La sicurezza dei dati nelle PMI Conoscerla, gestirla e ottimizzarla

Transcript

1 Questa guida è stata realizzata grazie al contributo di Hewlett Packard Italiana. Le guide di questa collana sono supervisionate da un gruppo di esperti di imprese e associazioni del sistema Confindustria, partner del Progetto IxI: Between Spa, Eds Italia, Federcomin, Gruppo Spee, Ibm Italia, Idc Italia, Microsoft, Telecom Italia. Suggerimenti per migliorare l utilità di queste guide e per indicare altri argomenti da approfondire sono più che benvenuti: toolkit@confindustria.it IMPRESE X INNOVAZIONE La sicurezza dei dati nelle PMI Conoscerla, gestirla e ottimizzarla

2 Conoscerla, gestirla e ottimizzarla PROTEGGERE E DIFENDERE I MIEI DATI Il rischio è il punto di partenza di ogni considerazione sulla sicurezza o, almeno, dovrebbe esserlo, anche perchè è un concetto assolutamente radicato in un impresa. La sicurezza informatica fornisce ai manager strumenti di gestione del rischio di perdita e distruzione dei dati. Nonostante ciò, la complessità delle tecnologie rende i manager spesso incapaci di comprendere quali siano le reali minacce e, quindi, di valutare correttamente quali asset aziendali siano in pericolo, nonchè quanto sia grande tale pericolo. Inoltre, le nuove tecnologie che si possono introdurre in azienda nell ambito della gestione del rischio come elementi abilitanti della sicurezza possono essere sfruttate anche per estendere ed ottimizzare i processi di business. Solo considerando tutti gli aspetti della sicurezza e, quindi, i rischi e le opportunità che un azienda deve fronteggiare, è possibile valutare correttamente quali soluzioni sono indispensabili, quali utili e quali inutili. In ogni caso, è buona norma di business misurare il più accuratamente possibile il ROI della sicurezza, come di ogni altra spesa, assumendo che si tratti di investimenti e non di meri costi. Ogni azienda deve, dunque, valutare le proprie esigenze in termini di sicurezza, identificando le aree di interesse e gli ambiti nei quali sarà opportuno adottare determinati strumenti. È necessario studiare le infrastrutture utilizzate, le applicazioni ed i processi aziendali, al fine di comprendere quali investimenti conviene effettuare. Data l importanza della materia, anche una norma di legge ha introdotto l obbligatorietà per tutte le aziende sia pubbliche che private di redazione del Documento Programmatico sulla Sicurezza (DPS), al fine di migliorare il controllo dei dati personali sensibili ed assicurare un adeguata protezione a tutte le banche dati di cui l azienda si serve nella conduzione delle proprie attività. 1

3 2 Per valutare correttamente quali siano le proprie esigenze e quali siano le dimensioni del rischio, è utile comprendere e conoscere le minacce alla sicurezza (Figura 1). Concentrandoci sulle cause d indisponibilità non pianificata di dati e di sistemi, notiamo subito che fattori legati agli errori umani e agli applicativi sono molto più rilevanti di quelli che naturalmente verrebbero in mente quando si parla di cause d indisponibilità (ad esempio, disastri naturali, incendi, ecc..). Anche le minacce provenienti da Internet sono riconosciute come pericolosa fonte di attacchi dei sistemi informativi, ma va anche ricordato che nessuna azienda può dirsi completamente al sicuro, ma può rendere sicuri i propri sistemi quel tanto che basta a scoraggiare almeno l hacker casuale, quello relativamente meno preparato FIGURA 1 - PRINCIPALI CAUSE DEGLI EVENTI DI INDISPONIBILITÀ DEL SISTEMA INFORMATICO NON PREVISTI Errori degli operatori 40% 20% Errori degli applicativi 40% Fattori ambientali, disastri ad hardware e sistemi operativi PIANIFICATI Batch application processing 10% 13% 10% Hardware, network, sistemi operativi, software Applicativi e database 2% Backup recovery 65% Impianti ambiente Fonte: Gartner Group, December 2002 che agisce per divertimento, impiegando i tool che abbastanza facilmente si trovano sulla rete. In un rapporto risalente al 2002, ma ancora molto attuale, CSI (Computer Security Institute) e FBI affermano che il 90% delle aziende intervistate hanno rilevato violazioni alla loro sicurezza negli ultimi dodici mesi. L 80% di queste ammette perdite finanziarie conseguenti a tali violazioni. È interessante osservare come una tendenza iniziata qualche anno fa negli Usa si sia affermata così rapidamente