Friday, October 28, 2011

IT Consumerization (ITA + ENG)



Il nuovo modello 4S dell'iPhone è già un successo di vendite negli Stati Uniti e, considerato il boom delle prenotazioni, lo sarà anche in Italia quando arriverà nei nostri negozi. Ad acquistarlo saranno certamente persone che non hanno mai posseduto un iPhone in precedenza, ma anche veri e propri appassionati del genere, e quindi già possessori di uno dei modelli precedenti. I primi sono motivati dal desiderio di possedere finalmente lo smartphone più "fashion" sul mercato, mentre i secondi non vedono l'ora di sperimentarne le nuove funzionalità.

Tra breve quindi, come già successo con i modelli precedenti, vedremo l'iPhone 4S entrare nelle aziende, quasi certamente con un impatto ancora più significativo sulle attività lavorative di quanto è stato finora con i modelli precedenti. Contestualmente alla disponibilità del nuovo iPhone, Apple sta offrendo una serie di innovativi servizi in modalità Cloud, come ad esempio la possibilità di salvare documenti online e di fare il backup dei propri dati, ai quali si può quindi accedere da qualunque connessione internet.

Nulla di strano (si fa per dire), perchè non è altro che uno degli aspetti del cosiddetto fenomeno di “IT Consumerization”, che Steve Jobs annunciò al mondo alcuni anni fa in occasione di un’intervista con alcuni analisti. Quando gli domandarono quali fossero le strategie di Apple per penetrare nel mercato delle aziende, lui rispose che non ne esisteva alcuna, perché non c’era bisogno di attuarne una specifica. Da visionario quale era, espresse la convinzione che le persone che avrebbero acquistato i suoi iPhone, iPad o iMac per un utilizzo personale, avrebbero poi voluto continuare ad usarlo anche per le proprie attività lavorative. Fenomeno puntualmente verificatosi, divenendo oggi una delle maggiori preoccupazioni degli IT Manager e CIO (Chief Information Officer) delle aziende, alle prese con i potenziali rischi che la diffusione di dispositivi non gestiti comporta soprattutto, ma non solo, per tutto ciò che riguarda la protezione delle informazioni aziendali.

Oggi lo scenario appare perfino peggiorare di quanto si potesse pensare a prima vista. Ad esempio mentre all’inizio si trattava di gestire le richieste del personale di poter utilizzare i propri tablet unicamente per l'accesso alla email e ai servizi web, oggi sta crescendo a vista d’occhio la spinta ad utilizzare tali dispositivi anche per altre applicazioni aziendali. Due su tutte, la Business Intelligence e la Collaboration, con numerosi utenti sempre più tentati di sostituire funzionalmente i propri Personal Computer con i Table di nuova generazione.

A conferma di questa tendenza arrivano i dati pubblicati da vari analisti, in base ai quali almeno un terzo delle aziende che già supportano l’utilizzo degli iPad in azienda ne consentono l’impiego per almeno un’altra applicazione della stessa impresa, in aggiunta ai tipici servizi di posta elettronica. D’altra parte, in questo modo si favoriscono tanto la mobilità del personale, quanto l’aumento della produttività aziendale, rendendo più rapidi e reattivi agli eventi tutti i processi di business.

A fare da contraltare a benefici ottenibili dall’impiego dei Tablet per usi aziendali, c’è purtroppo il significativo aumento dei rischi tecnologici da affrontare. Già di per se stessa, la mobilità moltiplica i fattori di rischio, tant’è che stando ai dati pubblicati da ENISA (the European Network and Information Security Agency) sorgono o assumono pià consistenza rischi quali:

·         il data leakage: un attaccante accede ai dati presenti su un dispositivo oggetto di furto o smarrimento

·         l’Improper decommissioning: nel processo di riassegnazione del dispositivo da un utente ad un altro non viene effettuata la rimozione dei dati sensibili

·         l’Unintentional data disclosure: molte applicazioni prevedono la selezione di opzioni specifiche per la Privacy ma molti utenti sono del tutto inconsapevoli dei dati che sono effettivamente trasmessi

·         lo spyware: codice malevole introdotto in modo silente tramite il download di applicazioni considerate legittime dall’utente.

Quale è, quindi, l’approccio che un’azienda dovrebbe adottare per limitare la propria esposizione ai rischi introdotti dalla crescente diffusione di dispositivi personali come smartphone, tablet etc. ?

Il principio fondamentale è quello di realizzare un framework integrato per la gestione dei dispositivi mobili e degli asset IT che consta di 3 componenti principali.

