• Non ci sono risultati.

La gestione strategica del Cyber Risk: Il caso Nesti & Bonsignori Spa

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "La gestione strategica del Cyber Risk: Il caso Nesti & Bonsignori Spa"

Copied!
124
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 124 pagine )

Testo completo

(1)

UNIVERSITÁ DI PISA

DIPARTIMENTO DI ECONOMIA E MANAGEMENT

Corso di Laurea Magistrale in Strategia, Management e Controllo

Tesi di Laurea

La gestione strategica del Cyber Risk:

Il caso Nesti & Bonsignori Spa

Relatore Candidato

Prof.ssa Rigolini Alessandra Cacciapuoti Giusy

(2)

~ 2 ~

(3)

~ 3 ~

RINGRAZIAMENTI

Quella che dovrebbe essere la parte più facile, è invece per me la più difficile.

Comincio ringraziando la Prof.ssa Rigolini per avermi seguita nella stesura di

questa tesi e per avermi incoraggiata ad ogni nostro incontro.

Ringrazio le compagne di questa avventura universitaria: quelle passate,

Debora e Manuela, sempre presenti nei miei attacchi di ansia, e quelle attuali,

Elisa e Claudia, sostegno nel delirio pre-tesi.

“Il Collagene”, che pur sparso in tutta Italia ha sempre trovato il modo di

essere presente, ed in particolare Cristina, il mio supporto 24 ore su 24, 7

giorni su 7.

La mia Tonto, consigliera fidata ed amica fedele da ormai 15 anni, che

nemmeno La Manica è riuscita a far stare lontana. Martina, “la mia metà”

donna su cui ho sempre potuto contare da quando sono nata e che vorrò

accanto in tutto il mio futuro.

Devo ringraziare poi l’altra mia metà, Federico: mi ha supportata, sopportata e

mi è sempre stato accanto in ogni modo, nonostante negli ultimi mesi mi abbia

vista solo “dormire” o lamentarmi e mi abbia sentita solo per il buongiorno e la

buonanotte. T20 perché sei ancora qui, paziente e gentile come sempre.

Ed infine tocca alle mie donne: Brenda, si proprio lei, la mia brendolina,

compagna di fine settimana di studio e dei momenti di svago; se tu avessi la

parola sapresti questa tesi meglio di me. E poi sicuramente loro, Mamma ed

Erika, le donne più forti e spettacolari che conosco. Indipendenti, con voglia di

fare e sempre sorridenti alla vita, siete la mia roccia ed il mio esempio. Questo

traguardo lo dedico a voi…e a me…per non aver mollato, per averci creduto e

per esserci riuscita. Mai come oggi potrò dire che veramente, volere è potere.

(4)

~ 4 ~

Sommario

INDICE DELLE FIGURE ... 6

INTRODUZIONE ... 7

1° CAPITOLO: LA DIGITALIZZAZIONE ... 9

1.1

L’EVOLUZIONE DIGITALE ... 10

1.1.1. Big Bang Disruption ... 11

1.1.2. Digitalizzazione in ambito aziendale ... 14

1.1.3. Approccio delle imprese italiane ... 16

1.2

OPPORTUNITÀ E MINACCE ... 20

1.2.1 Big Data ... 20

1.2.2 Cloud Computing ... 27

2° CAPITOLO: CYBER RISK E CYBER SECURITY ... 31

2.1 CYBER RISK: DEFINIZIONE ... 31

2.1.1 Classificazione dei danni... 34

2.1.2 Tecniche di attacco ... 37

2.1.3 Distribuzione delle tecniche di attacco per tipologia ... 41

2.2 SITUAZIONE NEL 2016 ... 44

2.2.1 Dati rilevanti ... 46

2.2.2 Consapevolezza e maggiori timori delle aziende italiane ... 51

2.3 CYBER SECURITY ... 54

2.3.1 Quadro istituzionale ... 57

2.3.2 Framework nazionale per la Cyber security ... 59

2.3.3 Cyber Risk Management ... 64

3° CAPITOLO: NESTI & BONSIGNORI SPA ... 69

3.1 OBIETTIVI E METODOLOGIA ... 69

3.2 DESCRIZIONE DELL’AZIENDA... 71

3.3 SETTORE DI APPARTENENZA ... 76

3.4 MODELLO DI BUSINESS ... 78

3.4.1 Struttura organizzativa ... 81 3.4.2 Attività operativa ... 84 3.4.3 Evoluzione digitale ... 88

3.5 CYBER RISK ED ATTACCO INFORMATICO ... 91

3.6 CYBERSECURITY ... 105

(5)

~ 5 ~

APPENDICE ... 114

BIBLIOGRAFIA E SITOGRAFIA ... 123

(6)

~ 6 ~

INDICE DELLE FIGURE

Figura 1: Pensiero convenzionale vs pensiero Big Bang

Figura 2: Percezione dell’innovazione digitale Figura 3: Progetti avviati in tema di sicurezza

Figura 4: Data scientist nelle aziende: fattori discriminanti Figura 5: Distribuzione degli attacchi per tipologia

Figura 6: Tipologia e distribuzione delle tecniche d’attacco Figura 7: Tipologia tecniche di attacco dal 2011 al 2016 Figura 8: Distribuzione degli attaccanti per tipologia Figura 9: Tipologia e distribuzione degli attaccanti

Figura 10: Distribuzione degli attaccanti per finalità dal 2011 al 2016 Figura 11: Tipologia e distribuzione delle vittime

Figura 12: Distribuzione delle vittime suddivise per settore

Figura 13: Livello di allarme rispetto a diverse tipologie di incidente informatico Figura 14: Rischio atteso in caso di attacchi informatici

Figura 15: Nuova conformazione dell’ERM Figura 16: Fonte: Aida, banca dati.

Figura 17: Andamento del fatturato 2006-2015. Fonte: Aida, banca dati. Figura 18: Andamento dell’utile 2006-2015. Fonte: Aida, banca dati.

Figura 19: Principali indici di redditività 2010-2015. Fonte: Aida, banca dati. Figura 20: Organigramma Nesti e Bonsignori Spa

Figura 21: Scale descrittive per la valutazione della probabilità e dell’impatto Figura 22: Matrice probabilità/impatto

Figura 23: Scale descrittive per la valutazione della probabilità secondo due diversi driver

Figura 24: Scale descrittive per la valutazione dell’impatto secondo due diversi driver Figura 25: Diversa collocazione del Cyber risk

(7)

~ 7 ~

INTRODUZIONE

La rivoluzione digitale a cui stiamo assistendo ormai da anni ha coinvolto e sta cambiando, ad un ritmo sempre maggiore, la società, le organizzazioni ed i comportamenti individuali. La ragione è da ricercare nell’incessante sviluppo tecnologico, informatico e digitale che ha portato ad una nuova ondata di innovazioni tecnologiche nell’ambito dell’Information and Communication Technology che stanno guidando il cambiamento del modo in cui le organizzazioni operano ed interagiscono con l’ambiente circostante, rimodellando la cultura del business e creando quindi nuovi business model. Di fatto, digitalizzare le attività aziendali significa riprogettarle al fine di poter gestire in modo più collaborativo, oltre che integrato, sia i processi interni all’azienda, sia quelli esterni, e ciò risulta possibile solo attraverso la condivisione in forma elettronica, strutturata ed elaborabile, di quelle che sono le logiche di gestione di ciascun processo e di tutte le principali informazioni che lo caratterizzano. Tutto ciò, se da un lato ha portato molti vantaggi alle organizzazioni che hanno saputo cogliere le opportunità del digitale, dall’altro, la crescente adozione dello spazio cibernetico, ha portato con sé notevoli problemi di vulnerabilità dei sistemi informatici, delle applicazioni e dei software, dai quali derivano nuove esposizioni al rischio su cui si basano, sempre di più, singoli o gruppi di criminali informatici allo scopo di ottenere guadagni illeciti ad esempio dalla sottrazione di informazioni riservate ad organizzazioni ed imprese, dallo spionaggio industriale e da tutta una serie di “nuove” modalità di attacco informatico a danno dei singoli consumatori, delle aziende e dell’intera società. Lo scopo di questo elaborato è proprio quello di andare ad indagare se le aziende sono consapevoli dell’esistenza di questa nuova tipologia di Rischio Cyber e se, ma soprattutto come, questo viene gestito. Nello specifico, è stato analizzato il caso concreto di una piccola/media impresa di zona, operante nell’ambito dell’ingrosso alimentare, che in seguito ad un attacco informatico subito nell’anno 2016 ha preso piena consapevolezza di cosa significhi essere esposti al Cyber risk, implementando tutta una serie di misure di sicurezza mai avute prima.

