Estratto dell'agenda dell'innovazione e del Trade Padova Speciale: I casi. Introduzione dell'area tematica IL CASO FIDIA FARMACEUTICI

Transcript

1 Estratto dell'agenda dell'innovazione e del Trade Padova 2011 Speciale: I casi Introduzione dell'area tematica IL CASO FIDIA FARMACEUTICI

2 Innovare e competere con le ICT: casi di successo - PARTE Cap.11 Evitare i costi e i danni di una scarsa sicurezza del sistema informativo aziendale L Information Security può essere definita come l insieme delle misure (di natura tecnologica, organizzativa e legale) volte ad impedire, prevenire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate e dal supporto fisico sul quale siano custodite. L ICT Security, a sua volta, è generalmente considerata una componente dell Information Security, che si occupa della protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. La gestione di tali attività è resa più complessa dal crescente grado di sovrapposizione e di integrazione tra la sicurezza informatica ed altri domini di sicurezza, quali, ad esempio, la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi. È chiaro che un area così strategicamente rilevante e pervasiva necessita di sistemi di governance appropriati, tali da garantire un adeguata collocazione e visibilità all interno dell organizzazione, uno stretto collegamento con i programmi strategici complessivi dell impresa, l allocazione di budget congruenti con gli obiettivi prefissati, nonché la verifica dell efficacia delle soluzioni sviluppate e la misurazione dei risultati ottenuti. AGENDA dell INNOVAZIONE e del TRADE 147

3 PARTE - Innovare e competere con le ICT: casi di successo L ICT Security, a sua volta, è generalmente considerata una componente dell Information Security, che si occupa della protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. La gestione di tali attività è resa più complessa dal crescente grado di sovrapposizione e di integrazione tra la sicurezza informatica ed altri domini di sicurezza, quali, ad esempio, la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi. È chiaro che un area così strategicamente rilevante e pervasiva necessita di sistemi di governance appropriati, tali da garantire un adeguata collocazione e visibilità all interno dell organizzazione, uno stretto collegamento con i programmi strategici complessivi dell impresa, l allocazione di budget congruenti con gli obiettivi prefissati, nonché la verifica dell efficacia delle soluzioni sviluppate e la misurazione dei risultati ottenuti. Si tratta della governance strategica dell ICT Security, che ha come obiettivo proprio la definizione delle soluzioni organizzative atte a garantire la massima efficacia ed efficienza delle attività di ICT Security. Le variabili di progettazione della governance strategica sono riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte (macro)organizzative, quali la creazione di unità organizzative ad hoc, l attribuzione di ruoli e responsabilità, le scelte di sourcing strategico, ecc.; la configurazione dei processi strategici, primo fra tutti i processi di pianificazione e controllo; le risorse umane. Lo sviluppo di profili di competenze appropriati per presidiare i diversi ambiti di responsabilità è infatti di fondamentale importanza nel determinare il successo di tali attività. Tra le varie componenti di un sistema di governance strategica della sicurezza, un ruolo fondamentale è rivestito dalla risk analysis. Si tratta di una fase fondamentale dei processi di pianificazione e controllo, atta ad assicurare che i sistemi di protezione progettati e attuati siano coerenti con le minacce e i relativi danni potenziali, nonché con i vincoli legali esistenti. Esistono svariate definizioni dell ICT Risk Analysis (e, in più in generale, di qualsiasi tipo di risk analysis). In ogni caso, si può affermare che con tale termine ci si riferisce al complesso di attività finalizzate all analisi sistematica delle informazioni per identificarne le fonti e stimarne i rischi, quindi, più precisamente, al processo che porta all identificazione delle minacce e delle relative probabilità di accadimento, degli impatti risultanti e delle contromisure che permetterebbero di mitigare o annullare tali impatti. Le fasi principali di una ICT Risk Analysis possono essere così sintetizzate: identificazione delle tipologie di dati gestiti dall organizzazione; mappatura degli asset su cui tali dati vengono elaborati, memorizzati e trasmessi all interno/ all esterno dei confini dell organizzazione; individuazione delle potenziali minacce (e le relative fonti); valutazione del rischio potenziale derivante dalle potenziali minacce; individuazione della tipologia di rischi da coprire e del cosiddetto rischio residuo non gestito, e conseguente definizione delle priorità di intervento. Nella realtà, per quanto concerne le metodologie di analisi utilizzate, il ricorso alla ICT risk analysis in molti casi non è ancora consolidato, e spesso l output di tale attività non rappresenta il punto 148 AGENDA dell INNOVAZIONE e del TRADE