In primo luogo l’azienda dovrebbe introdurre una componente che comprende processi e tecnologie per attivare l’accesso alla rete aziendale, alle applicazioni ed ai dati in modo facile ed automatico. Sarebbe auspicabile in tal senso l’adozione di tecnologie che consentono un controllo da parte dell’azienda delle applicazioni che possono essere installate, ad esempio l’utilizzo di un meccanismo di distribuzione interna e la raccomandazione delle applicazioni pubbliche.

La seconda componente da considerare prioritariamente dovrebbe riguardare le funzionalità di contabilizzazione e di configurazione degli asset, che si possono introdurre in modo molto efficiente tramite l’adozione di un’unica piattaforma integrata e scalabile, piuttosto che come purtroppo spesso accade tramite la realizzazione, in definitiva molto più onerosa, di specifici tools e connettori “custom” tra vari repositori aziendali.

Per finire, ultimo ma non meno importante come si è soliti dire in questi casi, occorre garantire la protezione dei dati aziendali e dell’infrastruttura da attacchi e furti, ed implementare le stesse politiche di sicurezza su personal computers, tablets e smartphones. In questo ambito le funzionalità più rilevanti sono quelle relative alla gestione delle politiche aziendali relative all’utilizzo della password e all’attuazione di eventuali restrizioni nell’utilizzo di applicazioni e la cancellazione dei dati in seguito al furto o allo smarrimento del dispositivo, anche se per limitare il rischio derivante da questi eventi è bene prevedere l’impiego di soluzioni che consentono anche la cifratura dei dati.

La possibilità di utilizzare il dispositivo in modo integrato ad una Certification Authority così da attivare le soluzioni di Strong Authentication (autenticazione a 2 fattori) per l’accesso alla rete VPN o WiFi, rappresenta un indubbio valore aggiunto che può permettere di realizzare efficienze migrando su tali piattaforme eventuali soluzioni già presenti in azienda che sono però basate sull’impiego dei tradizionali token hardware o smart card.


English version



The new iPhone 4S is becoming a sale success all over the world and surprisingly many of the people who have already bought it, or are going to buy it, had already owned an Iphone before, but cannot wait to experience the new features.

Shortly then, as happened with the previous models, we will see the Iphone 4S getting into the companies, almost certainly with a more significant impact of the previous models. In fact Apple is also offering a range of innovative services in the cloud accessible from the Iphone 4S, such as the ability to save documents online and make data backups, and then access them again from any Internet connection.

Nothing strange about, but simply one aspect of the so-called phenomenon of "IT consumerisation" that Steve Jobs announced a few years ago during an interview with some analysts. When questioned about Apple's strategies to penetrate the corporate market, he replied that there was no need to implement anything specific. As visionary he was, he expressed the belief that people who would purchase her iPhone, iPad, or iMac for personal use, then wanted to continue using them at their job. This phenomenon is becoming today a major concern for IT managers and Chief Information Officer (CIO), dealing with potential risks that spread of unmanaged devices mean for the protection of business information.

Today the scenario is even worse than you might think at first glance. For example, while at the beginning IT staff efforts were addressed to manage the demands of the employees to use their personal tablet only for accessing company email and web services, now it is growing the pressure to use these devices for other business applications. On top are Business Intelligence and Collaboration applications, with many users increasingly tempted to functionally replace their PC with the Tablet.

To confirm this trend come the data published by various analysts, according to which at least one third of the companies that already support the use of the iPad in the company allow to access at least another business application in addition to e-mail services. On the other hand, this will encourage both the mobility of staff and an increasing productivity, making business processes faster and more responsive to events.

As a counterpoint to the benefits obtained from the use of Tablets for business purposes, there is unfortunately a significant increase of the technological risks to be addressed. The mobility increases the number of risk factors, so much that according to data published by ENISA (the European Network and Information Security Agency) arise or take more consistency the following risks:

· Data leakage: an attacker access data on a device being lost or stolen

· Improper decommissioning: in the process of re-assignment of the device by a user to another sensitive data are not removed

· Unintentional data disclosure: many applications require the selection of specific options for privacy, but many users are unaware of data that are actually transmitted

· Spyware: malicious code silently introduced by downloading applications considered legitimate by the user

So, what should be the approach that a company should take to limit its exposure to risks posed by the increasing popularity of personal devices such as smartphones, tablets, etc.. ?

The basic principle is to create an integrated framework for mobile device management and IT asset that consists of 3 main components.

First, the company should introduce a component that includes processes and technologies to enable access to the corporate network, applications and data in an easy and automatic way. It would be desirable the adoption of technologies that allow a company to control the applications that can be installed, such as the use of a mechanism for internal distribution and recommendation of public applications.