(8)

~ 8 ~

Nel primo capitolo, analizzeremo più nello specifico la digitalizzazione soprattutto nell’ottica delle realtà aziendali, cercando di capire quali sono i vantaggi ed i rischi che questa porta con sè e quale sia la posizione delle aziende italiane a riguardo.

Nel secondo capitolo ci soffermeremo invece sul principale rischio collegato all’utilizzo della rete, il c.d. Cyber risk, individuando quelle che sono le tipologie di attacco informatico più diffuse e le principali conseguenze economiche per le potenziali vittime, soffermandosi poi su quelle che dovrebbero essere le misure di cybersecurity da implementare all’interno di ogni azienda in proporzione alla propria grandezza.

Infine, nel terzo capitolo, affronteremo il caso di una piccola media impresa, la Nesti e

Bonsignori Spa, che nel 2016 è stata vittima di una delle più diffuse tipologie di

attacco, cercando di capire l’evolversi della concezione e consapevolezza nel tempo dell’impresa riguardo il Cyber risk, ed indagando su quelle che sono le misure di sicurezza messe in atto.

(9)

~ 9 ~

1° CAPITOLO: LA DIGITALIZZAZIONE

Sono diversi anni ormai che stiamo assistendo ad una vera e propria rivoluzione digitale che ha coinvolto e sta cambiando la società, le organizzazioni ed i comportamenti individuali, e lo sta facendo ad un ritmo sempre maggiore. La ragione è da ricercare nell’incessante sviluppo tecnologico, informatico e digitale: le macchine computerizzate hanno funzioni sempre più indipendenti in ogni ambito; le piattaforme digitali, su cui ci informiamo ed in cui sempre più spesso socializziamo, da un lato impongono i propri algoritmi, dall’altro ed allo stesso tempo raccolgono ed analizzano un enorme quantità di dati; l’Internet of things1 ha portato ad interagire con la rete, e quindi a trasferire dati ed informazioni, un numero sempre maggiore di dispositivi di ogni tipo, a partire dagli smartphone e dai tablet, fino ad arrivare alle auto, agli elettrodomestici e così via. E man mano che si diffondono apparati e sensori, tanto più cresce la mole di dati che dovranno essere gestiti e cresce quindi il numero di applicazioni che dovranno essere sviluppate.

Allo stesso tempo, è innegabile che si tratti anche di un fenomeno culturale. Le nuove tecnologie stanno cambiando la natura delle relazioni tra le organizzazioni, tra le linee di business e soprattutto tra brands e consumatori. Parlare di digitalizzazione, quindi, significa anche comprendere quali sono i comportamenti dei consumatori e come stanno cambiando parallelamente all’evoluzione digitale, in particolare riguardo al loro consumo di beni e servizi. È chiaro quindi come questa evoluzione tecnologica e culturale abbia reso il mondo commerciale contemporaneamente più collaborativo e più competitivo, e come stia guidando il cambiamento del modo in cui le organizzazioni operano ed interagiscono con l’ambiente circostante, rimodellando la cultura del business, creando cioè nuovi business model.

1 Internet of things (IoT): con il neologismo “Internet delle cose” vengono indicate tutto un insieme

di tecnologie che permettono di collegare ad Internet qualunque tipo di apparato. Lo scopo di questo tipo di soluzioni è sostanzialmente quello di monitorare, controllare e trasferire informazioni per poi svolgere azioni conseguenti.

(10)

~ 10 ~

Per tutti questi motivi la rivoluzione digitale che sta avendo luogo viene spesso indicata come la quarta rivoluzione industriale, o età dell’informazione, che in termini di impatto sulla società e sull’economia, può essere equiparata all’introduzione della ferrovia, all’invenzione del motore a combustione interna ed alla trasmissione dell’energia elettrica.

1.1 L’evoluzione digitale

Nonostante siano passati decenni dall’introduzione dei primi grandi calcolatori ed anni dall’entrata sul mercato dei PC e di tutta una serie di innovazioni che hanno cambiato profondamente la nostra vita, primi tra tutti i cellulari ed internet, negli ultimi anni sentiamo ancora parlare di digitale, come se ancora fosse una novità. Questo succede perché abbiamo assistito ad una nuova ondata di innovazioni tecnologiche nell’ambito dell’Information and Communication Technology, che affiancata alla parallela costruzione di nuove infrastrutture tecnologiche, ha provocato un vero e proprio salto di qualità. Abbiamo assistito, ad esempio, alla diffusione su scala mondiale degli

smartphone e dei tablet, con la loro possibilità di accesso ad Internet in mobilità e la

loro possibilità di offrire tramite le App, una varietà di servizi e funzionalità in ambiti sempre maggiori e diversi, grazie soprattutto alla connessione con gli altri attori degli ecosistemi che le circondano; oppure alla diffusione di un’infrastruttura sempre più consistente di Cloud computing, che permette di memorizzare dati ed eseguire elaborazioni in remoto; o ancora, alla crescente disponibilità di banda larga (broadband) con un conseguente aumento della qualità dei servizi fatti transitare attraverso internet. Per non parlare poi dello sviluppo del c.d. Internet of things, l’internet delle cose, con cui viene indicata l’attitudine sia delle persone che delle “cose” ad essere sempre connesse: le auto, i veicoli industriali controllati in remoto, gli apparecchi sanitari, gli elettrodomestici e così via.

Tutte queste innovazioni tecnologiche hanno portato dei cambiamenti nelle abitudini e negli stili di vita delle persone, delle organizzazioni, e dell’intera società, con una velocità di penetrazione fino a pochi anni fa impensabile.

(11)

~ 11 ~

Quando parliamo dell’era digitale ci riferiamo allora a tutte queste innovazioni che portano con sé una serie di nuovi ambiti e concetti, quali la disponibilità di un’ampia quantità di dati (c.d. Big data), crescenti ed analitiche capacità di elaborazione di questi dati e tutta una numerosa serie di approcci differenti (il Cloud tra tutti) attraverso i quali i flussi di informazione aumentano.

1.1.1. Big Bang Disruption

Nel mondo del business l’innovazione “disruptive” - dirompente - c’è sempre stata: interi mercati sono stati rivoluzionati, nel corso degli anni da tecnologie sempre migliori, sempre meno costose oppure in grado di soddisfare nuovi bisogni.

“Nel corso degli anni”: ecco qual è la differenza con quello che sta accadendo oggi. In passato sono stati necessari anni, o addirittura decenni, affinché l’adozione di nuove tecnologie ed innovazioni permettesse di soppiantare prodotti o servizi presenti sul mercato. Negli ultimi anni, invece, le innovazioni dirompenti possono avere effetti praticamente istantanei, demolendo e ricostruendo da zero interi settori in pochi mesi, se non addirittura settimane o giorni.

<<La rapidità e l’enorme impatto della Big Bang Disruption sono il risultato di tecnologie devastanti che entrano di continuo nel mercato con il vantaggio di essere migliori e più economiche delle precedenti. In questo nuovo e duro mondo, i nuovi prodotti e servizi vengono alla luce trovandosi a competere simultaneamente sui prezzi, sulle prestazioni e sulla personalizzazione”>>

(Larry Downes, 2014)

Così si legge nel libro “Big Bang Disruption, l’era dell’innovazione devastante” di

Larry Downes e Paul Nunes, rispettivamente Research Fellow e Global Managing Director dell'”Accenture Institute for High Performance”, all’interno del quale hanno

raccolto le proprie conclusioni sullo studio di questo fenomeno, attraverso l’analisi di oltre cento case study in 30 settori.