4 Innovare e competere con le ICT: casi di successo - PARTE di partenza per l individuazione delle iniziative di ICT Security. In molti casi si nota, inoltre, ancora un certo scollamento tra le analisi svolte in ambito ICT Security e quelle condotte per valutare il profilo di rischio complessivo dell impresa (tipiche dell unità enterprise risk management), scollamento che conferma la scarsa integrazione tra l ICT Security e la strategia complessiva dell impresa. Inoltre, gli approcci utilizzati non sempre sono caratterizzati da un livello di formalizzazione e accuratezza adeguati. Non di rado, poi, vengono utilizzati diversi approcci all interno della stessa impresa (con diverse finalità: regulatory compliance, protezione degli asset, business continuity), col rischio conseguente di inefficienze e incongruenze tra i risultati delle diverse analisi. strategico. La diffusione di sistemi di misurazione delle prestazioni (cruscotti direzionali, tableau de bord, ecc.) finalizzati al monitoraggio dell attuazione della strategia ICT e alla verifica dei risultati ottenuti appare ancora estremamente limitato. Più frequente l inserimento di qualche indicatore di prestazione (KPI) all interno dei sistemi di misurazione delle prestazioni di altre funzioni (ICT, risk management), anche se spesso tali indicatori appaiono poco integrati e di natura un pò troppo operativa (orientati al breve termine), o, al contrario, troppo generici e di alto livello. È chiaro che l assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell ICT Security, anche alla luce degli standard di riferimento (si pensi all ISO27001). Un altro elemento chiave della governance dell ICT Security è la valutazione ex ante di tipo economico-finanziario dei progetti di investimento. L utilizzo di metodologie strutturate non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici (che porta ad effettuare valutazioni di tipo qualitativo) e nell obbligatorietà (de jure o de facto) dell investimento, che rende non necessaria (almeno apparentemente) tale analisi. A nostro avviso questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell ICT Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management, in cui l approvazione dei progetti (soprattutto se di notevole dimensione) è possibile solo a patto che il Chief Information Security Officer riesca a far comprendere (e a misurare) il contributo che l ICT Security può fornire alla creazione di valore. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo In conclusione, il livello di maturità della governance dell ICT Security è sensibilmente inferiore a quanto avviene rispetto ad altri temi legati all ICT e pertanto spesso il livello di sicurezza delle aziende dipende in maniera significativa dalla sensibilità personale degli interlocutori coinvolti, dal top management al sistemista, ai fornitori esterni. Ma non sempre tale modo di operare è in grado di garantire l efficacia e l affidabilità nel tempo delle soluzioni adottate. AGENDA dell INNOVAZIONE e del TRADE 149

5 PARTE - Innovare e competere con le ICT: casi di successo IL CASO Fidia Farmaceutici Finalista Tutelare gli investimenti in Ricerca & Sviluppo attraverso soluzioni di Information Security L azienda Fidia Farmaceutici s.p.a. è un azienda di Abano Terme (PD) con oltre 500 dipendenti e dal 1946 si occupa della produzione di farmaci, medical devices e integratori, coprendo tutte le attività della filiera, dalla produzione delle materie prime fino alla commercializzazione del prodotto finito. Fidia, è specializzata nello sviluppo di farmaci a base di acido ialuronico, una molecola naturale utilizzata in prodotti per la cura delle malattie osteoarticolari e delle lesioni cutanee. Fidia commercializza i propri prodotti in tutto il mondo attraverso accordi di licenza e distribuzione e, al contempo, sta sviluppando una presenza diretta, con proprio marchio, know-how e listino prodotti, su mercati a forte crescita come Asia centrale, Cina e Medio Oriente, per un fatturato consolidato 2010 che supera i 138 milioni di euro. L applicazione Fidia Farmaceutici opera in un settore in cui gli investimenti in Ricerca & Sviluppo ricoprono un ruolo chiave. L azienda sviluppa e brevetta costantemente nuovi prodotti su scala mondiale e protegge la propria conoscenza attraverso complesse policy di sicurezza. Per supportare la crescita del proprio business e tutelare gli investimenti in Ricerca e Sviluppo, Fidia Farmaceutici ha intrapreso un progetto in collaborazione con Sophos per la realizzazione di un piano di gestione della sicurezza informatica che tiene in considerazione le peculiarità del settore in cui opera. Il primo passo ha portato Fidia Farmaceutici alla realizzazione di un infrastruttura IT virtualizzata, che concentra in un unico data center il parco server dell azienda. L attuale configurazione prevede un unico server fisico che ospita circa 60 server virtuali, in grado, successivamente, di supportare un ulteriore consolidamento dell infrastruttura hardware attraverso la virtualizzazione dei PC desktop. Per tutelare il proprio sistema IT da minacce informatiche interne ed esterne, Fidia Farmaceutici a partire dal 2010 ha installato 150 AGENDA dell INNOVAZIONE e del TRADE