The second component that should be considered relates the functionalities of accounting and assets configuration. Such functions can be introduced very efficiently through the adoption of a single integrated and scalable platform rather than, as unfortunately often happens, through the implementation of specific tools and connectors "custom made" among various corporate repositories, that ultimately are much more expensive. 

Finally, last but not least as we usually say in these cases, we must ensure the protection of corporate data and infrastructure from attacks and theft, and implement the same security policies on personal computers, tablets and smartphones. In this context, the most relevant features are those relating to the management of corporate policies such as password rules, implementation of any restrictions on the use of applications, data deletion following device theft or loss, even if to limit the risk from these events is recommended the use of solutions that also allow data encryption.

The ability to use the device integrated with a Certification Authority in order to enable strong authentication solutions (2-factor authentication) for access to the VPN or WiFi, is a clear added value that can allow you to make efficiencies by migrating solutions that are already in the company and based on the use of traditional hardware tokens or smart cards. 






Sunday, October 23, 2011

DuQu e Stuxnet: le aziende sono pronte a gestire queste minacce ?




DuQu è una nuova minaccia che ha molte analogie con Stuxnet

Nei giorni appena trascorsi Symantec ha reso pubblica la scoperta dell’esistenza di un nuovo trojan denominato DuQu. La notizia ha generato allarme a giudicare dalla diffusione sulla stampa mondiale; solo in Italia ho contato almeno una quarantina di testate giornalistiche web, tra cui Corriere.it, Metro, il Foglio, City, AdnKronos, ilGiorno.it e LaNazione.it.
Personalmente ritengo che in questo caso l’allarme sia del tutto giustificato.
Le varianti attualmente analizzate di DuQu indicano che l’obiettivo era la sottrazione di informazioni sui dati e gli asset presenti all’interno di imprese manufatturiere di sistemi di controllo industriali, al fine di condurre successivamente un attacco mirato verso le aziende che avrebbero adottato tali sistemi. In pratica, grazie alle varianti identificate e già analizzate, siamo in grado di dire che gli utilizzatori di DuQu stavano mirando ad ottenere documentazione di progetto che avrebbe potuto essere di supporto per un futuro attacco verso ambienti industriali. L’affinità con le finalità perseguite dal celeberrimo STUXNET è del tutto evidente; infatti, come noto, STUXNET fu utilizzato per condurre un attacco contro gli impianti di produzione nucleare in Iran. In aggiunta, con ogni probabilità, gli sviluppatori di entrambi i trojan sembrano essere gli stessi, perchè certamente parte del codice sorgente è identico, e tale codice non risulta pubblicamente disponibile a qualsivoglia sviluppatore.

C’è bisogno di ripensare il modello di security governance

Ciò premesso, il motivo principale per cui ritengo molto importante l’eco della scoperta effettuata da Symantec, è che spero contribuisca ad aumentare la consapevolezza da parte degli executive sia in ambito enterprise che nelle istituzioni, dell’importanza di essere direttamenti coinvolti nella governance della sicurezza ICT.
Questa scoperta contribuisce infatti a rendere ancora più evidente come oggigiorno dietro alle minacce informatiche si muovano interessi politici e/o economici di enti governativi ostili ed imprese concorrenti. Cyberwar, cybercrime e cyberspionage. Non ho controllato se tali parole inglesi siano già state introdotte come neologismi nel dizionario italiano, ma in caso contrario sarebbe necessario inserirle al più presto dato la necessità crescente di far riferimento a questi termini per spiegare eventi che sono trattati con grande enfasi in tutto il mondo.
Il livello di sofisticazione con il quale le minacce sono attualmente predisposte, nonchè la trasformazione dell’Information Technology attualmente in corso per mezzo dell’adozione di tecnologie di virtualizzazione e modelli di cloud computing e all’evoluzione del mobile, dovrebbe portare i suddetti “decision maker” a condurre attente riflessioni. Occorre riflettere sul modello di governance della sicurezza adottato nelle aziende, nonché le risorse economiche destinate ad assicurane la necessaria evoluzione in relazione ai suddetti cambiamenti di scenario. Troppo spesso infatti il reale livello di empowerment delle persone a cui è attribuita la responsabilità della sicurezza informatica nelle aziende è nella realtà purtroppo troppo limitato, e l’esercizio del loro ruolo così distante dai processi di business da non riuscire a comunicare efficacemente ai “business owner” ed agli executive, il potenziale impatto dei rischi che potrebbero interessare gli asset e/o i dati aventi rilevanza strategica per l’azienda. Per questo motivo mi auguro che il clamore suscitato da questo evento fornisca uno stimolo ad avviare le opportune e necessarie riflessioni ai giusti livelli aziendali.