anche in Italia con un aumento degli attacchi provenienti da Internet che hanno superato quelli provenienti dall interno. D altro canto, però, emerge che alcune delle violazioni interne costituiscono una minaccia potenzialmente più grave, in quanto sono azioni mirate che, se portate a termine con successo, causano la perdita di informazioni vitali per l azienda. Tuttavia, spesso si tratta solo di disattenzioni o di abusi senza particolari secondi fini le cui conseguenze sono principalmente relative alla perdita di produttività. Inoltre, anche sugli attacchi esterni occorre fare dei distinguo, in quanto una cosa è il tentativo di intrusione successivamente bloccato ed un altra è il successo di un denial of service, capace di mettere fuori uso un server per molte ore, fino addirittura arrivare a bloccare il servizio di un provider, con conseguenze economiche e d immagine gravissime. I rischi legati alla mancata protezione possono essere di diverso tipo (Figura 2). FIGURA 2 - LA NATURA DEL RISCHIO ALTO Impatto per incidente BASSO BASSA Disastri naturali - incendi, terremoti, ecc Disastri umani - terrorismo, danni intenzionali Security breach - hacker Software failure Downtime pianificati Denial of service Attacchi di virus Hardware failure Power failure Frequenza relativa Chiaramente alcuni eventi sono meno frequenti ma hanno un impatto in termini di business operation e perdite finanziarie molto alto, altri eventi, che causano l interruzione del business, invece, sono più frequenti ma con un livello inferiore d impatto. Network failure Le conseguenze di un downtime causato da tali eventi sono varie: perdita di clienti; perdita di opportunità; perdita produttiva; lavoro improduttivo; costi di ripristino; penali; vertenze; cattiva pubblicità; perdita di valore azionario. Occorrerà, pertanto, calcolare il valore di ogni evento e stimare le perdite che potrebbero derivare dalla sua indisponibilità. Se le perdite legate alla riservatezza, all integrità o alla disponibilità dei dati possono essere quantificabili in denaro, Application failure ALTA la componente di intangibilità della stessa perdita è più difficilmente misurabile. Si pensi, ad esempio, alla fiducia dei clienti: si configura come uno dei principali obiettivi quando si affronta il problema della sicurezza e rappresenta un fattore importante per la valutazione delle spese necessarie. Si potrà parlare profusamente di intangibilità della perdita, ma rimarrà il fatto che per alcune tipologie d azienda l affidabilità si misura oltre che sulla solidità finanziaria anche sulla sicurezza trasmessa e percepita dalla propria clientela. 3

4 4 FIGURA 3 - UTILIZZATORI DI Tempo impiegato per cancellazione posta indesiderata (per user) 10 Minuti Media annuale di (costo) risparmio possible per l azienda $ Fonte, IDC Spam Study Basato su un azienda con 100 utenti di posta elettronica. Considerando il solo costo di produttività oraria. Secondo il parere degli esperti, il tempo che un azienda impiega per riabilitarsi da una perdita di dati catastrofica è direttamente proporzionale alla probabilità che quell azienda ha di uscire dal mercato. Secondo la stima di IDC (Figura 3), ogni utente spreca circa 10 minuti al giorno per ripulire la propria casella dallo spam. Moltiplicando questo tempo per il costo giornaliero a persona per il numero di addetti si deduce a quanto ammonterebbe il costo del mancato investimento in antispam. Ad esempio, un azienda con 100 dipendenti potrebbe risparmiare dollari all anno se ogni utente non dovesse sprecare 10 minuti al giorno nella cancellazione dello spam ricevuto. Attualmente, nonostante la quantità di minacce sia notevolmente cresciuta, anche le opzioni di protezione disponibili diventano molto potenti e sofisticate. Appare, pertanto, opportuno effettuare un assessment sullo stato dei propri sistemi di difesa per evitare di ritrovarsi vittima di spiacevoli e costosi danni all integrità del proprio patrimonio di dati. A tale proposito si rivela utile l utilizzo di tool capaci di stimare il livello di rischio cui un azienda è esposta. Inoltre si può valutare la possibilità di avvalersi di un service provider in outsourcing che sia specializzato nel con- trollo dei costi per il calcolo del ROI; sicuramente chi fornisce un servizio di questo tipo sarà più accorto nel non tralasciare alcuni costi nascosti che noi comunemente