(12)

~ 12 ~

Prima dell’era dell’informazione, le teorie accademiche sostenevano che i nuovi mercati fossero creati dall’alto verso il basso: questo sta a significare che gli innovatori creavano beni differenziati mirati a specifici clienti che potevano permettersi, ed erano disposti, a pagare di più; in seguito poi, grazie all’efficienza e alle economie di scala conseguite, questi “beni di lusso” penetravano nei mercati di massa attraverso delle versioni semplificate vendute a prezzi inferiori. Questa visione top-down veniva inoltre convalidata dalle idee e dalle strategie proposte dall’economista statunitense

Michael Porter2, secondo il quale le imprese possono conseguire un vantaggio competitivo solo innovando sulla base di tre strategie:

1) Strategia di differenziazione: differenziare le proprie offerte di mercato dotandole di particolari caratteristiche che ne giustifichino un premium price, ovvero un prezzo superiore a quello di mercato;

2) Strategia di leaderhisp di costo: ottimizzare le efficienze produttive per riuscire a vendere prodotti simili o equivalenti a quelli offerti dai concorrenti ma ad un prezzo inferiore;

3) Strategia di focalizzazione: questa può essere orientata ai costi oppure alla differenziazione. Nel primo caso, un'impresa mira al perseguimento di un vantaggio di costo limitatamente ad uno o a pochi segmenti del mercato. Nel secondo caso, la focalizzazione è indirizzata alla differenziazione, cioè consiste nell'identificare un segmento di clientela da servire, particolarmente sensibile alla qualità.

2 Michael Porter: professore alla Harvard Business School, è uno dei maggiori contribuenti della teoria

della strategia manageriale. I suoi contributi più importanti riguardano le modalità, le strategie attraverso le quali un’azienda possa costruirsi un vantaggio competitivo.

(13)

~ 13 ~

Figura 1: Pensiero convenzionale vs pensiero Big Bang. Fonte: “Big Bang disruption. L'era dell'innovazione devastante”, Larry Downes, Paul Nunes

Nell’era attuale, invece, i nuovi Disrupter3 attaccano i mercati esistenti non solo

dall’alto o dal basso o dai fianchi, ma contemporaneamente da tutte e tre le direzioni, poiché, vincolando i propri prodotti alla crescita esponenziale ed ai costi sempre più bassi delle nuove tecnologie dirompenti, riescono ad offrire allo stesso tempo prodotti e servizi migliori, più economici e più personalizzati a tutti, o quasi, i clienti. Le aziende ed i produttori che creano big bang disruptor non sono improntati al “business as usual”: questi, ad esempio, non sviluppano i propri prodotti in segreto, ma anzi lavorano sotto gli occhi di tutti lasciando che gli early users4 collaudino ogni nuova

versione del prodotto da loro progettato. Il test di prodotto quindi è eseguito direttamente sul mercato attraverso questi utenti: quando la tecnologia giusta ed il modello di business coincidono, ecco che il mercato decolla.

3 Disrupter: termine con cui, nel libro, vengono indicati coloro che sviluppano e creano nuovi prodotti basandosi

sulle nuove tecnologie dirompenti.

4 Early users: utilizzatori di nuovi prodotti, servizi o tecnologie subito prima della loro diffusione di massa. Sono utenti che contribuiscono allo sviluppo e al miglioramento dei servizi sperimentati fornendo

un feedback disinteressato, utile per gli eventuali interventi correttivi, al produttore, distributore o agli addetti all'assistenza.

(14)

~ 14 ~

Inoltre, invece di far riferimento ed affidamento a tecnologie e metodologie di ricerca proprietarie, gli innovatori abbinano componenti software e hardware off-the-shelf, ovvero preesistenti e sempre più economici.

Infine, anche il marketing non è in questi casi diretto dall’alto, ma piuttosto dagli stessi consumatori che generano gratuitamente gran parte della pubblicità attraverso i social network, i siti di recensioni ed altri strumenti per la condivisione delle informazioni. Ecco perché si parla di innovazione devastante: perché “i piani strategici

meticolosamente preparati alla Porter possono essere neutralizzati in un istante”

(Larry Downes, 2014).

Per fare un esempio di Big Bang Disruption: lo smartphone ed il suo sistema di applicazioni, che ha soppiantato tanti prodotti stand-alone: fotocamere e videocamere, calcolatrici, sveglie, parte delle console di gioco, lettori e-book e navigatori GPS.

1.1.2. Digitalizzazione in ambito aziendale

La prima cosa a cui la maggior parte delle persone pensa quando si parla di digitalizzazione con riferimento all’ambito aziendale riguarda il “fare più cose con i mezzi digitali”. Pur essendo in parte vero, in realtà più che “agli strumenti” sarebbe necessario pensare ad una vera e propria nuova cultura che ogni azienda dovrebbe far propria, fondata su un cambiamento d’approccio e di comportamenti, prima che di strumenti.

Di fatto, digitalizzare le attività aziendali significa riprogettarle al fine di poter gestire in modo più collaborativo, oltre che integrato, sia i processi interni all’azienda, sia quelli esterni che coinvolgono clienti, fornitori o cmq sia terzi. Questo è possibile solo attraverso la condivisione in forma elettronica, strutturata ed elaborabile, di quelle che sono le logiche di gestione di ciascun processo e di tutte le principali informazioni che lo caratterizzano. Nella pratica questo significa andare a trasformare i documenti e tutto l’altro materiale “offline” presente nelle imprese, in una sequenza di numeri espressi in formato binario (ovvero un insieme di 0 e 1) affinchè possano essere archiviati, modificati e gestiti tramite computer e database.

(15)

~ 15 ~

Non si tratta più quindi di adottare le ICT per ottenere un vantaggio competitivo di breve-medio termine in un contesto già noto, ma piuttosto di utilizzarle in maniera più consapevole, integrata e strategicamente legata al business per riuscire a sfruttare tutta una serie di opportunità di miglioramento che sono offerte alle imprese stesse dalla dematerializzazione e dalla digitalizzazione, al fine di assumere una maggior consapevolezza sia sulle evoluzioni sia sui potenziali rischi del futuro.

Ecco perché digitalizzare è visto come un cammino necessario per passare da organizzazioni “chiuse”, che sono cioè orientate alla creazione di efficienza per lo più nei propri processi, ad imprese in grado di creare vantaggi competitivi grazie all’integrazione e alla collaborazione con clienti e fornitori, e in alcuni casi con i competitors, che potremmo allora definire “aperte” agli ecosistemi in cui operano. In realtà molte imprese guardano ancora con scetticismo alla digitalizzazione dei processi chiudendo quindi le porte alle nuove opportunità: questo è dovuto soprattutto sia al timore di fare qualcosa non coerente con la normativa o con i regolamenti aziendali obsoleti, sia alla paura di non poter più ricorrere a prassi operative consolidate.

Per avere un riscontro concreto di quanto detto, prendiamo spunto dalla “Digital

Business Transformation Survey 2016” 5di The Innovation Group, che ha analizzato il punto di vista delle aziende italiane sul fronte dell’innovazione digitale. L’intervista svolta su 155 aziende di diversi settori, ha messo a confronto le diverse posizioni dei Business manager (99 intervistati) e degli IT Manager (59 intervistati): per la maggior parte di questi soggetti la Digital Transformation è vista come la possibilità di ripensare l’intero business dell’azienda in chiave innovativa. Sono però pochi i Business manager che considerano la funzione IT interna in grado di supportare questo cambiamento promuovendo i nuovi concetti: nella maggior parte dei casi è stato affermato che l’IT, oltre a non avere proprio le competenze richieste, utilizza inoltre un linguaggio troppo tecnico che non viene quindi compreso dai colleghi del business.

5

(16)

~ 16 ~

Il motivo è da ricercare nel fatto che in Italia questa funzione è normalmente poco indirizzata all’innovazione, ed incontra non poche difficoltà quando si tratta di rispondere alle esigenze del business con velocità superiori rispetto al passato.

1.1.3. Approccio delle imprese italiane

Per riuscire a capire quale sia la situazione italiana riguardo il tema dell’evoluzione digitale nelle imprese, ovvero il modo in cui queste stanno reagendo alle sfide che il cambiamento digitale propone, prendiamo a riferimento l’indagine condotta dagli “Osservatori Digital Innovation” della School of Management del Politecnico di Milano 6che si è posta l’obiettivo di individuare quali siano, in Italia, i migliori progetti di innovazione digitale in ambito Big Data e Business Intelligence, Mobile,

E-Commerce, Internet of Things, Smart Manufacturing/Industria 4.0 etc, al fine

di sondare i modelli di governance e di gestione del rischio che sono stati adottati dalle varie imprese.

Alla ricerca hanno partecipato 237 aziende distribuite su tutto il territorio nazionale: in base ai questionari e ai risultati ottenuti è stato definito un ranking delle aziende più virtuose, tra cui sono state scelte 26 finaliste, ed infine le vincitrici, nell’ambito del “Premio Assiteca 2016” 7.