Empowerment al responsabile sicurezza e committment personale degli executive

Vorrei quindi suggerire quelli che potrebbero essere gli elementi chiave da considerare per una possibile evoluzione degli attuali modelli organizzativi.
In primo luogo, come già anticipato, credo che sia essenziale un effettivo empowerment del responsabile della sicurezza informatica. Troppo spesso il suo ruolo è marginale rispetto ai ruoli chiave dell’organizzazione e inoltre non risulta adeguatamente supportato dal top manager sotto 2 punti di vista: budget e committment nei confronti delle funzioni aziendali più propriamente collegate al business. Non è uno slogan ma una necessità per l’azienda, quella di definire e rendere efficace dei processi che prevedano l’analisi degli aspetti di sicurezza fin dalle fasi di definizione di un nuovo modello di business o di un nuovo servizio e/o processo. Gli executive devono inoltre partecipare in prima persona alla governance della sicurezza ICT della loro impresa o ente pubblico, avendo piena consapevolezza che un fallimento della strategie in questo ambito potrebbe comportare enormi danni al business dell’azienda per gli impatti diretti e soprattutto indiretti (danni di immagine).
Per un lungo periodo di tempo nel ruolo di Chief Information Security Officer in Telecom Italia mi sono trovato ad agire in simili favorevoli condizioni e posso affermare senza timore di essere smentito, che i benefici per l’azienda sono stati assai rilevanti.

Un nuovo modello a 2 livelli per il Security Operation Center interno all’azienda

In secondo luogo, data la elevata e crescente sofisticazione delle modalità con le quali le minacce sono predisposte, occorre prendere atto della oggettiva difficoltà ad individuare tempestivamente la presenza di eventi anomali che sono indice di un potenziale attacco. Molte aziende hanno implementato un modello organizzativo per la governance della sicurezza che prevede il monitoraggio degli eventi di sicurezza da parte di un Security Operation Center (SOC) interno all’azienda stessa.
Questo è un paradigma che deve necessariamente evolvere perchè non rappresenta più lo stato dell’arte, ed infatti la mia opinione è che oggi occorre che le aziende implementino un modello a 2 livelli. Il primo livello relativo alle attività per la gestione degli incidenti, deve essere implementato all’interno dell’azienda. Infatti una conoscenza diretta delle infrastrutture, dei processi aziendali e dei colleghi il cui supporto è essenziale per attuare azioni di contenimento e recovery, consente una gestione molto efficace delle situazioni di crisi. Il secondo livello, rappresentato dalle attività di monitoraggio e correlazione degli eventi con le fonti di intelligence riguardanti le vulnerabilità, gli attacchi e le minacce, dovrebbe invece essere realizzato integrando le capabilities offerte sul mercato da chi davvero è in grado oggi di effettuare quel tipo di mestiere con la necessaria efficacia.

La Global Intelligence Network di Symantec

DuQu è stato identificato grazie al monitoraggio di Internet da parte di Symantec. Questa attività di monitoraggio è effettuata ininterrottamente da un nutrito gruppo di specialisti tramite una Global Intelligence Network costituita da circa 240.000 sensori localizzati in più di 200 paesi al mondo, da 180 milioni di client/server aventi installato il software antivirus, da sistemi di antispamming che processano circa 8 miliardi di mail al giorno e dai sistemi nel cloud Symantec che elaborano circa 6 miliardi di connessioni web e email al giorno per erogare servizi di email e web security alla clientela. Per non citare gli 11 miliardi di log raccolti ogni giorno da oltre 1000 clienti che hanno delegato a Symantec il monitoraggio della sicurezza sul loro perimetro. 

Oggi sono queste le basi necessarie per realizzare in modo efficace un’attività di monitoraggio di eventi di significativa complessità.


Friday, October 21, 2011



Tecnologiblog intervista Marco Bavazzano, Security Strategist Mediterranean Region di Symantec.


