Come promesso, continua lo studio sulla sicurezza nelle PMI. L’ultimo post è stato prima di una serie di interessanti incontri e discussioni al riguardo, primo fra tutti il convegno di Barcellona organizzato da ENISA e INTECO, ma anche ad esempio ieri il convegno regionale di AIP Toscana. Le buone notizie sono che le cose cominciano ad avere un senso, e forse si può intravedere una soluzione. Per primo cito un estratto dalle considerazioni sul convegno di Barcellona che ho preparato per la newsletter del CLUSIT, in uscita a fine mese.
Il convegno ha affrontato da diverse prospettive il problema del risk management in azienda, in particolare con una forte attenzione alle esigenze ed alle difficoltà delle PMI e delle microimprese. Sono state portate le esperienze di diverse iniziative svoltesi in Spagna, Francia, Regno Unito, Germania e Austria. Le iniziative sono state promosse da diverse organizzazioni, dalle Pubbliche Amministrazioni Centrali fino alle Camere di Commercio e alle associazioni professionali.
Nel complesso, dalle esperienze presentate emerge che un punto fondamentale è capire il linguaggio da utilizzare con le PMI, dove con PMI non si intendono i loro tecnici ma i loro manager. La situazione per cui le PMI e in particolare le microimprese non hanno personale competente interno è comune a tutta l’Europa. È necessario quindi affrontare i problemi dal punto di vista del business dell’azienda e non dell’IT; la protezione del sistema informativo deve risultare come conseguenza della protezione delle attività aziendali. Le presentazioni sono state infatti focalizzate sulla protezione dell’operatività dell’azienda; solo marginalmente sono state citate ad esempio le problematiche di compliance, ma mai come scopo trainante delle attività.
È stato anche affrontato il problema di come offrire degli strumenti semplificati, adatti al contesto specifico delle PMI.
Di particolare interesse è stata la presentazione dell’iniziativa della Camera di Commercio austriaca IT-Safe ( http://it-safe.at ). L’iniziativa comprende dei manuali ben focalizzati sulle PMI, non rivolti al personale IT ma a dirigenti e dipendenti. Prevede inoltre un questionario di autovalutazione (scelta molto comune come approccio, aiuta la PMI a ragionare sui propri problemi) in base al quale vengono forniti i “capitoli interessanti” dei manuali. Infine, l’iniziativa comprende un servizio di consulenza, pagato ad ore dalle PMI, per attività di audit e advising, anche questa rivolta ai
manager dell’azienda, per permettere loro di capire quali sono i loro problemi e cosa chiedere ai propri fornitori.
Quindi, il punto fondamentale è capire la PMI: di cosa a bisogno e come parlare loro. Sembra una banalità, ma non lo è. Prima di tutto, l’attenzione non è sulla sicurezza ma sulla gestione del rischio. E l’attenzione non è sull’IT ma sui processi aziendali. Tutti mi confermano che il problema non deve essere affrontato dal lato fornitore ma dal lato proprietà, che spesso in queste aziende vuole dire il “padrone”, unico che decide in particolare sulla spesa.
Dal convegno di Barcellona sono emersi con forza diversi concetti.
Il più importante è che non è vero che le PMI e microimprese non sono sensibili, semplicemente sono sensibili al loro business e non all’IT: sta a chi deve fornire loro consulenza l’onere di riuscire a presentare i concetti in termini di business e non di IT. Da questo punto di vista i loro fornitori sono molto spesso carenti, essendo fortemente focalizzati sulla tecnologia e non sui processi. Manca il linguaggio adatto alle PMI ma manca soprattutto la conoscenza dell’azienda, necessaria per affrontare i problemi reali dell’azienda (problemi di business) dei quali i problemi di sicurezza IT sono solo una conseguenza. Inoltre, e anche di conseguenza, il fornitore tende ad avere una posizione “reattiva” nei confronti delle esigenze della PMI, nel senso che a richiesta (“mi hanno detto che ci serve un firewall, ce lo fornite?”) rispondono in modo puntiforme (installazione del firewall). Dato che la PMI non ha la conoscenza necessaria per essere propositiva, se non occasionalmente, non ci sono di fatto miglioramenti.
Aggiungo che quando le aziende specializzate nella fornitura di soluzioni di sicurezza ICT, che hanno invece abitudine ad affrontare i problemi in termini di processi, si propongono alle PMI, mancano invece completamente della capacità di affrontare le dimensioni “minime” delle aziende. Questo accade a tutti i livelli, a partire dai commerciali che si presentano con gli stessi strumenti (presentazioni ecc.) che utilizzano presso le grandi aziende, con risultati catastrofici. E non è solamente questione di “semplificare e banalizzare”, ma è questione di capire la diversa prospettiva.
Un altro concetto importante, che ho già citato, è l’attenzione al rischio per l’azienda e non per l’IT, e su questo non aggiungo altro. Altri concetti importanti mi sono stati confermati in incontri e discussioni successivi. Il più importante è forse che non si tratta di un problema specifico della sicurezza, ma di tutto quanto è un po’ “specialistico”, almeno nell’IT, e deve essere portato ad una PMI. Questo principalmente per ovvie ragioni di scala: la PMI non ha le risorse di tempo, competenze e soldi necessari per affrontare in proprio questi aspetti. E da qui esce confermata la conseguenza più importante dal punto di vista pratico, ovvero la necessità di lavorare per settori e con le associazioni di categoria, che sono in grado di ottenere per le PMI quelle economie di scala che queste da sole non possono avere.
Quest’ultimo punto, come dicevo, è particolarmente importante da un punto di vista pratico, e non lo dicevo per caso. Queste considerazioni non hanno assolutamente l’intenzione di rimanere un discorso su un blog. È mia intenzione partire da qui per attivare, come CLUSIT, alcuni piloti in collaborazione con associazioni di categoria e altre organizzazioni, nel tentativo di definire un modello utilizzabile per migliorare l’offerta alle PMI. Anzi, ho già cominicato 😉