Un primo risultato dell’indagine sottolinea come l’innovazione digitale sia concepita in maniera differente da impresa a impresa. Per ben il 95 % delle aziende analizzate questa risulta essere un fattore rilevante: per la maggior parte di queste, cioè il 40 %, l’innovazione digitale rappresenta un driver per migliorare efficacia ed efficienza dei

6

www.ilsole24ore.com/art/tecnologie/2017-01-25/imprese-italiane-e-cybersicurezza-gestire-rischi-digitalizzazione-120723.shtml?uuid=AE4sfhH

www.cineas.it/lib/File/Executive%20Summary%20-%20Assiteca%20Osservatori.pdf

7Assiteca è il maggior broker assicurativo italiano indipendente quotato sul mercato AIM di Borsa Italiana; dal

2010 individua attraverso un premio annuale dedicato a “La Gestione del Rischio nelle Imprese italiane” le aziende che praticano le migliori politiche di risk management. Il tema della settima edizione 2016 è stato “Innovazione Digitale: storie di successo”, nella convinzione che la Digital Transformation sia una grande opportunità per le imprese italiane ma anche per sensibilizzare le imprese al tema sempre più urgente della cyber security.

(17)

~ 17 ~

processi, il 37% la considera un fattore imprescindibile per lo sviluppo futuro del business, mentre il 18% ritiene che sia importante per non perdere competitività. Il 5% rimanente, infine, ritiene invece che non sia un fattore prioritario.

Figura 2: Percezione dell’innovazione digitale

Andando più nel dettaglio, ovvero distinguendo tali imprese a seconda della dimensione aziendale, notiamo come vi sia un’ulteriore diversa percezione del ruolo di questa innovazione: focalizzandosi unicamente sulle grandi imprese (con oltre 250 dipendenti) la quota di quelle che vedono la digitalizzazione come un fattore imprescindibile per il futuro sale dal 37 % al 51%, mentre la percentuale di quelle che non ne vedono la rilevanza scende dal 5% al 2%.

Per quanto riguarda le imprese di medie dimensioni, il driver più forte che spinge all’innovazione digitale è l’opportunità di migliorare i processi aziendali.

Infine, per le imprese più piccole, ovvero tra 50 e 100 dipendenti, raddoppia la percentuale di chi è mosso dalla concorrenza e dal timore di perdere quote di mercato: queste ultime quindi sembrano più motivate dai “timori” piuttosto che dalle opportunità fornite dalla digital trasformation.

Oltre alla dimensione, anche l’appartenenza a settori economici differenti pesa sulla diversa concezione: è chiaro come per oltre il 70% delle aziende del settore del commercio, la digitalizzazione sia di fondamentale importanza per i risultati di business, dato che molte di queste imprese sono già state travolte dalla crescita del

(18)

~ 18 ~

ricorso all’E-commerce e quindi delle vendite online, trovandosi in competizione con dei grandi player dell’e-commerce mondiale. Nel settore della produzione, e quindi soprattutto nell’industria, prevale ovviamente l’importanza data all’innovazione digitale come driver per migliorare l’efficienza e l’efficacia dei processi.

Infine nel settore dei servizi si ritiene che sia invece importante e necessaria per il futuro del business. Proprio per questi motivi possiamo ritenere che il settore dei servizi sia quello più maturo nell’affrontare la digital trasformation.

Dalla ricerca è possibile poi osservare quali sono le diverse tipologie di progetti di innovazione digitale che sono stati messi in atto a seconda del settore economico di appartenenza: ad esempio, nel Retail come già detto, assistiamo ad un aumento del ricorso all’E-Commerce maggiore rispetto agli altri settori, così come nell’Industria aumentano le soluzioni di Smart Manufacturing8. Il maggiore sviluppo si ha però

relativamente ai sistemi gestionali ed ERP ed ai sistemi di Information Security.

Altro risultato rilevante dell’indagine riguarda il fatto che, nonostante abbiamo visto vi sia una consapevolezza delle opportunità connesse alla digitalizzazione, gli investimenti in ICT restano comunque sia contenuti. La maggior parte delle aziende investe non più dell’1% del fatturato in ambito Information and Communication

Technology; solo il 3% arriva ad investire oltre il 5% e addirittura, il 7% non ha

effettuato nell’ultimo anno alcun investimento in tecnologie digitali. Quindi in media, l’investimento del fatturato è dell’1,1%, percentuale che sale al 2,3% se consideriamo solo le grandi aziende con più di 250 dipendenti.

Per quanto riguarda invece la definizione di accurati modelli di governance, solo nel 14 % dei casi sono stati creati ruoli o strutture organizzative dedicate alla gestione di queste strategie di digital trasformation, mentre nel restante dei casi non vi è una chiara struttura di ruoli ed attività a riguardo.

8 Smart Manufacturing: l’adozione di tecnologie digitali capaci di aumentare l’interconnessione e cooperazione

delle risorse (asset fisici, persone e informazioni) usate nei processi operativi, sia interne alla fabbrica sia distribuite lungo la value chain. Queste tecnologie si dividono in due grandi insiemi: uno più vicino all’IT, formato da Internet of Things, Big Data e Cloud Computing; l’altro, più eterogeneo e vicino al livello operativo, formato da Advanced automation, Advanced HMI (Human Machine Interface), e Additive Manufacturing. www.digital4.biz/supplychain/supply-chain-trends/polimi-i-6-pilastri-dello-smart-manufacturing-dall-industrial-big-data-alla-stampa-3d-per-nl_43672157107.htm

(19)

~ 19 ~

Passando ad analizzare, infine, i risultati della ricerca in tema di Cyber Security, i primi dati significativi riguardano quelli che sono i maggiori timori percepiti dalle imprese analizzate:

• Al primo posto, per i ¾ delle aziende, vi è la perdita di dati sensibili; • Al secondo posto, per il 72%, i possibili attacchi informatici;

• Al terzo posto, i danni reputazionali, per il 61%.

Nonostante queste percezioni, però, risultano ancora poco frequenti le coperture assicurative, dato che 4 aziende su 5 non possiedono alcuna copertura dal rischio cyber, e quelle che la possiedono, hanno polizze generiche che coprono questi rischi solo indirettamente. Le motivazioni da ricercare sono varie, a partire dal 36% del campione che non lo considera come un problema rilevante, il 22% che ritiene il settore cyber insurance ancora immaturo, fino ad un ulteriore 22% che sta invece valutando le coperture per il prossimo futuro. Al di là delle polizze assicurative specifiche e dei sistemi di sicurezza legati a nuovi trend tecnologici (come Cloud e Big Data) che sono ancora poco diffusi, il 67 % del campione ha comunque introdotto sistemi di information security e circa 8 su 10 hanno sviluppato policy e procedure per proteggere la rete e le risorse aziendali esempio da accessi non autorizzati, da furti di dati, da interruzioni di servizio etc; per questo possiamo allora affermare che vi è una consapevolezza abbastanza elevata in tema di sicurezza informatica.

(20)

~ 20 ~

1.2 Opportunità e minacce

Come abbiamo avuto modo di vedere precedentemente, la Digital Trasformation offre grosse opportunità per le aziende, andando ad introdurre tutta una serie di nuove tecnologie e concetti che rivoluzionano il modo di fare impresa e che conducono alla necessità di adottare nuove modalità organizzative e di cambiare i processi e le responsabilità all’interno dell’azienda mettendo al centro le persone e le loro competenze: E-commerce, Big Data, Internet of things, Digital marketing, Social

media, Cloud, droni, crowdfunding, cybersecurity, realtà aumentata, sharing economy

non sono che alcune delle nuove innovazioni e nozioni che si sono e si stanno affacciando nella nuova era digitale. Ma l’evoluzione tecnologica porta con sé anche nuove minacce e nuovi rischi che non possono e non devono essere sottovalutati ma che anzi devono essere previsti, studiati ed affrontati con un adeguato piano strategico di Risk Management, articolato in opportuni strumenti, policy e sistemi di governance. Nel presente paragrafo verranno analizzati solo alcuni di questi nuovi concetti ed ambiti innovativi, in modo da fornire un quadro sintetico e generale delle opportunità e dei cambiamenti necessari all’interno delle aziende. Nel capitolo successivo sarà trattato invece nello specifico il rischio principale collegato alle innovazioni digitali: il Cyber risk.