Secondo una ricerca di Symantec le aziende perdono dai 100.000 ai 271.000 dollari a causa dei cyber attacchi. Qual e’ la situazione in Italia?
Nel nostro Paese, la situazione è in linea con la media mondiale: il 73% delle aziende intervistate ha dichiarato di aver subito attacchi informatici negli ultimi dodici mesi, contro il 71% a livello globale (fonte: 2011 Symantec Security Survey). E’ importante mantenere alto il livello di attenzione per la sicurezza delle informazioni aziendali soprattutto in considerazione dei rischi potenziali che derivano dalla crescente diffusione dei trend che caratterizzano lo scenario IT; mi riferisco in particolare alle conseguenze dell’IT consumerization, ovvero l’impiego crescente all’interno delle aziende di dispositivi in particolare mobili, acquistati per un utilizzo di tipo personale, e l’adozione di tecnologie di cloud e virtualizzazione.
Ritiene che gli elevati costi spaventino gli imprenditori italiani che rinunciano ad investire in sicurezza informatica?
L’adozione di misure di sicurezza volte a proteggere gli asset e le informazioni aziendali da attacchi informatici non rappresenta un costo, ma un investimento per un’azienda. Gli attacchi e i furti di informazioni comportano una serie di disagi per le aziende che si possono tradurre in costi: secondo la 2011 Security Survey, il 92% delle aziende intervistate ha subito delle perdite dovute ai cyber attacchi. I costi maggiori hanno impattato su produttività, fatturato, perdita di dati aziendali, dei clienti o dei dipendenti e reputazione del brand. Un adeguato investimento in soluzioni di protezione dei dati, a lungo termine, si traduce in un vantaggio economico.
Quali, a suo parere, le soluzioni ideali per proteggere la propria azienda da cyber attacchi?
Alla base rimane sempre la protezione delle infrastrutture che non deve limitarsi a questo: l’approccio deve essere di tipo olistico e al centro della strategia bisogna mettere le esigenze di gestione e protezione dell’informazione. E’ quindi importante proteggere le proprie infrastrutture, mettendo al sicuro tutti gli endpoint – compreso il numero crescente di dispositivi mobili – così come gli ambienti di messaggistica e web, i server sensibili interni, mentre l’implementazione della funzionalità di backup e recovery dei dati dovrebbe essere prioritaria. In aggiunta però le aziende devono proteggere le informazioni in modo proattivo grazie all’encryption, sviluppare ed applicare le policy IT che si estendano a tutte le sedi e stabilire una priorità di rischi per proteggere le informazioni, identificare le minacce e far fronte agli incidenti che si verificano o anticiparli prima che accadano.
A suo parere manca in Italia la cultura della sicurezza informatica?
Nonostante l’Italia sia al quarto posto nella classifica globale che misura il numero di botnet presenti nei singoli paesi, ovvero il numero di computer infetti utilizzati come veicolo di attività malevole (fonte Symantec Internet Security Threat Report XVI), le aziende italiane dichiarano di essere sempre più consapevoli dei rischi informatici e dell’importanza di proteggere i propri dati. Il 51% delle aziende italiane intervistate ha infatti dichiarato che sta operando abbastanza o molto bene nell’adottare le misure di sicurezza di routine, mentre il 45% ha riferito che si sta comportando abbastanza o molto bene nel rispondere agli attacchi di sicurezza o alle violazioni.
Le aziende stanno aumentando il budget per l’area IT, potenziando soprattutto il network, il web e la sicurezza degli endpoint. I budget per la sicurezza sono in crescita anche nella sicurezza web e del network, così come nella data loss prevention. La fotografia che ne deriva è che le aziende stanno intensificando i loro sforzi per migliorare l’efficacia dei loro modelli di security governance. Speriamo che questo trend continui e l’Italia riesca a recuperare il gap esistente con i paesi anglosassoni e la Germania, dove in effetti la cultura della gestione del rischio anche di tipo informatico è senz’altro più sviluppata.
Bruno Bellini




Articolo originale al seguente link









Saturday, October 15, 2011

Il Blackberry...è ancora il migliore smartphone per il business ?

Links to this post
Dal lontano 2004 il blackberry é in assoluto il mio compagno di lavoro preferito. 

In tutti questi anni nel gioco della torre con le altre mie consuete dotazioni di lavoro (il portatile, il desktop e lo smartphone), l'indiscutibile vincitore sarebbe sempre stato indiscutibilmente il blackberry


A chi mi chiedeva i motivi di questa preferenza rispondevo che era l'affidabilità del servizio a renderlo unico per le esigenze di business. Affidabilità a tutto tondo. Dalla robustezza ed usabilità dei terminali, alla disponibilità del servizio mail e navigazione. Per non dimenticare la velocità di accesso alla rete. Arrivato in qualunque paese del mondo, prima ancora di essere sceso dalla scaletta dell'aereo il terminale si é agganciato al segnale GPRS o 3G e le nuove mail sono già disponibili per la lettura! 

Non potevo quindi essere meno che dispiaciutissimo per i disservizi occorsi nella settimana appena trascorsa. La mera cronaca riferisce di tre giorni (tre!) di disservizio pressoché totale in quasi tutti i paesi dei vari continenti !!! 