non considereremmo come il tempo dedicato da ciascun addetto alla pulizia della mail a causa dello spam. Le conseguenze di un downtime variano anche in relazione al mercato di riferimento in cui le aziende operano. Vediamo adesso un esempio di stima del rischio e delle conseguenze effettuata su un azienda di medie dimensioni operante nel settore manufatturiero (Figura 4). FIGURA 4 - ESEMPIO DI AZIENDA DEL SETTORE MANUFATTURIERO CON 160 DIPENDENTI Dati finanziari Dipendenti Organizzazione/Dipartimento Fatturato euro Costi operativi euro Utili euro Numero dipendenti 160 Costo dei dipendenti euro Costo medio per dipendente euro Tale analisi è stata condotta utilizzando un tool che permette di calcolare il cosiddetto BID (Business Impact of Downtime), cioè l impatto che l interruzione del sistema ha sul business. Il tool Business Impact of Downtime (BID) permette di quantificare il costo di un ora di downtime non pianificato (Figura 5). Il tool BID assume che un downtime non pianificato ad un servizio critico per il business avrà come conseguenze: perdita immediata di fatturato; diminuzione della customer satisfaction; perdita di produttività; diminuzione del valore delle azioni. 5

5 6 FIGURA 5 - COSTI TOTALI DI PERDITA DI UN ORA DI DATI AZIENDALI Funzione aziendale impattata perdita Valorizzazione economica della Supply chain euro Vendite euro Distribuzione euro Intranet euro Internet euro Brand euro Costi Finanziari euro Customer service euro Mancata Fatturazione euro Costo totale del downtime euro ESEMPIO Fermo delle linee di produzione e perdita delle relative informazioni per un ora di attività produttiva. La perdita di ordini di clienti già registrati comporta costi di recupero e reinserimento degli ordini. Perdita degli ordini dei distributori. Costi di recupero delle informazioni del portale interno. Costi derivanti dall indisponibilità del portale aziendale. Perdita di fiducia da parte dei clienti e danni alla reputazione aziendale. Costi di riparazione delle macchine e recupero dati. Costi di personale extra per risolvere eventuali problemi causati ai clienti. Costi di re imputazione e recupero delle fatture già emesse e mancata fatturazione. Il tool BID è basato su un modello che quantifica l impatto di tutti questi fattori. Il calcolo che presentiamo si basa su: dati di bilancio; dati specifici del cliente; dati di Benchmark sulla base di statistiche per industry e per segmento di mercato. In base alle informazioni in input, il BID produce reports sul costo totale del Downtime per un azienda specifica. Un piano di protezione ben congegnato può costituire la polizza assicurativa di cui si ha bisogno per proteggere i vostri preziosi dati. Riportiamo di seguito alcune informazioni essenziali che possono esservi d aiuto ad implementare un piano finalizzato a mantenere sana e salva l azienda. GESTIONE DELLA SICUREZZA IT EFFICIENTE ED EFFICACE È provato che è impossibile proteggere un organizzazione al 100%, ma l applicazione di alcune semplici misure (Figura 6) aiuta a salvaguardare in modo FIGURA 6 - SETTE C PER UNA GESTIONE EFFICIENTE ED EFFICACE DELLA SICUREZZA IT CONTROLLARE il livello di sicurezza esistente CONFORMARSI alle normative COSTRUIRE un infrastruttura sicura CONTROLLARE gli accessi alle risorse CONTRASTARE le minacce CHIEDERE aiuto CONTENERE i rischi di sicurezza ragionevole i dati di business, le applicazioni software, i processi e, insieme ad esse, la reputazione dell azienda. La prima regola è formulare una procedura di sicurezza adatta all azienda; la seconda è implementare efficacemente la procedura mediante un programma completo per la gestione della sicurezza, facilmente modificabile e adattabile per proteggere l azienda dall insorgere di nuove minacce. Definire una procedura di sicurezza Una procedura di sicurezza definisce il contesto (il framework) per un programma completo di prevenzione, identificazione e neutralizzazione delle minacce adatto all azienda. Tale contesto deve coprire gli aspetti relativi alla sicurezza logica e fisica, alla privacy/riservatezza e alla conformità normativa che coinvolgono l organizzazione. Il contesto deve anche definire i ruoli e le responsabilità di amministratori, utenti e service provider e prevedere un componente regolamentare che stabilisce i comportamenti contrari alla procedura e le azioni disciplinari che l azienda intraprenderà in caso di violazioni. Di seguito sono elencati le cinque fasi che è necessario intraprendere per implementare una procedura di sicurezza efficace: 1. Condurre un esame approfondito di tutta la rete e di tutte le risorse IT a essa collegate (workstation, applicazioni, dati e database, sistemi e server, dispositivi storage, periferiche e strumenti di servizio), 7