1.2.1 Big Data

Parlando di Big Data si fa riferimento all’enorme ed eterogenea mole di dati che vengono trasmessi e ricevuti tramite la rete e che si presentano come un flusso continuo, rapido e dinamico: rendendo accessibili informazioni senza precedenti per volume, velocità e diversità, ampliano la gamma di ipotesi e scelte oltre i tradizionali limiti delle conoscenze individuali. Affinché risultino utili, però, è necessario imparare ad analizzarli, interrogarli e correlarli tra loro, operazioni che in realtà non risultano

(21)

~ 21 ~

essere così semplici, non rientrando questo fenomeno nei tradizionali schemi di analisi, come i c.d. sistemi di data-warehouse9, e nei tradizionali software di analytics.

Inizialmente le caratteristiche principali dei Big Data erano fondamentalmente tre:

- Volume: la caratteristica più intuitiva, ovvero la loro numerosità. L'ampio volume di dati che è possibile raccogliere sembrerebbe rappresentare il problema maggiore; in realtà, grazie a sistemi quali il cloud e la virtualizzazione, è possibile semplificare i processi di raccolta, immagazzinamento ed accesso ai dati;

- Velocità: fa riferimento alla loro velocissima diffusione e di conseguenza, alla necessità di doverli trattare con strumenti adeguati ed in modo tempestivo;

- Varietà: riferita alle varie tipologie di dati che provengono da fonti diverse e con modalità diverse.

Col tempo, a queste sono state aggiunte altre due caratteristiche:

- Variabilità: ad indicarne il flusso irregolare ovvero il fatto che i dati che provengono da una stessa fonte possano essere di diversa entità, raggiungendo a volte picchi elevati, ed arrivando invece, altre volte, alla possibile inconsistenza dei dati stessi;

- Complessità: in riferimento alla difficoltà di gestione e controllo di dati che nella maggior parte dei casi risultano essere non strutturati10 e provenienti da fonti eterogenee.

9 Data warehouse: archivio informatico contenente i dati di un'organizzazione, progettato per consentire di

produrre facilmente analisi e relazioni utili a fini decisionali-aziendali.

10 Normalmente i dati possiedono delle strutture tali da poter essere ordinati per righe e colonne in un dataset,

(22)

~ 22 ~

Per quanto riguarda invece le diverse e numerose fonti da cui provengono i Big Data, secondo il SAS, International Institute for Analytics, potrebbero essere raggruppate in tre categorie11:

1) Streaming Data: fa riferimento all’Internet of things e quindi a tutti i dati che le cose del mondo fisico trasmettono e ricevono continuamente dalla rete Internet;

2) Social Media Data: riguarda tutti i dati che provengono dall’utilizzo, in aumento negli ultimi anni, dei social media. Da questi dati è possibile comprendere ad esempio l’evoluzione del comportamento del consumatore oltre che studiare le modalità più efficaci con cui gestire la customer

experience;

3) Fonti pubbliche disponibili: comprendono l’intero volume di dati gestito da organizzazioni pubbliche e governative. Ad esempio in Italia il maggior volume di dati di questo tipo è gestito da INPS e ISTAT.

Ciò che rende complessa la gestione dei Big Data per le imprese è proprio la provenienza da questa eterogeneità di fonti, ma soprattutto dal fatto che siano fonti esterne. Le organizzazioni sono infatti abituate e capaci di gestire documenti e dati interni grazie all’utilizzo di opportuni software e grazie alla ripetitività, e alla mole ridotta, del tipo di dati al loro interno. Inserire il concetto di Big Data nell’ambito aziendale contribuisce quindi a modificarne le classiche impostazioni; le imprese hanno da sempre impiegato la business analytics tradizionale allo scopo di comprendere e governare al meglio i processi, siano essi di marketing, di vendita, di assistenza post-vendita o altri ancora, e al fine di tenere informato il management sulle anomalie che eventualmente si manifestavano: in poche parole, le imprese andavano a focalizzare la propria attenzione sull’automazione sistemica dei processi aziendali. Introdurre lo studio dei Big Data significa andare a sostituire la laboriosa e tradizionale raccolta di dati con un ciclo interattivo di sperimentazione e generazione di insight di un contesto perennemente mutevole.

(23)

~ 23 ~

Il fatto di avere a disposizione un numero sempre maggiore, e di sempre più aggiornate informazioni, può consentire alle imprese il conseguimento di un vantaggio competitivo, poiché, avendo una visione strategica del mercato di riferimento, sono in grado di prendere decisioni più consapevoli e conseguentemente di raggiungere gli obiettivi aziendali in tempi più brevi e con maggior successo.

Lo sfruttamento strategico dei Big Data genera principalmente tre tipologie di vantaggi: in primo luogo il miglioramento delle decisioni, sia in campi tradizionali di applicazione dell’analytics come il pricing, la gestione del rischio o la logistica, sia in altri ambiti fino ad ora esclusi, poiché vanno ad aggiungere nuove fonti di dati per i modelli descrittivi e predittivi. Un secondo vantaggio riguarda il miglioramento dei prodotti e dei servizi, ad esempio grazie al fatto di poter sfruttare l’analisi dei dati per scoprire in anticipo bisogni ed esigenze non ancora manifestatisi e per individuare con maggior precisione segmenti di clientela con caratteristiche particolarmente eterogenee. Infine i Big Data possono contribuire ad una riduzione dei costi, poiché le tecnologie a loro supporto, in molti casi, risultano essere poco dispendiose (non includendo nel calcolo alcuni costi tecnici e la remunerazione del Data scientist) e permettono quindi alle imprese di conseguire importanti economie.

Per renderli vantaggiosi ed utili, si rende però necessario ripensare a quali possano essere i modelli organizzativi più adeguati a sfruttare queste informazioni. La maggior parte delle imprese utilizza ancora oggi dei modelli gerarchici-piramidali, ossia basati su una struttura operativa e manageriale ordinata per mezzo di rigidi organigrammi, in cui anche il processo di decision-making è fortemente gerarchico, ovvero è svolto da una o più figure, generalmente provenienti dall’executive level, che decidono sulla gestione, sugli obiettivi e sugli investimenti aziendali. In questi casi si tende a sottovalutare e marginalizzare il trattamento delle informazioni, poiché si usa rispondere a questo flusso imponente di dati con dei modelli routinari e con una logica di gestione basata sull’esperienza e sulle best practice validate.

Al contrario, al fine di poter migliorare il trattamento dei dati avvalendosi delle capacità dell’organizzazione, sarebbe necessario da un lato un processo di decentramento decisionale e di responsabilizzazione, come quello tipico delle c.d. lean

(24)

~ 24 ~

vengono spesso prese a livello di middle e low management; dall’altro, una diffusione nell’intera organizzazione della concezione di data management, analisi e di decision

making come flussi e processi continui piuttosto che come stock di dati o di eventi

distinti. L’ intersecarsi di modelli più aperti all’utilizzo strategico dei dati e di modelli di organizzazione decentralizzati, pone le basi per la necessaria evoluzione delle imprese in un’era Big Data -driven.

Osservando alcune testimonianze aziendali che sono attualmente già orientate ai Big Data possiamo individuare alcuni tratti caratteristici:

- Le imprese data-driven sono costantemente dedite all’esplorazione, alla sperimentazione e quindi all’innovazione, poiché sono convinte che nel mercato dei Big Data debba essere sfruttata qualsiasi opportunità che permetta di imparare sempre di più sui propri clienti e sulle proprie attività operative;

- I dati (data) diventano un asset societario, dato che la loro estrazione, elaborazione e strutturazione sono fasi essenziali di ogni progetto;

- L’individuazione degli obiettivi risulta essere un altro fattore fondamentale, poiché è necessario stabilire dove esattamente debbano essere applicati i Big Data;

- La figura del Data Scientist: per riuscire a trattare questi dati, molte aziende hanno introdotto al proprio interno questa nuova figura professionale capace di operare nella nuova realtà digitale. I Data Scientist sono soggetti in grado di analizzare questa enorme quantità di dati destrutturati in modo da fornire al management le informazioni utili per le successive decisioni e scelte strategiche. Questa nuova figura professionale non deve essere vista come un semplice analista o una banale evoluzione di questo, che acquisisce un pool di dati ed analizzandoli ne ricava un modello, e neppure come uno stratega del management: sono soggetti che devono avere allo stesso tempo delle buone competenze statistiche, conoscenze e capacità IT, ed abilità di business, questo

(25)

~ 25 ~

perché le loro analisi attraversano tutte le varie funzioni aziendali al fine di riuscire a trasformare i dati analizzati, grazie anche al supporto di adeguati software di analisi ed intelligence, in informazioni comprensibili ai vertici aziendali. La differenza con gli analisti veri e propri sta nel fatto che un Data scientist lavora prevalentemente nell’ottica o dello sviluppo di nuovi prodotti o servizi oppure del miglioramento di prodotti e servizi già esistenti. Da questi ci si aspetta molto di più rispetto a ciò che ci si attende dagli esperti di analytics, ecco perchè vengono continuamente incoraggiati a sviluppare nuovi strumenti, addirittura permettendogli di renderli disponibili come progetti open-source. Ma la novità più consistente riguarda la necessità di possedere, come già detto, anche abilità di business: le attuali dinamiche aziendali e l’estrema complessità dell’ambiente entro cui si muovono, infatti, sarebbero incomprensibili per soggetti provenienti dal mondo matematico/statistico o IT con competenze limitate unicamente ai propri settori.