Per inciso, sono quasi certo che le informazioni circolate in relazione a questo evento forniranno materiale per la realizzazione di un numero incredibile di case study nell'ambito di corsi di formazione manageriali. A partire dai tardivi e lacunosi messaggi alla clientela sul disservizio in corso, rilasciati tramite i canali web e twitter dell'azienda, che offriranno nuovi spunti per ribadire l'enorme valore che assume una comunicazione tempestiva ed efficace durante la gestione di una crisi. 


Ufficialmente RIM, la società che ha ideato e gestisce il servizio Blackberry, ha attribuito la catastrofe (la si può forse chiamare differentemente?) al guasto di uno switch dell’infrastruttura di rete e al mancato funzionamento della procedura di fail-over che avrebbe dovuto attivare una via alternativa di instradamento. E’ un evento che può davvero capitare ? certamente si, in presenza di un errore nella fase di progettazione e deployment dell’infrastruttura o durante le attività di gestione della stessa. Sarebbe infatti buona regola effettuare periodicamente delle verifiche sul corretto funzionamento delle ridondanze e delle configurazioni di disaster recovery, e questo principio è naturalmente di fondamentale importanza sia nella gestione di infrastrutture di rete che nell’ambito dei Data Center. 

E’ ovvio quindi che la messa a punto e soprattutto il mantenimento di una soluzione di disaster recovery può rappresentare un investimento significativo e sono purtroppo molto consapevole del fatto che le riduzioni di budget a cui sono andate incontro quasi tutte le società hanno inciso (e in modo significativo) anche su questo capitolo di spesa. 

E’ quindi questa la causa fondamentale del problema occorso al servizio blackberry la scorsa settimana ? E’ probabile, ma certamente non avremo mai modo di saperlo per certo perchè la circolazione di un’informazione di questo tipo porterebbe ulteriori impatti negativi all’azienda. Invece mi interessa fare un altro tipo di considerazione riguardo all’esistenza di processi per la valutazione del rischio d’azienda (Enterprise Risk Management) correlati anche ad una valutazione del rischio tecnologico. 

Tutte le aziende che hanno un business fortemente caratterizzato dall’impiego di tecnologie ICT dovrebbero implementare un tale modello di valutazione del rischio, senza trascurare naturalmente nella valutazione delle potenziali minacce anche quelle legate alla cybersecurity. Pur nel contesto attuale caratterizzato da una contrazione significativa degli investimenti, quale top manager infatti non renderebbe disponibile le risorse economiche adeguate a prevenire situazioni che potenzialmente avrebbero un impatto economico, diretto e/o indiretto, molto elevato ? 

Nel caso di RIM ritengo di poter affermare che la valutazione del suddetto rischio non è stata per lo meno resa adeguatamente disponibile nell'ambito dei processi decisionali atti ad orientare ed approvare gli investimenti dell'azienda. Non oso immaginare quali saranno complessivamente i danni economici che l’azienda subirà a causa di questo disastro, in considerazione soprattutto del gravissimo danno di immagine in un periodo in cui peraltro il competitor Apple beneficia positivamente dell’esposizione mediatica conseguente alla morte di Steve Jobs (vedasi il boom di richieste per il nuovo Iphone 4S) 

A mio parere è il ruolo del middle management in generale ad essere chiave e soprattutto in questo momento storico. Sono loro che devono imparare a comunicare agli executive le situazioni di rischio per il business aziendale. Ma per farlo, mai come prima di oggi il middle management deve svilupparsi ed adottare un linguaggio adatto ad una comunicazione bottom-up ed affine al business, e superare la paura purtroppo presente in molti di loro, che rappresentare tali scenari di rischio ai livelli aziendali più alti o ai colleghi di altre direzioni aziendali possa riflettersi in modo negativo sulle loro ambizioni di carriera, che viceversa potrebbero trovare maggiori possibilità a fronte di atteggiamenti più accondiscendenti. 

Ci vogliono quindi comportamenti più responsabili da parte di tutti, a partire dal top management che deve promuovere comportamenti di assoluta trasparenza e poi da parte delle persone che operando a livello organizzativo più basso hanno spesso la possibilità di conoscere per primi la potenziale situazione di rischio derivante da un mancato investimento o da una riduzione del budget. 