6 menti operativi, cadute di corrente e rallentamenti causati da virus. 4. Valutare i rischi e le vulnerabilità identificate rispetto all importanza delle risorse vulnerabili. In questo modo è possibile stabilire quanto tempo e denaro investire per proteggere ciascuna risorsa. 5. Assegnare la priorità alle varie minacce sulla base delle valutazioni del rischio e utilizzare queste priorità per sviluppare una procedura comprensiva di regole, procedure e tool di protezione oltre che per documentare le misure disciplinari e di altro genere da intraprendere in caso di violazioni della procedura stabilita. Tra i vari aspetti, la procedura di sicurezza dovrebbe contemplare: A) L uso appropriato dei sistemi di posta elettronica e di instant messaging dell azienda. B) Misure appropriate per proteggere i dati operativi (ad esempio, informazioni relative a dipendenti, clienti e contabilità) e le altre informazioni sensibili. C) Procedure per rispondere a minacce alla sicurezza, tentativi di intrusione, perdite di dati e malfunzionamenti di rete o di sistema. L utilizzo e la cura di protocolli e sistemi di autenticazione (user name e password). D) Infine, per mantenere aggiornata la procedura di sicurezza, è opportuno includere una funzione built-in di auditing/revisione atta a facilitare l ade- oltre che di qualunque altro sistema indipendente in uso nell azienda. 2. Documentare il ruolo di ognuna di queste risorse informative, evidenziando quelle critiche per la sopravvivenza dell azienda, senza dimenticare i processi di business da esse utilizzati e supportati né gli utenti che ne fanno uso. È necessario inoltre documentare le risorse fisiche che proteggono queste risorse informative, come porte di sicurezza, computer room protette, sistemi di backup on-site e off-site, ecc. 3. Analizzare singolarmente e complessivamente le reti e le risorse documentate al fine di identificare i rischi e le vulnerabilità potenziali. Tra i rischi più comuni figurano accessi non autorizzati, diffusioni di informazioni riservate, perdite o danneggiamenti di dati, malfunzionaguamento della procedura ai cambiamenti introdotti nell azienda e nell ambiente business. Implementare la procedura di sicurezza stabilita Sviluppare una procedura di sicurezza è piuttosto semplice, farla funzionare è ben più complesso. Grazie ai moderni tool per la gestione dell informazione, tuttavia, l amministrazione proattiva della sicurezza IT oggi è molto più facile e lineare. Ad esempio, è possibile utilizzare le informazioni di auditing per definire le abitudini d uso con l obiettivo di evidenziare le vulnerabilità, rilevare e bloccare le intrusioni; filtrare i contenuti, neutralizzare i worm e i virus, e automatizzare gli aggiornamenti e l implementazione delle patch software evitando di sprecare tempo prezioso. È importante sottolineare come la protezione dei dati si articoli su due aspetti fondamentali: definire misure di sicurezza adeguate ed effettuare regolarmente il backup dei dati. Secondo una recente indagine condotta da Quocirca, negli ultimi dodici mesi, il 50% delle PMI non ha verificato la propria capacità di effettuare il recovery dei dati dai backup esistenti. Questo dato indica che al verificarsi di eventuale perdita di dati e contemporanea indisponibilità dei backup i problemi per le aziende sarebbero enormi. Per salvaguardare più efficacemente i dati è opportuno: proteggere l accesso ai dati sia a livello fisico che mediante meccanismi di autenticazione e/o autorizzazione. Creare quotidianamente copie di backup dei dati e conservarle in un sito diverso. Automatizzare il backup dei desktop effettuando a livello centrale la copia dei dati contenuti non soltanto sui server, ma anche su laptop e personal computer. Molti drive locali contengono grandi quantità di dati preziosi dei quali non viene effettuato il backup altrove, con il pericolo che vadano irrimediabilmente perduti in caso di malfunzionamento del computer su cui si trovano. Tenere presente che tutti i dati di cui viene effettuato il backup a livello centrale devono essere copiati, tipicamente su un server separato situato altrove, a scopo di archiviazione e backup. Verificare regolarmente tutti i sistemi di backup (almeno due volte 8 9