Trattandosi di figure ‘molto ricche’ sul piano delle competenze, si capisce come siano quindi difficilmente reperibili, tanto che la mancanza di competenze adeguate è ritenuto il primo fattore discriminante (incide per il 32%) nell’impiego di tale figura e il primo motivo di impedimento alle aziende nel cogliere i vantaggi offerti dai Big Data e dall’analisi e comprensione della complessità dei mercati.

(26)

~ 26 ~

Possiamo vedere come tra le altre discriminanti vengono citate anche l’errata struttura organizzativa (14%) e la mancanza di strumenti tecnologici adeguati (10%).

Nonostante queste difficoltà, comunque, in Italia un’impresa su tre ha già inserito in organico uno o più data scientist, presenza che nelle aziende più all’avanguardia è cresciuta del 57% nell’ultimo anno. Per quanto riguarda la loro collocazione in azienda, un 15% di questi è consulente esterno, il 27% lavora all’interno del settore IT, il 26% in un’unità funzionale tradizionale (come Marketing, Finanza, R&S) ed un ulteriore 26% in una funzione indipendente e specifica per le attività dei Big Data, creata come evoluzione del modello organizzativo dell’impresa.

Altra figura di rilievo in quest’ambito è il Chief Data Officer: questo è il “responsabile

della Governance dell’informazione, cioè della trasformazione del dato, prima in discernimento (insight) e poi in azione appropriata”12. Il ruolo di questa figura non è ancora ben definito, poiché a seconda delle strutture organizzative e dei contesti aziendali in cui si trova ad operare, il CDO di troverà ad avere più o meno compiti e responsabilità differenti. In linea generale, tra le sue mansioni rientra quello di costruire un piano di governance che, in modo efficace ed efficiente, tenga traccia dei dati: chi vi accede, dove sono salvati, quanto spesso vengono controllati etc. Oltre a questo, per far sì che tali dati vengano gestiti in maniera tempestiva ed efficace, è necessario anche che implementi dei processi di data quality, con i quali venga gestita “la purezza” dei dati critici per il business, ovvero ad esempio evitare la presenza di duplicati, dati corrotti o non verificati. Il CDO viene inoltre considerato il responsabile del modo in cui le aziende utilizzano i dati estraendone valore, del modo in cui ne viene protetta la confidenzialità e ne viene garantita la conformità alle normative che li regolano.

L’introduzione in azienda di queste due figure è solo una delle tante dimostrazioni che, per cavalcare l’onda dell’innovazione, c’è bisogno oltre che di nuovi modelli organizzativi e di approcci tecnologici differenti, anche di nuove competenze e capacità.

(27)

~ 27 ~

Secondo quanto risulta da una ricerca del 2016 condotta dall' “Osservatorio Big Data

Analytics & Business Intelligence” della School Management del Politecnico di

Milano 13 il processo di trasformazione delle tradizionali imprese italiane in “Big Data enterprise” è ancora lungo: soltanto l’8% ha raggiunto un buon livello di maturazione;

il 26% ha appena iniziato il percorso; il 66% si trova in una situazione intermedia. Nonostante si possa osservare il trend di una crescita di consapevolezza delle aziende italiane sulle opportunità dei Big Data , ad investire maggiormente nel mercato degli analytics in Italia, che vale oggi 905 milioni di euro, sono soprattutto le grandi imprese, che si dividono l’87% della spesa complessiva, mentre le Pmi si fermano al 13% ; nel caso di quest’ultime emerge infatti un ritardo nella creazione di competenze e modelli di governance riguardo le iniziative di analytics, dovuto probabilmente ad una limitata conoscenza delle opportunità.

Per quanto riguarda i diversi settori che si vedono rimodellati dall’impiego dei Big Data, quello più interessato risulta essere il settore bancario (29%) che sfrutta i dati a sua disposizione riguardo pagamenti e attività finanziarie della clientela ad esempio per personalizzare le offerte commerciali alla clientela tramite anche l’utilizzo dei servizi online; a seguire il settoremanifatturiero (22%), quello delle telecomunicazioni e media (14%), la Pubblica Amministrazione e la sanità (8%), altri servizi (8%), GDO (7%), utility (6%) e assicurazioni (6%).

1.2.2 Cloud Computing

Dare una definizione univoca di Cloud Computing è tutt’altro che semplice, poiché questa locuzione assume significati diversi in base ai contesti di utilizzo. In linea di massima possiamo definirlo come quella serie di tecnologie che permettono di elaborare, archiviare e memorizzare dati grazie all’accesso e all’utilizzo di risorse hardware e software (CPU, server, reti, applicazioni, storage, servizi…) distribuite nella rete. Banalizzando: utilizziamo un servizio cloud quando sfruttiamo delle risorse o dei servizi attraverso la rete grazie all’utilizzo di pc, smartphone o altri dispositivi.

13

(28)

~ 28 ~

Anche se negli ultimi anni sembra rappresentare una evoluzione, in realtà si tratta di un concetto che per molti aspetti esiste già da diverso tempo, quasi parallelo alla nascita di Internet.

Il sistema del cloud computing prevede tre diversi “attori”:

Il Cloud Provider: ovvero il fornitore di servizi, colui che offre servizi, come ad esempio server virtuali, storage, applicazioni complete etc, solitamente secondo un modello "pay-per-use": l’utente paga soltanto per quello che consuma, in termini di banda, di risorse, tempo di utilizzo, numero di transazioni ecc.

Il Cliente amministratore: colui che sceglie e configura i servizi offerti dal fornitore, generalmente offrendo un valore aggiunto come ad esempio applicazioni software;

Il Cliente finale: colui che effettivamente utilizza i servizi configurati dal cliente amministratore.

Può però capitare che il cliente amministratore ed il cliente finale possano coincidere. Ad oggi, i principali processi su cui i diversi fornitori cominciano a proporre soluzioni in modalità cloud sono il Customer relationship management (CRM), Human Capital

Management (HCM), Enterprise Resource planning (ERP).

A seconda dello scopo per cui viene creato, è possibile distinguere il Cloud Computing in tre grandi categorie14:

- Infrastructure as a Service (Iaas): tipologia basata sul consumo di risorse hardware come “servizio”. In poche parole reti, server virtuali, potenza di calcolo, storage, etc vengono messi a disposizione senza che questi debbano essere acquistati “fisicamente”, con notevoli vantaggi di costi e senza doversi

(29)

~ 29 ~

preoccupare dei meccanismi di gestione interna o della manutenzione di tali hardware;

- Platform as a Service (PaaS): in questo caso non è solo l’hardware ad essere fornito come servizio, ma anche la piattaforma, il sistema operativo che astrae l’hardware stesso e permette di usufruire di tutta una serie di funzionalità che consentono di ottenere, storage, reti, Virtual Machine, etc. Anche in questo caso non vi è la necessità di doversi preoccupare, esempio, di aggiornare il sistema operativo: viene tutto gestito dinamicamente e automaticamente dalla piattaforma.

- Software as a Service (SaaS): quello che viene fornito sotto forma di servizio è in questo caso un software, un insieme di applicazioni, che diventano interamente accessibili tramite Web.

Tralasciando l’approfondimento di ulteriori aspetti tecnici, evidenziamo piuttosto quelli che sono i vantaggi offerti e gli eventuali rischi dell’impiego di modelli di Cloud computing in ambito aziendale, ponendoli a confronto con l’IT classico.

