L'APPROCCIO CORRETTO

Gestione delle risorse IT in azienda: consigli pratici per cominciare bene

Se per le imprese gli investimenti IT possono sembrare un buco nero, forse un po’ di consigli su come effettuare una corretta gestione delle risorse IT in azienda potrebbero essere utili. A cominciare dalle sinergie tra professionisti ponendosi come traguardo la soddisfazione del cliente… senza perderlo

21 Ott 2019
L
Andrea Lorenzoni

Project Manager Cyber Security


Oggi giorno pochi sono i settori d’impresa che non utilizzano la tecnologia e la corretta gestione delle risorse IT in azienda è dunque divenuta di fatto indispensabile per lo svolgimento di tutto, o quasi, l’incombente quotidiano.

Grande o piccola che sia l’impresa anche se, alla luce di quanto si è potuto constatare, il concetto “piccolo/grande” ormai ha perso di significato su come dimensionare la propria infrastruttura lasciando il posto, credo in maniera più significativa, alla tipologia di dati che bisogna gestire.

Per esempio, una pasticceria con 40 dipendenti e uno studio legale di 10 dipendenti avranno due investimenti diversi in ambito IT che vedranno un esborso sicuramente più importante per lo studio legale, nonostante la struttura aziendale sia più snella rispetto alla pasticceria.

Cambiano le informazioni che devono essere gestite e quindi maggiori sono le responsabilità (rispetto ai dati che devono essere gestiti) e maggiore deve essere il livello di specializzazione dei professionisti ai quali l’azienda si rivolge.

Gestione delle risorse IT in azienda: lo scenario attuale

È doveroso proiettare il medesimo principio anche a chi è il professionista IT. L’ambito professionale è vasto e le applicazioni e le specializzazioni sono molteplici. Bisogna, quindi, avere la responsabilità di scegliere in che segmento posizionarsi, considerazione che va effettuata in base ad una valutazione delle proprie skills, ambizioni, predisposizioni personali e passioni.

E poi chiariamoci: la sinergia è il futuro. L’errore comune, ancora oggi, è la tendenza di curarsi solo “del proprio orticello”. Situazione che, prima o poi, satura il tempo a disposizione privando anche quello che si dovrebbe riservare alla formazione personale e, quindi, alla crescita. E ciò fa male al mercato e squalifica l’intero settore.

Il principio “faccio tutto io” è sbagliato e, alla lunga, si finisce per compiere degli autogoal clamorosi.

Basta un esempio pratico che, credo, sia anche molto comune.

Un’azienda di professionisti gestisce i dati dei propri clienti, sia aziende sia privati: i dati che gestisce sono particolarmente sensibili e di fatto sono obbligati anche al DPO (che non hanno) e non sono compliance GDPR.

Hanno un server vecchio che il loro fornitore IT consiglia di sostituire con una spesa minore rispetto a quanto, in realtà, sarebbe necessaria poiché la proprietà non vuole investire lamentando la crisi economica, sebbene abbia appena perfezionato il leasing per il SUV da centomila euro. Ovviamente intestato all’azienda.

Il cliente interroga un altro fornitore che, abituato ad interagire in un altro segmento di business, sostiene che sostituendo gli hard disk il server “sarà come nuovo” ed in ogni caso ci sono ancora, seppur per poco, gli aggiornamenti di sicurezza del sistema operativo che garantiscono la funzionalità per almeno due anni.

Il tutto a fronte di un sistema che già è acceso da 8 anni h24.

Il cliente vuole spendere il meno possibile ed il professionista interpellato, di fronte ad uno scenario per il quale non è competente, decide in ogni caso di procedere per finalizzare anche un seppur minimo guadagno.

Una corretta gestione delle risorse IT in azienda

Sull’esempio citato, che credo sia uno scenario che molto spesso si è presentato di fronte ai professionisti, è bene fare alcune considerazioni.

Per quello che riguarda l’esempio in senso stretto, la considerazione di sostituire un server parte da una specifica che viene determinata dal costruttore, se non interviene qualche altro fattore di maggiore importanza.

Gli strumenti IT (server, PC, notebook ecc.) possiedono delle specifiche tecniche che il produttore divulga dopo aver compiuto i relativi test. C’è poi da valutare che la mera sostituzione di uno o più hard disks va considerata anche in base ai dati tecnici di degrado del componente (anch’essi pubblicati dal relativo produttore) per poi individuare quali sono i modelli che il produttore del server ha considerato compatibili per non incorrere in problematiche future.