Ritengo che quanto accaduto a RIM sia solo l’antipasto, anche se non mi sono affatto dimenticato tutti gli altri eventi legati ad una gestione inadeguata delle misure di protezione delle informazioni critiche per l’azienda, che hanno pure caratterizzato gli ultimi 12 mesi (RSA, Sony, Lockheed Martin, International Monetary Fund, Northrop Grumman e Diginotar, per citare alcuni dei nomi che dovrebbero richiamare alla memoria eventi critici di particolare rilevanza). 

Purtroppo è assai probabile che assisteremo ancora al verificarsi di altri eventi similari a meno che, come già detto, le imprese non promuoveranno comportamenti di maggiore trasparenza e chiariranno inoltre che a tutti i livelli vige la responsabilità individuale di evidenziare situazioni critiche per l’azienda. 










Sunday, October 9, 2011

LTE e NGN


In un post del 9 Settembre avevo trattato l’argomento delle rete mobili di nuova generazione. In quei giorni in Italia era in corso la gara per l’assegnazione delle licenze LTE, ed avevo espresso preoccupazione che l’ingente costo che gli operatori avrebbero dovuto sostenere avrebbe sottratto risorse allo sviluppo delle infrastruttura stessa ed in particolare alla sicurezza.

La gara si è infine conclusa alla fine del mese di Settembre ed i costi sostenuti dagli operatori sono stati complessivamente pari all’eccezionale cifra di circa 4 Miliardi di Euro.



La buona notizia è che il governo sembra voler destinare una parte degli introiti eccedenti la quota prevista nel bilancio statale allo sviluppo delle infrastrutture di telecomunicazioni nel nostro Paese.

Considerato che 2.4 Miliardi di Euro saranno quindi certamente destinati a contribuire alla copertura del deficit nazionale come previsto dal piano economico, nell’ipotesi che almeno la metà della quota restante sia destinata ad azioni di sostegno e sviluppo delle infrastrutture, possiamo pensare che il Ministro dello Sviluppo Economico Paolo Romani avrà a sua disposizione una cifra pari a circa 780 Milioni di Euro.  

Sono molti o pochi per garantire la necessaria azione di sviluppo ?

Secondo le stime fatte dagli esperti lo sviluppo della rete fissa di nuova generazione a larga banda, la ben famigerata NGN (Next Generation Network), richiederebbe degli investimenti pari a 15-20 mld di euro e quindi le risorse per lo sviluppo a disposizione dello Stato sarebbero pari a circa il 5%. Troppo poco sfortunatamente per dare il via ad un progetto pubblico per la realizzazione delle infrastrutture a larga banda nel Paese, anche se è quello di cui avremmo bisogno per aiutare le imprese italiane a recuperare la produttività persa nel corso degli ultimi 10 anni in considerazione che la nostra under-performance è stata determinata anche dal fatto che abbiamo questo gap nei confronti ad altri paesi.

Che fare quindi ?

La posizione degli operatori a riguardo della rete NGN è in estrema sintesi la seguente: non sono disponibili a fare investimenti nelle aree a fallimento di mercato, ovvero dove non esistono le condizioni per un ritorno dell’investimento nel breve-medio termine, e non sono neppure favorevoli ad una società pubblico privata che si occupi di colmare il digital divide investendo nelle suddette aree.

Sarà interessante vedere cosa succederà a questo punto delle risorse economiche che eventualmente saranno resi disponibili al Ministero dello Sviluppo Economico. Speriamo che comunque vada i suddetti 780 Milioni siano indirizzati a opere di sviluppo delle nostre infrastrutture come volano per consentire il rilancio delle nostre imprese nazionali, e che in secondo luogo il nostro Paese sia in grado di assicurare l’implementazione di un piano per la protezione di questa ed altre infrastrutture critiche da parte delle aziende pubbliche/private che hanno in carico la gestione di tali infrastrutture






Saturday, October 8, 2011

iDie


Il titolo non vuole essere ironico o ancora peggio denigratorio, ma al contrario un sincero elogio nei confronti di Steve Jobs, un genio della mia epoca.

In questi giorni ho letto molte sue interviste e racconti che lo riguardano scritti da persone che lo hanno conosciuto. Sono tantissime le cose che mi hanno colpito, ma in particolare la determinazione e la convinzione che aveva da ragazzo di fare qualcosa che riuscisse a cambiare il mondo. Niente di meno.

I cambiamenti che ha determinato con la sua opera non si sono originati in modo casuale o imprevedibile.  Anni fa in un intervista diceva che la sua strategia per lo sviluppo di Apple nell’ambito enterprise era “nessuna strategia”, nel senso che non ne aveva bisogno perchè le persone che acquistavano i suoi iPhone e i suoi iPad per un utilizzo personale li avrebbero poi portati in azienda per impiegarli anche nelle attività lavorative. Ed ha avuto talmente ragione che alcuni analisti hanno coniato il termine IT Consumerization per descrivere questo esplosivo fenomeno.