7 all anno) per accertarne il regolare funzionamento. Installare gruppi elettrici di continuità per evitare perdite e danneggiamenti dei dati provocati da cadute di corrente. Implementare sistemi data storage ad alta disponibilità tolleranti ai guasti nel caso in cui le attività dell azienda dipendano dall accesso costante ai dati. Fare il backup dei dati è l attività più importante per garantire la business continuity. BACKUP, UNA GARANZIA DI BUSINESS CONTINUITY Dicono che per ogni problema esiste sempre una soluzione. Infatti, esiste un sistema infallibile che chiunque può adottare per proteggere i propri dati. È sufficiente farne il backup! Ovviamente, questa importante attività può essere eseguita facilmente e a un costo irrisorio dal semplice utente privato, ma quando si parla di aziende occorre stabilire un vero e proprio piano di business continuity. Anche le aziende possono avvalersi di un ampia gamma di potenti programmi di backup e ripristino facilmente reperibili in commercio. In parole povere, questi software risiedono in un server autonomo che scatta una serie di istantanee delle informazioni che desiderate proteggere, ad intervalli regolari impostati da voi stessi. Eseguendo il backup dei dati, non scongiurate completamente il rischio di perderli, ma riducete enormemente il rischio e praticamente vi garantite la possibilità di sopravvivere a un evento catastrofico. È essenziale scegliere una soluzione per la protezione dei dati adatta alle vostre esigenze e in grado di risolvere problemi quali: il collegamento di un unità nastro a ciascun server causa una duplicazione di risorse che potrebbe essere razionalizzata diversamente; la distribuzione del backup in molti siti complica notevolmente la pianificazione della gestione e del disaster-recovery; la rete aziendale ha dimensioni sufficienti a gestire il volume di traffico prodotto quando vengono effettuati i backup? L azienda è in grado di gestire le finestre di backup in modo da lasciare libera la rete durante le ore di lavoro? I server dedicati per il backup offrono l utilizzo migliore delle vostre risorse? L in- frastruttura può scalare in modo da soddisfare le esigenze aziendali in continua evoluzione? Il primo passo nella pianificazione della vostra soluzione per la protezione dei dati è capire di che tipo di ambiente IT disponete. Ambienti DAS Il DAS (Direct Attached Storage) è il più semplice ambiente di backup e ripristino e, in genere, consiste di un unità nastro collegata direttamente al server che protegge. Le aziende che dispongono di un ambiente DAS in genere: necessitano di backup solo giornalieri o settimanali; dispongono di meno di cinque server in rete; necessitano di un solo sistema operativo; non necessitano di operazioni businesscritical on line. Ambienti LAN Il backup basato su LAN (Local Area Network) viene spesso utilizzato dalle aziende che eseguono processi continui con più server e workstation. I dispositivi di backup di storage sono collegati alla rete aziendale e gestiti centralmente da una sola console mediante un solo server di backup, per una notevole riduzione dei costi hardware e del tempo dedicato alla gestione. Le aziende che dispongono di backup basato su LAN in genere: necessitano di operazioni business-critical continue; necessitano di backup giornalieri o ad ogni ora; dispongono di più di cinque server in rete; eseguono sistemi operativi multipli; hanno bisogno di automatizzare i processi di backup; non sono in grado di prevedere la crescita del volume dei dati. Ambienti SAN Le aziende che dispongono di una SAN (Storage Area Network) hanno caratteristiche simili a quelle che dispongono di una LAN. Inoltre: hanno una rete complessa e di grandi dimensioni, che necessita del 100% di uptime; probabilmente dispongono anche di uno staff IT dedicato, i loro dati subiscono una crescita esponenziale e hanno la necessità di ripristino immediato. Un sistema SAN offre backup sofisticato che fornisce: elevati livelli di scalabilità per capacità di dati e prestazioni; 10 11