Il tutto valutando che nelle specifiche, solitamente, si fa riferimento a condizioni ambientali (che per molti modelli di server sono ben specifiche) che se non dovessero essere rispettate comporterebbero l’anticipata scadenza del tempo di vita di quel determinato device.

Inoltre, nella fase di dismissione di un sistema operativo, vengono garantiti solo gli aggiornamenti di sicurezza che è il minimo indispensabile affinché l’azienda possa migrare su una nuova piattaforma senza il pensiero delle vulnerabilità.

L’intento, quindi, non è permettere di procrastinare l’investimento il più tardi possibile bensì di poterlo programmare ed effettuare avendo a disposizione il tempo utile per la pianificazione ed esecuzione di un processo che è tutt’altro che banale. In poche parole: una corretta gestione delle risorse IT in azienda.

Gestione delle risorse IT in azienda: la sinergia è il futuro

Insomma, quando si è di fronte ad infrastrutture importanti, anche un semplice manutentore junior deve comprendere che ci sono delle responsabilità nel decidere le proprie azioni, quando esse sono conseguenza di opinioni personali non considerando le indicazioni tecniche dei produttori o i documenti tecnici relativi. E per infrastrutture importanti si intendono quegli strumenti che devono gestire dati importanti sotto il punto di vista delle normative. Fosse anche un semplice server entry-level.

Se non altro può valere la solita considerazione: quando tutto va bene nessuno si lamenta, ma quando c’è una contestazione l’unica maniera per dimostrare la propria ragione sono i documenti oggettivi e non opponibili.

I documenti tecnici dei prodotti sono importanti, inoltre, per una corretta gestione delle risorse IT in azienda. Quando so che il produttore indica il tempo di vita di un server in cinque anni devo considerare che entro quella data, possibilmente senza attendere guasti critici, dovrò sostituirlo.

Ovviamente in questa sede non si vuole indicare che alla scadenza il server si spegne, tuttavia se il produttore indica una data massima c’è da mettersi il cuore in pace che ogni giorno in più che il server è in funzione rappresenta un vero “regalo”. Stesso discorso per un hard disk, per un monitor, per lo smartphone e via dicendo.

Credo che nel mercato di oggi nessuna realtà imprenditoriale possa reggersi sul rischio secondo il principio “viviamo alla giornata finché funziona bene, altrimenti ci penseremo”.

In questo vorrei fare una considerazione pratica molto importante. Quando l’azienda decide di “tirare la fine” costringe il professionista IT incaricato (che sia interno o esterno all’azienda) ad una gestione che non desidera, in quanto è ben consapevole che un guasto su un sistema strategico che potrebbe capitare “da un minuto all’altro” comporta per tutti uno stato di stress inutile e dannoso nonché, quando il guasto dovesse verificarsi, comporterebbe un’assunzione di priorità che il cliente pretenderebbe dal professionista IT (alla luce della situazione intervenuta che di solito è il disastro annunciato) il quale si vedrà a dover riorganizzare le proprie priorità magari trascurando altri clienti.

Ciò non può essere giustificato oggi come oggi come “rischio di impresa” e in più, molte volte, sento professionisti che si lamentano poiché quel momento di urgenza e di disponibilità non viene poi riconosciuto all’atto della fatturazione di quanto dovuto.

Serve un corretto piano di investimento

La domanda è come un’azienda può avvalersi di una gestione IT efficace con un corretto piano di investimento.

Per prima cosa potremmo applicare il principio che venne proposto in altri settori merceologici e che ora viene ripreso anche dalle recenti direttive europee.

Rapportandosi al GDPR, per esempio, il titolare del trattamento deve dimostrare che le misure adottate sono efficaci non solo nella forma ma anche nella sostanza. Deve, quindi, rivolgersi ad un soggetto “terzo” che sia fuori dal conflitto di interessi.

In pratica, se per mitigare determinate vulnerabilità ho dovuto acquistare un nuovo firewall, non potrò rivolgermi allo stesso rivenditore per effettuare un test strumentale sulla validità o meno della soluzione venduta. Probabilmente mi rivolgerò ad un organismo indipendente per avere un risultato strumentale ed attendibile.

