“E’ una lotta contro i mulini a vento quella di chi pensa che per tutelare l’azienda sia sufficiente, anzi funzionale, porre delle barriere a quella che è la naturale evoluzione nel modo di lavorare” lo spiega bene Roberto Sortino che ai margini della presentazione del report Information Security Management 2012 di Nextvalue commenta le tendenze e interpreta la strategia di Emc in questo ambito.

E’ vero, è una lotta senza senso. Il processo di consumerizzazione del business, la necessità di lavorare con i device con cui ci si trova meglio e tanti dei servizi cloud in grado di aumentare la produttività dell’individuo, si pensi anche solo a DropBox, pongono di fatto gli addetti ai lavori di fronte a un bivio: vietare (ma significa perdere un treno di possibilità) o cavalcare le opportunità offerte dai nuovi strumenti. E va scelta la seconda opzione.

Le aziende possono decidere di fornire un proprio servizio, oppure ancora inquadrare l’utilizzo degli strumenti inserendo criteri guida precisi, ma non a danno del business e della produttività; e il ruolo del vendor è proprio quello di offrire gli strumenti progettuali e l’infrastruttura IT per farlo.

Prosegue Sortino: “Il report Information Security Management 2012 serve non a spaventarsi, ma a capire secondo quali direttive e come si può configurare l’infrastruttura in modo che sia in grado di accogliere diversi device e diversi servizi”.

Non si tratta quindi di mettere sotto stress i CTO, anzi, si tratta di fornire tool di controllo, strumenti per far fluire ancora meglio la comunicazione e amplificare la risposta in modo da raggiungere tutte le situazioni interne simili a quelle già considerate, per fare cultura della sicurezza.

E fare sicurezza nell’era cloud non può prescindere dall’idea di Business Continuity, in un approccio sistemico e quindi produttivo può voler dire sia perfetto allineamento dei dati in ogni istante, a prezzi altissimi, ma anche accettare una perdita del dato per frazioni temporali, in un bilanciamento intelligente con le proprie esigenze di business. Due quindi le variabili sulla bilancia: costi e disponibilità dell’informazione. Consci che il prezzo di un’infrastruttura perfettamente sincrona è altissimo e che con diversi rapporti RPO (Recovery Point Objective) e RTO (Recovery Time Objective) si possono risparmiare tanti soldi senza compromettere quasi nulla. Si parla di ordini di grandezza a doppio zero.

Qual è il fattore critico in queste scelte? Secondo Roberto Sortino è uno: “Le aziende che chiedono una soluzione di Business Continuity As A Service sono ferme su un passaggio: vogliono poter comunque controllare tutto, esigono una dashboard, cruscotti completi, soluzioni tutte a portafoglio”.

La lettura personale di Roberto Sortino, che a caldo commenta la ricerca, si sofferma in ultimo sulla considerazione delle figure professionali coinvolte nei processi, esse sono in chiara evoluzione. E questo è un fattore importante: si assiste alla specializzazione degli attori coinvolti nelle tematiche di Information Security. I CIO sono affiancati dai CSO e da CiSO, queste ultime due qualifiche arrivano ad avere, nelle realtà più complesse del financial e del banking, un ruolo chiave tanto da rispondere direttamente al CEO.

Insomma, c’è molta più attenzione ai fenomeni tanto da strutturare in modo più articolato incarichi e competenze, e quindi c’è disponibilità a maggiori investimenti nell’ottica di cavalcare, e non subire le sfide evolutive dell’Information Security che è fattore critico e impatta direttamente sul business.