8 una rete di backup dedicata che consenta alla LAN di offrire tempi di risposta più rapidi agli utenti della rete; l opportunità di utilizzare storage assistito per il ripristino immediato; procedure di ripristino semplificate con backup diretto dai server applicativi. Per ovvi motivi, i dati di backup devono essere archiviati in un luogo diverso dai server che intendete proteggere. Non esiste una soluzione semplice e veloce per gestire in maniera completa la sicurezza IT. Tuttavia, sviluppando una procedura e un programma di gestione della sicurezza adeguati, modificabili rapidamente in modo da fornire protezione contro le nuove minacce, un azienda può disporre di strumenti efficaci per proteggere i dati business, le applicazioni software, le attività e, aspetto ancor più importante, la business continuity e la propria reputazione. Molti degli inconvenienti riscontrati dalle piccole aziende sono riconducibili a forze esterne: il ristagno dell economia, una calamità naturale, un dipendente di vitale importanza che decide di licenziarsi. È dunque logico che le aziende in grado di sopravvivere in tempi di congiuntura sfavorevole siano quelle che riducono al minimo i rischi, adottando delle precauzioni essenziali. Una delle prime precauzioni è la protezione dei dati aziendali più importanti. Tutti questi suggerimenti concorrono alla redazione del Documento Programmatico sulla Sicurezza (DPS). DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Cosa è il DPS È l'unico documento in grado di attestare l'adeguamento della struttura alla normativa sulla tutela dei dati personali (Dgls n. 196/2003). Redatto entro il 31 marzo di ogni anno, il DPS è un manuale di pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.). In ogni caso si tratta di un consistente piano di gestione della sicurezza, disponibilità ed integrità dei dati, avente data certa a prova formale dell'adeguamento sostenuto. Il numero delle pagine di un manuale medio è di 150 pagine. Manuali inconsistenti e improvvisati di pagine, non solo sono carta straccia e delle inutili perdite di tempo e soldi, ma non servono a niente ai fini dell'adeguamento e della garanzia in caso di controlli. Scopo del DPS Descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc.) ed il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy. Tempi di stesura del DPS Certamente non ci si mette a norma in un giorno, come si legge su certi siti... il documento programmatico richiede una attenta valutazione della situazione aziendale e dei trattamenti effettuati. Per questo motivo i tempi di stesura del DPS variano da tre settimane a due mesi. Precisazioni Il documento deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno. Si consiglia di non aspettare l'ultimo mese utile per la messa in regola della vostra struttura, perché potrebbe non bastare. Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli. Una documentazione in linea con la norma BS7779 e le linee guida ISO 17799:2005 permette di costruire e mantenere nel tempo i processi che determinano e definiscono ruoli, responsabilità e procedure conformi agli obiettivi del Sistema di Gestione per la Sicurezza delle Informazioni. Il titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta redazione/aggiornamento del DPS. LE TESTIMONIANZE DELLE IMPRESE Nata in Italia nel 1960, Tenax è oggi una delle più importanti realtà al mondo per la produzione di reti in plastica e geosintetici. Questo genere di prodotti ha molteplici campi di applicazione: si considerino, ad esempio, le recinzioni utilizzate in agricoltura o nel giardinaggio, le reti da imballaggio o per uso edile, le reti più tecniche impiegate nell industria o nell ingegneria civile. Tenax ha perciò sviluppato un catalogo di oltre referenze ed è cresciuta nel tempo fino a diventare un gruppo internazionale con un fatturato annuo di circa 120 milioni di euro e un organico di quasi 800 persone. In Italia l azienda è presente con tre sedi (il quartier generale di Viganò, in provincia di Lecco, e due unità produttive a Rieti ed Eboli), ha un fatturato annuo di 45 milioni di euro e circa 250 dipendenti. Innovazione tecnologica continua Operando in un settore altamente tecnologico, Tenax ha sempre dedicato grande attenzione e risorse alla ricerca, alla sperimentazione, alle collaborazioni scientifiche e alle sinergie con affermati istituti universitari. Fin dagli anni Sessanta, l azienda ha perseguito la strada di una continua innovazione tecnologica e ha contribuito alla definizione di nuovi standard nei processi di estrusione tradizionalmente impiegati. La scelta di sviluppare al proprio interno tutte le innovazioni di prodotto e di processo ha di fatto caratterizzato la storia dell azienda, 12 13