Alla stessa stregua, posso pensare che chi deve progettare la mia infrastruttura o, semplicemente, il consulente IT che mi supporta nell’IT management della mia impresa debba essere una figura che abbia delle skills dimostrabili e che non sia chi poi materialmente mi “vende” l’infrastruttura.

Piccola o grande che sia, la mia infrastruttura ha il dovere e il diritto di essere gestita in maniera professionale poiché, ricordiamoci, che la conseguenza più spiacevole di un data breach è il danno da reputazione.

Ci sono professionisti che, di fronte all’infezione di ransomware, si sono preoccupati di non far trapelare la notizia dell’infezione piuttosto che investire nella sicurezza della propria infrastruttura IT.

Certificare la corretta gestione delle risorse IT in azienda

La gestione IT fatta bene implica un progetto dove si delinea una situazione iniziale e possibilmente gli obiettivi da conseguire. Se necessaria va fatta una valutazione dei rischi in merito ai dati che vengono gestiti sia dal punto di vista delle tecnologie sia dal punto di vista umano.

Quando opportuno (ed il GDPR in pratica lo annette sempre e comunque) ci si deve rivolgere ad organismi di valutazione indipendenti (quindi non brandizzate e che non rivendono hardware e/o software) che hanno le competenze e le qualifiche per compiere delle analisi strumentali rispetto alle vulnerabilità presenti, ai penetration test nonché alle possibili azioni determinate attraverso metodologie della social engineering.

I report che vengono rilasciati a questo livello oltre che essere i più attendibili, sono dei documenti che il cliente deve poter pubblicare (ovviamente celando le informazioni che non devono essere divulgate) poiché è una dichiarazione dove un organismo di valutazione indipendente certifica lo stato in essere della propria infrastruttura.

Prendendo l’esempio iniziale, uno studio legale che certifica la propria gestione IT è sicuramente più appetibile rispetto ad uno che non lo fa.

Farlo tutti implica la presa di coscienza delle responsabilità che la gestione dei dati ascrive ad ognuno di noi: la consapevolezza della quale parlavo in un altro articolo.

Una corretta gestione delle risorse IT in azienda ha solo vantaggi: i costi sono controllati, si ha un giusto rapporto costi/benefici ed avvalendosi di un professionista si ha sempre una persona il cui unico compito è occuparsi dell’evoluzione della propria infrastruttura IT con la soluzione più equilibrata e, allo stesso tempo, avanzata.

Si previene il data breach e, soprattutto, si determinano delle regole per affrontare i possibili problemi che possono conseguire un atto di cyber criminalità. Soprattutto si cerca di prevenire.

Conclusioni

Bisogna tenere sempre a mente che la gestione delle risorse IT in azienda è molto di più rispetto alla mera gestione di quello che dovrò acquistare a breve termine.

Atteso che in una determinata infrastruttura già non sia presente, un IT manager non può esimersi dal considerare quanto è nelle competenze del risk manager e del quality manager (ovviamente sempre dimensionate solo alla parte IT).

Dal punto di vista del professionista IT in molti casi va valutato un cambio di mentalità. Sono passati gli anni nei quali non chiedevo supporto a “colleghi” per paura che, a conti fatti, utilizzavano la sinergia con l’intento finale di conquistare un cliente in più. Anche perché è realmente quello che succedeva e succede ancora.

Il “mors tua vita mea” non funziona: non ha mai funzionato ed oggi più che mai tutto questo si trasforma in un danno generalizzato nei confronti di una categoria professionale che non viene considerata e valorizzata per quello che vale. Oltre ai danni che si causano ai clienti.

Abbiamo costantemente in primo piano, ogni giorno, i modelli di business che comportano degli esiti tragici e inevitabili. Da comprendere è che il ruolo di essere concorrenti, sul mercato, è che tra i contendenti spicca chi ha il livello di conoscenza superiore che consiste anche nell’applicare quella determinata conoscenza.

Quindi fare sinergia implica che ci dev’essere, in un determinato gruppo di lavoro, la correttezza ed il rispetto verso il prossimo. Cercare di “rubarsi” i clienti l’un l’altro non solo impoverisce il concetto della professione ma rende l’idea al cliente che ciò che necessita si può ottenere con il minor prezzo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5