Un primo vantaggio riguarda sicuramente il risparmio dei costi iniziali: il cloud permette di creare soluzioni scalabili, performanti ed affidabili con un basso investimento iniziale, non essendo infatti necessario dover acquistare per lo startup, l’hardware ed i servizi connessi che sono invece imprescindibili per l’implementazione dell’intera infrastruttura IT classica. Un ulteriore beneficio dovuto al cloud riguarda l’accessibilità, poiché tale soluzione consente l’accesso ai dati ovunque vi sia una connessione; diversamente, i dati sono accessibili unicamente dall’interno dell’azienda o tramite un’apposita rete vpn. Usufruire del Cloud Computing inoltre, significa avere a disposizione un’infrastruttura di servizi assolutamente affidabile e scalabile: il fatto che l’infrastruttura sia basata su un sistema di virtualizzazione delle risorse rende possibile a seconda delle necessità, aumentare o diminuire i nodi in uso oppure cambiare le caratteristiche dei server potenziando CPU e memoria.

(30)

~ 30 ~

Quindi la scelta di adottare sistemi di questo tipo crea vantaggi per l’azienda sia dal punto di vista dell’utilizzo del sistema stesso, sia perché le permette di disfarsi di buona parte delle spese, soprattutto quelle riguardanti aggiornamenti, rotture od altri problemi derivanti da hardware e software “fisici” di proprietà.

L’utilizzo di tecnologie cloud però, ha allo stesso tempo alcuni aspetti negativi, primo tra tutti, ad esempio, la mancanza di una copia dei documenti direttamente a disposizione dell'utente, come lo sarebbe se invece si trovassero su un disco o su un’altra periferica di memorizzazione; questo significa che la disponibilità del file e la possibilità di apportarvi delle modifiche sono subordinate alla disponibilità della connessione alla rete. Ma l'aspetto che suscita la maggior diffidenza nei confronti del Cloud da parte delle aziende è sicuramente quello legato alla custodia dei dati, soprattutto per quelle il cui futuro dipende necessariamente dalla non divulgazione di determinate informazioni sensibili, come progetti, caratteristiche dei nuovi prodotti etc. Ecco perché queste preferiscono esempio continuare a conservare il materiale nella tradizionale sala server sicura, in località nota, ben custodito da personale addetto e sorvegliato da strutture di sicurezza, piuttosto che "salvato da qualche parte, nella rete".

(31)

~ 31 ~

2° CAPITOLO: CYBER RISK E CYBER SECURITY

Come abbiamo visto nel primo capitolo, il continuo ridursi dei costi di accesso alla rete ed il contemporaneo sviluppo della rete a banda larga, sta comportando una crescita esponenziale del Cyberspace, rendendolo sempre di più un fattore cruciale per il progresso economico e sociale, oltre che un nuovo ecosistema ricco di opportunità per le aziende che sono disposte a muoversi all’interno di esso.

D’altro canto però, la crescente adozione dello spazio cibernetico porta con sé notevoli problemi di vulnerabilità dei sistemi informatici, delle applicazioni, dei software etc, poiché la maggior parte di questi sono state progettati, e conseguentemente realizzati, senza tenere troppo di conto, fin dall’inizio, degli aspetti legati alla sicurezza.

Le aziende devono necessariamente comprendere e valutare queste vulnerabilità, poiché è da queste che derivano nuove esposizioni di rischio, ed è su queste che si basano, sempre di più, singoli o gruppi di criminali informatici, allo scopo di ottenere guadagni illeciti, ad esempio dalla sottrazione di informazioni riservate ad organizzazioni ed imprese, dallo spionaggio industriale e da tutta una serie di “nuove” modalità di attacco informatico a danno dei singoli consumatori, delle aziende e dell’intera società.

2.1 Cyber Risk: Definizione

“Cyber risk means any risk of financial loss, disruption or damage to the reputation of

an organization from some sort of failure of its information technology system.”15.

(Institute of Risk Management)

Quando parliamo di cyber risk ci riferiamo al cosiddetto “rischio informatico”, ovvero il rischio derivante dall’utilizzo del cyberspace, dei sistemi informatici e di tutte le nuove tecnologie che sono state sviluppate negli ultimi anni.

Fino a poco tempo fa questo era considerato come un rischio residuale: oggi è invece una delle minacce più percepite dalle aziende, oltre che una delle più difficile da

(32)

~ 32 ~

affrontare ed in grado di generare ricadute economiche o di immagine estremamente negative per le imprese.

La peculiarità del cyber risk risiede nella possibilità di appartenere ad ognuna delle seguenti categorie di classificazione dei rischi basata sull’ERM 16:

- Rischi strategici: tutti gli eventi aleatori, esterni ed interni, che possono incidere in maniera rilevante sull’azienda, determinando un peggioramento della qualità della strategia aziendale e del suo vantaggio competitivo. L’impatto di questi rischi è cioè sugli obiettivi strategici, ovvero quelli che determinano il posizionamento dell’azienda nell’ambiente esterno di riferimento;

- Rischi operativi: tutti gli eventi che possono avere un impatto sulle operazioni che caratterizzano la quotidianità dell’azienda e possono quindi inficiare sull’efficienza, l’efficacia e l’economicità dei processi caratterizzanti la catena del valore aziendale;

- Rischi finanziari: eventi che potrebbero peggiorare il risultato della gestione finanziaria o la dinamica del cash flow;

- Rischi di reporting: eventi che comportano un peggioramento della qualità delle informazioni, rivolte sia verso l’esterno che verso l’interno, in termini di tempestività, veridicità, rilevanza o aggiornamento;

- Rischi di compliance: possibilità che la deviazione, intenzionale o non, da norme, leggi e regolamenti, produca un danno economico (sanzione economica o di altra natura).

16 Enterprise Risk Management (ERM) è un framework proposto nel 2004 dal Co.So of the Tradeway

Commision allo scopo di guidare i manager nell’identificazione, valutazione e gestione dei rischi, attraverso la definizione di un modello generale di riferimento.

(33)

~ 33 ~

Anche se in linea di massima il rischio informatico viene considerato come un rischio operativo, nella realtà, a seconda della tipologia di obiettivo aziendale su cui va ad impattare ed in base a come si manifesta, potrebbe essere identificato anche come rischio finanziario, strategico, di reporting o di compliance.

Dall’osservazione dei suoi effetti capiamo come questo rischio sia caratterizzato da un’eterogeneità di manifestazioni classificabili in due macrocategorie:

1) tutti gli eventi che riguardano la vulnerabilità dei sistemi IT aziendali;

2) tutti gli eventi riguardanti il possibile danno reputazionale, d’immagine, che deriva dall’utilizzo scorretto ed improprio dei canali di comunicazione di massa.

All’interno di queste, il cyber risk può materializzarsi in diverse maniere:

- una violazione volontaria e non autorizzata della sicurezza, in modo da ottenere l’accesso ai sistemi informativi aziendali: è il caso, ad esempio, del

cyber-spionaggio, ovvero di azioni condotte da hacker esterni o da insider, finalizzate a

sottrarre informazioni fondanti per le aziende. Si pensi ad un’azienda concorrente che, grazie all’utilizzo della rete, riesca ad accedere ad informazioni riguardanti strategie aziendali, esempio, su nuovi prodotti: l’azienda colpita rischia di perdere il proprio vantaggio competitivo o addirittura di essere sorpassata a livello competitivo.

Rientrano in questa fattispecie anche i furti digitali, ovvero il furto di dati sensibili, quali informazioni su carte di credito o dati personali dei clienti contenuti nel database, ad opera di organizzazioni criminali che riescono ad oltrepassare le protezioni della società.

- una violazione involontaria o accidentale della sicurezza, ma che potrebbe comunque condurre ad un’elevata esposizione al rischio. Ad esempio, un errore dovuto alla normale attività di comunicazione tramite i social network aziendali, utilizzati sempre di più allo scopo di effettuare campagne pubblicitarie e di

(34)

~ 34 ~

accrescere la notorietà dell’azienda, potrebbe compromettere la reputazione aziendale e quindi la fidelizzazione del cliente.

- sotto forma di rischi operativi dovuti ad una scarsa integrazione del sistema di sicurezza, o ad altri fattori. Mettiamo il caso che per un errore procedurale una società perda delle informazioni riguardanti dati sensibili e personali di un numero significativo di clienti. Essendo costretta a notificare la perdita dei dati, si ritroverebbe ad essere danneggiata gravemente dal diffondersi della notizia.

- altre forme.

2.1.1 Classificazione dei danni

A causa del rischio cyber, l’azienda potrebbe ritrovarsi a dover far fronte a diverse tipologie di danni; è possibile fornirne varie classificazioni a seconda del parametro preso a riferimento:17

1- A seconda della loro natura, possiamo distinguere:

• Danni materiali: si tratta del danneggiamento inteso come distruzione parziale o totale o come furto, dei beni materiali dell’azienda, e quindi di macchinari, computer, server etc., a causa di eventi naturali o non.