9 creando un vantaggio competitivo rispetto ai concorrenti. La funzione IT di Tenax è oggi composta da sette professionisti, che si occupano di tutti gli aspetti legati alla tecnologia informatica: dallo sviluppo dell ERP alla gestione degli applicativi, dai servizi Web all assistenza help desk. Fino a quattro anni fa l infrastruttura era basata su una quindicina di server ma, non essendo stata definita una chiara suddivisione dei processi, i sistemi risultavano nel complesso poco efficienti e molto onerosi in termini di manutenzione. L esigenza di mantenere elevato il livello di qualità offerto ai clienti ed essere vincenti dal punto di vista del time-to-market ha convinto Tenax a riprogettare l architettura IT per renderla più affidabile e sicura. Affidabilità ed efficienza sono senza dubbio i vantaggi principali della nuova infrastruttura di Tenax. Abbiamo a disposizione delle funzionalità completamente nuove, come la possibilità di accedere al server di posta da remoto. Possiamo così ricevere ed inviare anche quando siamo fuori ufficio, utilizzando dispositivi come notebook e palmari, precisa l ing. Rigamonti. Anche la gestione del server proxy è migliorata in modo significativo e oggi possiamo controllare l utilizzo di Internet attraverso un attività più puntuale di reportistica. Proteggere il business migliorando la sicurezza dei sistemi IT Anticipando l entrata in vigore del dgls. n. 196/2003 relativo al Documento Programmatico sulla Sicurezza (DPS), Tenax ha sviluppato una soluzione di backup che assicura la massima protezione delle informazioni e dei messaggi . Questa soluzione permette di recuperare i dati degli utenti fino al mese precedente, giorno per giorno. Il backup viene infatti eseguito quotidianamente e, per i servizi più critici, addirittura ogni quattro ore. È stato inoltre necessario innalzare il livello di sicurezza del server di posta, che rappresentava il punto potenzialmente più vulnerabile dell intera infrastruttura. Il sistema è stato innanzitutto protetto grazie ad una soluzione antivirus e antispam, poi si è proceduto a separare il server mail privato e pubblico. Questa particolare configurazione ci tutela anche in caso di accesso da remoto alla posta elettronica, precisa l ing. Rigamonti. La sicurezza dei dati e l integrità delle informazioni è del resto una delle nostre priorità, per cui abbiamo cercato di proteggerci da ogni minaccia che possa derivare da virus, spam, hacker e tentativi di accesso non autorizzato alla nostra rete. Considerando i buoni risultati raggiunti finora, Tenax continuerà ad investire in questa direzione anche nel prossimo futuro. Il ruolo dell IT in Tenax sta cambiando perché oggi la tecnologia rappresenta la base della maggior parte dei nostri processi, conclude Amanzio Rigamonti. Fondata nel 1913 da Francesco Rigamonti, l azienda inizia la propria attività in un laboratorio artigianale situato nel centro storico di Sondrio. La bresaola riscuote in breve tempo notevoli apprezzamenti, soprattutto fra i turisti che visitano la Valtellina per curarsi grazie all aria salubre di montagna. La struttura cresce in modo costante negli anni e vengono aperte altre due unità produttive a Poggiridenti e Mazzo di Valtellina, fino a raggiungere una superficie complessiva di metri quadrati. Il boom della produzione arriva negli anni Novanta, quando viene riconosciuto il valore nutrizionale della bresaola e la sua possibilità di utilizzo in diete e regimi alimentari a basso contenuto calorico ed elevato apporto proteico. Rigamonti conta oggi 300 dipendenti e vanta un fatturato annuo di quasi 100 milioni di euro. La tecnologia come elemento di vantaggio competitivo La crescita di Rigamonti è stata accompagnata da un infrastruttura informatica che, evolvendo nel tempo, ha sempre garantito un adeguato supporto al business dell azienda. Inizialmente basata su sistemi proprietari, verso la metà degli anni Novanta l architettura IT è stata rinnovata per implementare un ambiente client/server in grado di sostenere il software gestionale allora in uso. Alla fine degli anni Novanta ci siamo resi conto che la nostra