gestite, hanno spinto l IT Manager di Alliance Medical verso la realizzazione di un progetto in collaborazione con Sophos, per attuare un piano di gestione della sicurezza informatica completo e dimensionato sulle esigenze dell azienda. In tal modo, Alliance Medical si tutela da tutte le minacce 130 AGENDA dell INNOVAZIONE e del TRADE

6 Innovare e competere con le ICT: casi di successo - PARTE II informatiche interne ed esterne, proteggendo i dati sensibili presenti nei sistemi informativi, dal quartier generale fino alle sedi decentrate, garantendo ai pazienti la privacy sui propri referti elettronici. Alliance Medical sta quindi installando presso tutte le sue strutture i prodotti Sophos in precedenza testati attraverso un progetto pilota presso uno dei centri diagnostici toscani del Gruppo. Le soluzioni adottate si concentrano sulla protezione delle informazioni indipendentemente dalla loro presenza sui sistemi informatici client/server dell azienda, su sistemi RIS (Radiology Information System) o sul Picture Archiving and Communication System (PACS). In particolare, Sophos Endpoint Security and Control è il sistema di sicurezza che consente di proteggere i client del Gruppo da attacchi malware e di verificare che siano sempre aggiornati con le Security patch necessarie, impedendo tramite il sistema Data Loss Prevention (DLP) che vengano trasferiti in maniera fraudolenta dati sensibili all esterno tramite memorie Usb o altri supporti di memorizzazione di massa. Tali funzionalità sono particolarmente importanti per proteggere i referti medici dei propri pazienti, tutela ulteriormente necessaria se si considera che in molti casi i clienti del Gruppo sono personaggi conosciuti. Inoltre, grazie a Sophos Web Security and Control, la navigazione Internet dei dipendenti di Alliance Medical tramite i PC aziendali è filtrata e controllata per evitare che vengano in contatto con minacce esterne. Le stesse casella di SOPHOS Alliance Medical e Sophos, dati in sicurezza per servizi sempre più innovativi posta dell azienda sono protette dallo spam e dalle minacce virali attraverso Sophos Security and Data Protection: il sistema interno di Data Loss Prevention (DLP) evita anche l invio all esterno di contenenti dati sensibili. Il progetto prevede, inoltre, l estensione del sistema di sicurezza anche ai terminali mobili dell azienda, con l adozione di Sophos Safeguard Enterprise, che consente la crittografia di tutte le informazioni ospitate. I benefici Il nuovo sistema di sicurezza permette ad Alliance Medical di mettere in protezione tutti i propri centri diagnostici e di tutelare i dati sensibili all interno dei sistemi con un alto grado di sicurezza informatica per i referti elettronici in particolare. Il nuovo sistema di sicurezza assicura la protezione delle informazioni sia sui PC aziendali sia nell ambiente Web ed . I dati clinici non possono essere trafugati grazie al blocco delle non autorizzate e possono essere raggiunti solo dalle persone autorizzate. Inoltre, il nuovo sistema rende particolarmente efficace la protezione dei computer portatili grazie alla cifratura di tutti i dati in essi presenti gestita centralmente tramite una console di management dedicata. info: vedi pag.199 Fondato nel 1989, Alliance Medical è un gruppo internazionale leader europeo nella diagnostica. Presente in quasi tutta Europa con sede centrale a Londra, offre servizi di diagnostica in ambienti ospedalieri pubblici e privati, anche su unità mobili. Inoltre, fornisce divisioni operative di terapie con onde urto, laser e iort a decine di centri diagnostici privati. Il nostro obiettivo era quello di mettere in sicurezza i centri diagnostici delocalizzati sul territorio nazionale, proteggere i dati sensibili presenti all interno dei sistemi e garantire ai nostri clienti un altissimo grado di sicurezza dei propri referti elettronici. Da qui, la partnership con Sophos. Le soluzioni Sophos individuate da Alliance per il proprio progetto sono molteplici e coprono tutte le esigenze di protezione del dato sia su PC, sia in un ambiente potenzialmente pericoloso come il web o l Sophos Endpoint Security and Control è il prodotto scelto per proteggere i PC da attacchi malware ed impedire che i dati in esso presenti vengano trasferiti in maniera fraudolenta all esterno. Sophos Web Security and Control è la soluzione implementata per proteggere la navigazione e per far si che i PC non vengano corrotti da minacce esterne. Sophos Security and Data Protection proteggerà le caselle dallo SPAM e grazie al sistema interno di DLP (Data Loss Prevention), bloccherà la fuoriuscita di non autorizzate. Sophos Safeguard Enterprise sarà, invece, presente su tutti i portatili mettendoli in sicurezza cifrando tutti i dati in essi presenti. Grazie a Sophos siamo riusciti a fornire ai cittadini un servizio innovativo garantendo la sicurezza dei dati sensibili. AGENDA dell INNOVAZIONE e del TRADE 131