• Danni immateriali: sono quelli che vanno a colpire i beni intangibili, ma comunque funzionali ed indispensabili allo svolgimento di qualsiasi attività aziendale. Rappresentano la forma di danno più tipicamente associata al concetto di cyber risk, proprio perché i sinistri informatici sono caratterizzati dall’immaterialità. Questa è la forma più difficile da controllare e tutelare, nonché quella che ha le più significative ripercussioni sulla vita dell’azienda. Ne sono esempi la cancellazione, il danneggiamento, il furto, l’uso illecito dei dati.

17

(35)

~ 35 ~

2- Con riferimento alla causa scatenante, l’evento dannoso può essere: • Naturale: è il caso di incendi, alluvioni, terremoti, fulmini, etc.

• Umano: ossia errore umano, atti dolosi, comportamenti sleali di un dipendente o di un concorrente etc.

3- Basandosi sul livello di collegamento con l’evento scatenante, i danni possono essere:

• Danni diretti: quando si ha appunto un collegamento diretto tra l’evento che ha portato a quel danno e il bene (materiale o immateriale che sia) danneggiato. Ad esempio la distruzione di un macchinario, il furto e la vendita dei dati, il trattamento illecito di dati personali.

• Danni indiretti: intesi più come conseguenze dovute all’evento dannoso. E’ il caso dei costi di ripristino, dell’acquisto di nuovi macchinari, del risarcimento dei danni o del pagamento di penali.

4- In relazione alle conseguenze per l’impresa:

• Danni economici: che portano cioè ad una riduzione del fatturato. Ne sono esempi il pagamento di sanzioni economiche, la riduzione dell’efficienza operativa in seguito al blocco delle attività e degli impianti, il risarcimento dei danni a terzi, e così via.

• Danni reputazionali e d’immagine: sia verso l’interno che verso l’esterno, sono spesso la naturale conseguenza dei danni economici, e possono portare ad una perdita dei clienti, delle quote di mercato e della competitività.

Questa classificazione non deve essere considerata univoca; infatti, avvalendosi ad esempio della terminologia e delle definizioni tratte dalle polizze assicurative tradizionali18, troviamo un’ulteriore e più sintetica classificazione:

(36)

~ 36 ~

1) Danni materiali diretti ed indiretti 2) Danni immateriali diretti ed indiretti

3) Danni property: ovvero il risarcimento per responsabilità. Questa

tipologia riguarda soprattutto le aziende che offrono servizi informatici a terzi, come può essere la gestione dell’infrastruttura IT di un’azienda cliente, e che hanno interrotto la fornitura di tali servizi a seguito di problematiche cyber. Queste società saranno tenute a risarcire i propri clienti per la mancata fornitura.

Questa suddivisione risulta utile per la stipula delle polizze assicurative, poiché permette di capire cosa realmente dovrebbe essere assicurato con una specifica copertura sul cyber risk. Ad esempio, i danni che rientrano nella fattispecie della prima categoria, essendo per loro natura diretti e “fisici”, potrebbero già rientrare in una polizza assicurativa più generale, come quella stipulata sugli asset materiali; è invece con la seconda categoria che entriamo nell’ambito proprio di una copertura Cyber. Va tenuto presente inoltre, che in Italia molte polizze considerano solo gli eventi, e conseguentemente i costi, derivanti dal Cyber Crime (hacking, ransomware, virus, DDOS) mentre pochissimi assicuratori considerano gli eventi Cyber anche nell’ottica del Cyber Risk, ovvero legati a problematiche non necessariamente generate da eventi dolosi ma piuttosto da possibili malpractice interne.

Ad ogni modo, è importante che le aziende adottino tutte le misure necessarie per una corretta prevenzione del cyber risk, quindi non solo polizze assicurative, ma anche

vulnerability test, sistemi di disaster recovery, software antivirus di ultima generazione

etc. Per poter scegliere la tipologia di copertura più adatta alle esigenze di ogni singola realtà aziendale è fondamentale capire quali sono i danni “concreti” da cui l’azienda si deve tutelare; a tal fine possiamo individuare quattro scenari d’impatto finanziario di un attacco informatico19:

1) Trasmissione di Virus: in questo caso l’azienda dovrà in primo luogo affrontare dei costi per rimediare alla vulnerabilità della sicurezza informatica e per le

(37)

~ 37 ~

investigazioni del caso, in secondo luogo dovrà sostenere le spese per un eventuale risarcimento civile nei confronti di clienti e terzi;

2) Sabotaggio e cancellazione: i costi da affrontare sono in questo caso diversi, ovvero quelli necessari per il ripristino dei contenuti web eventualmente alterati e quelli per risarcire possibili terzi colpiti da un contenuto inappropriato. Devono inoltre essere considerate le perdite di ricavi durante la fase offline;

3) Estorsione informatica: caso simile a quello della trasmissione dei virus per quanto riguardo le spese da sostenere per rimediare alla vulnerabilità della sicurezza informatica e per le investigazioni; in aggiunta potrebbero esserci ulteriori costi nel caso in cui fosse richiesto un riscatto;

4) Attacco volto all’interruzione di servizio: sono qui invece da considerare la perdita di ricavi per l’interruzione di servizio, eventuali spese aggiuntive per ripristinare il network e, di nuovo, i costi necessari per ripristinare i contenuti web.

2.1.2 Tecniche di attacco

Quello che segue è un elenco delle principali tipologie di attacco, pur consapevoli del continuo diffondersi di nuove e più sofisticate metodologie:

- Advanced persistent threat (APT): con questa sigla si intendono attacchi coordinati e sofisticati che utilizzano svariati metodi di intrusione. Può essere intesa come una vera e propria strategia di attacco multilivello e multicanale, sferrato partendo dall'identificazione di un network aziendale che, una volta preso di mira, viene minato in vari modi e su più fronti. Per questo motivo, l’APT può coinvolgere varie tipologie di attacco che vanno dal social engineering (per individuare punti deboli dell’organizzazione) al port scanning della rete, dall’uso di exploit per installare malware fino al phishing mirato per compromettere le

Riferimenti

Scarica adesso ( PDF - 124 pagine - 1.67 MB )

Outline

Tecniche di attacco Framework nazionale per la Cyber security Cyber Risk Management OBIETTIVI E METODOLOGIA CYBER RISK ED ATTACCO INFORMATICO CYBERSECURITY

Documenti correlati

Perception of specific learning disorders in parents and teachers. A socio-cultural perspective

According to this framework, it seems interesting to examine the influence that knowledge and attitude of school teachers and parents have on SLDs, intended as the

Un viaggio nel “mondo autistico” : la realizzazione di un progetto educativo rivolto ad un utente con disturbi dello spettro autistico

Oggi era prevista un’uscita per permettere ad uno dei ragazzi di sperimentare il lavoro svolto alla Caritas di Rancate; è stato spiegato a Marco il motivo dell’uscita, così come

Fisiopatologia dei disordini neurologici del movimento

Essi costituiscono la via finale quale tutti g gli impulsi p vengono g comune attraverso la q trasmessi ai muscoli UNITA’ MOTORIA MOTONEURONI PIRAMIDALI DI BETZ situati nella

Human acellular amniotic membrane implantation for lower third nasal reconstruction: a promising therapy to promote wound healing

The observed advantages of HAAM implantation include promoting haemostasis, accelerat- ing the wound healing and pain relief and preventing bleeding, infection and scar

Metacognizione e didattica della matematica

Flavell insiste sulle relazioni tra metacognizione e cognizione, evidenziando come sia complesso cercare di delinearne i limiti: in fondo le conoscenze e le

Monza nelle pellicole cinematografiche. Una risorsa da dilatare / Monza in films. An asset to promote

Tale relazione è considerata da sempre come una delle più rilevanti per la comprensione del nuovo mezzo di espressione, anche se spesso le due forme di linguaggio vengono comparate

L’open innovation nel contesto delle PMI vitivinicole

Gli esempi proposti evidenziano che il settore vitivinicolo è in grado di esprimere interessanti livelli di competenze sia manageriali che tecniche anche quando si è in presenza

Human mobility from theory to practice: Data, models and applications

We review the state of the art of five main aspects in human mobility: (1) human mobility data landscape; (2) key measures of individual and collective mobility; (3) generative