infrastruttura IT non era più sufficiente, soprattutto dal punto di vista della capacità di elaborazione. L introduzione dell euro e l esigenza di adeguare il sistema informativo ci hanno convinto a compiere un intervento radicale di trasformazione, anche per aprirci alla posta elettronica e al Web, ricorda Paolo Mazza, direttore amministrativo di Rigamonti. Il nuovo gestionale, rivolto principalmente alla funzione contabile-amministrativa, ha portato con sé la necessità di implementare una soluzione server basata su tecnologie standard. In questa fase, il principale vantaggio della tecnologia è stata la possibilità di snellire alcune procedure interne ed esterne, tra cui ad esempio la gestione dei contratti con la GDO. Sono questi gli anni in cui la crescita dell azienda è più rapida e diventa indispensabile aggiungere un modulo software per la gestione della produzione, aumentare il numero delle postazioni di lavoro e potenziare la rete LAN che collega i tre stabilimenti produttivi, così da avere a disposizione un infrastruttura IT ad alte prestazioni ed elevata affidabilità. Dovendo massimizzare la qualità dei processi interni, abbiamo dovuto risolvere due problemi fondamentali, ovvero garantire la tracciabilità di ogni prodotto e dei suoi componenti, e assicurare il collegamento in tempo reale tra le diverse sedi, spiega Wilson Corradi, responsabile IT di Rigamonti. Ogni operaio utilizza infatti un lettore di barcode per identificare le unità prodotte e lavorarle in mo

10 16 do conforme ai livelli qualitativi definiti, ad esempio nella fase del bilanciamento degli aromi. La connessione continua al sistema informativo centrale consente di trasmettere informazioni e ricevere istruzioni sui vari passaggi di lavorazione, per cui è necessario operare in tempo reale per minimizzare i tempi di inattività. Con il supporto di rivenditori specializzati in queste soluzioni, Rigamonti ha quindi ridisegnato la propria infrastruttura IT per migliorare l affidabilità e la sicurezza complessiva dei sistemi, che devono essere sempre disponibili e garantire la continuità dei processi aziendali. L architettura proposta ha sostanzialmente eliminato i fermo macchina, assicurando i massimi livelli di efficienza ed efficacia. Tutti questi sistemi sono stati installati nella sede centrale di Montagna in Valtellina, dove risiede il data center di Rigamonti. L esigenza di conservare dati e informazioni in modo sicuro è stata risolta con una soluzione di backup innovativa. Questi sistemi sono stati collocati in una palazzina secondaria della sede di Montagna, così da essere disponibili anche in caso di incendio o eventi straordinari. Un altro vantaggio della nuova architettura è la separazione della capacità di elaborazione dei server dalla capacità di archiviazione dei dati storage, tutto ciò grazie alla realizzazione di una Storage Area Network. Ciò consente a Rigamonti di potenziare all occorrenza solo una delle due parti; i sistemi sono infatti indipendenti fra loro, tutti caratterizzati da ottimi livelli di flessibilità e scalabilità. Nonostante sia aumentata la complessità della nostra infrastruttura, siamo riusciti ad ottimizzare i costi di gestione e non è stato necessario aumentare il personale IT interno. Possiamo però garantire prestazioni decisamente superiori agli utenti e alla rete nel suo complesso, aggiunge Paolo Mazza. Anche il parco PC è stato progressivamente rinnovato negli ultimi anni: Avere un architettura monomarca e interamente basata su tecnologie standard riduce al minimo i problemi di compatibilità e ci permette di sfruttare meglio le sinergie tra i vari dispositivi, prosegue Wilson Corradi. Nell ottica di garantire la continuità delle attività aziendali e la massima disponibilità dei sistemi informatici, Rigamonti ha affidato ad un operatore esterno anche la gestione del servizio di assistenza tecnica affinché, in caso di guasto ad uno dei server, l operatività sia ripristinata entro quattro ore. L obiettivo di quest anno è consolidare la nuova infrastruttura e completare il progetto in tutti i suoi dettagli, conclude Paolo Mazza. Per noi l informatica non è un costo, ma un opportunità per gestire meglio le varie attività di Rigamonti e continuare ad offrire ai clienti il massimo livello di qualità. Oggi il nostro successo è legato anche alla disponibilità di tecnologie avanzate ed affidabili.