6 Innovare e competere con le ICT: casi di successo - PARTE oltre alle soluzioni antivirus, di controllo delle e della navigazione in rete, nuove soluzioni mirate per la protezione delle informazioni sia sui sistemi client sia server. L azienda ha quindi adottato Sophos NAC Advanced (Network Access Control), una soluzione che verifica la conformità alle policy di sicurezza di tutte le periferiche accedono alla rete e permette l accesso solamente a dispositivi conformi e affidabili, garantendo a Fidia Farmaceutici la corretta attuazione delle policy di sicurezza informatica definite dalla Funzione IT. Infatti, il nuovo sistema consente alla Funzione IT di definire in modo centralizzato policy di sicurezza e di accesso differenziate a seconda della tipologia di terminale connesso, sia appartenente all azienda sia di proprietà di collaboratori esterni. Fidia Farmaceutici ha adottato, inoltre, Sophos Endpoint Security and Control che consente di proteggere i client dell azienda da attacchi malware e di verificare che siano sempre aggiornati con le Security patch necessarie, impedendo, attraverso le funzionalità di Data Loss Prevention (DLP), che vengano trasferiti in modo fraudolento dati sensibili all esterno tramite memorie USB o altri supporti di memorizzazione di massa. Tali funzionalità sono particolarmente importanti per tutelare gli investimenti industriali di Fidia Farmaceutici. Ad esempio, le informazioni legate allo sviluppo nuovi prodotti ed ai brevetti di prossima attuazione sono tutelate dall inconsapevole esposizione SOPHOS Sophos, il tuo partner ideale nella sicurezza informatica su Internet legata ad errori nella condivisione delle informazioni. Grazie a Sophos Safeguard Enterprise, il progetto prevede l estensione del sistema di sicurezza anche ai terminali mobili dell azienda: la rete informatica mobile a supporto della vendita - circa 150 PC portatili su 400 totali sarà protetta grazie alle tecnologie di crittografia delle informazioni trasmesse o ospitate sugli hard disk. I benefici Grazie al nuovo sistema di sicurezza integrato, Fidia Farmaceutici ha la possibilità di proteggere la propria infrastruttura IT da attacchi esterni e da comportamenti fraudolenti volti ad ottenere illegalmente l accesso alla rete informatica. I nuovi sistemi di sicurezza coinvolgono anche i terminali mobili destinati agli Informatori del Farmaco, circa un terzo dei PC aziendali, comprendendo quindi tutte le funzioni aziendali all interno del piano di Information Security. Grazie alla nuova soluzione, Fidia Farmaceutici aumenta il livello di sicurezza per ciò che caratterizza il settore in cui opera. Tutte le informazioni vengono gestite seguendo una logica comune, permettendo a tutti gli utenti di godere del medesimo livello di servizio, con la garanzia che le informazioni sensibili sono protette e condivise in modo corretto attraverso l abbinamento con le giuste policy, senza ostacolare la collaborazione tra le diverse Aree aziendali. info: vedi pag.209 Fidia Farmaceutici s.p.a. si è affidata a noi per proteggere la propria conoscenza e tutelare gli investimenti fatti in ricerca e sviluppo. Insieme abbiamo sviluppato un progetto completo ed innovativo che garantisce, oltre alla protezione dalle classiche minacce informatiche, anche il controllo degli accessi alla rete e la protezione dei dati sensibili. Per sviluppare questo progetto abbiamo usato le seguenti soluzioni: Sophos Endpoint Security and Control, la nostra soluzione di punta che protegge i client dell azienda da attacchi malware. Inoltre, attraverso le funzionalità di Data Loss Prevention (DLP), si può evitare che i dati sensibili vengano trasferiti in modo fraudolento tramite memorie USB o altri supporti di memorizzazione di massa. Sophos NAC Advanced (Network Access Control), una soluzione che verifica la conformità alle policy di sicurezza di tutte le periferiche che accedono alla rete e permette l accesso solamente a dispositivi conformi e affidabili; questo sistema consente di controllare gli accessi alla rete aziendale da parte di collaboratori esterni e non. SophosSafeguard Enterprise, il progetto prevede l estensione del sistema di sicurezza anche ai terminali mobili crittografando le informazioni trasmesse o ospitate in essi. Questi sono solo alcune delle soluzioni di sicurezza che possiamo offrire ai nostri clienti. Nei prossimi mesi la protezione comprenderà anche gli smartphone basati su ios, Android, e Windows Mobile, grazie alla console web-based Sophos Mobile Control. Per saperne di più passa al nostro stand. AGENDA dell INNOVAZIONE e del TRADE 151