Nella storia dell’umanità ci sono tante persone che hanno determinato dei cambiamenti epocali. Steve Jobs è sicuramente uno di quelli. Con le sue invenzioni ha cambiato per sempre il modo in cui le persone passano parte del proprio tempo libero e vivono in azienda, ed è quindi troppo riduttivo pensare a lui come ad un semplice genio della tecnologia. Per il suo impatto sulla società e la cultura, Steve jobs è stato molto più che un innovatore tecnologico. 




Sunday, October 2, 2011

IT & Information Security in Formula 1 (ITA + ENG)




La scorsa settimana ho avuto la bellissima opportunità di imparare delle cose stupefacenti riguardo all'uso e l'importanza delle tecnologie nella Formula 1 visitando la fabbrica della Lotus Renault. 



Premetto che non sono un appassionato di motori e per questo motivo mi sono sempre accostato in modo abbastanza superficiale al mondo della Formula 1. Tuttavia non sono mai rimasto indifferente allo spettacolo offerto dai piloti che sfrecciando a velocità impressionanti, dimostrano di avere riflessi e capacità di concentrazione di gran lunga superiori a quelli normali. Ma soprattutto, per via dei miei studi ed esperienze professionali, ho sempre guardato con ammirazione e curiosità la costante introduzione di significative innovazioni tecnologiche. 



Certamente alcuni impatti derivanti dall’innovazione tecnologica in questo ambito sono sotto gli occhi di tutti. In primo luogo mi riferisco ai miglioramenti conseguiti per garantire la sicurezza del pilota durante la corsa. Appena qualche anno fa un incidente analogo a quelli verificatisi durante le gare che ci sono state recentemente, avrebbe con ogni probabilità causato la perdita della vita del pilota. Invece ciò non é accaduto grazie alla maggiore protezione offerta da un abitacolo completamente riprogettato e soprattutto grazie all'utilizzo di nuovi materiali sorprendentemente robusti nonostante la loro incredibile leggerezza. In secondo luogo sono altrettanto evidenti i miglioramenti conseguiti per quanto riguarda le prestazioni dei motori e dei pneumatici. E' quindi per questo motivo che ho vissuto con grande entusiasmo una giornata alla scoperta delle tecnologie impiegate da una delle più prestigiose case automobilistiche mondiali. 



Entusiasmo ampiamente ripagato da grandi emozioni, quali ad esempio l'incredulità provata nel constatare che i componenti del motore dell'auto sono leggeri come una piuma. Per non dire della meraviglia che ha suscitato in me il processo di fabbricazione dei componenti del telaio, che definirei un'attività artigianale altamente industrializzata, in quanto finalizzato a realizzare pezzi straordinariamente unici dal punto di vista tecnologico e in "tiratura" limitatissima, per mezzo di un impianto automatizzato incredibilmente sofisticato. 


Automazione vuole dire Information Technology naturalmente, ma l'information Technology applicata alla Formula 1 non è limitata a quello. 

L'IT supporta infatti altri processi diventati core nell'ambito della Formula 1 negli ultimi 10-15 anni, quale ad esempio l'analisi dei dati ricavati nel corso delle attività svolte all'interno della cosiddetta "galleria del vento" onde determinare il migliore assetto dell'auto a seconda delle condizioni esterne. Di fondamentale importanza il contributo dell'IT alle varie attività di R&D che possono determinare il vantaggio competitivo di una casa automobilistica rispetto ai concorrenti durante tutto il corso di un campionato. 

E' quindi facile intuire che in questo contesto la gestione affidabile e la protezione dei suddetti dati durante tutto il ciclo di vita degli stessi è un'esigenza assolutamente "business critical". 

La dimostrazione che questa affermazione non è affatto un'esagerazione ci è fornita da un fatto di cronaca accaduto nel recente passato. Nel Settembre 2007 il Consiglio Mondiale della Fédération Internationale de l'Automobile (la denominazione francese è quella ufficiale, in sigla FIA, in italiano Federazione Internazionale dell'Automobile) ha multato la McLaren di 100 Milioni di Dollari, oltre all’esclusione dal mondiale in corso, per atti di spionaggio compiuti da dipendenti dell’azienda nei confronti della Ferrari, rei cioè di aver sottratto informazioni riservate (disegni, progetti, design dei componenti, tecnologie di assemblaggio, procedure riguardanti l’aereodinamica, etc.) frutto di anni di ricerche ed investimenti da parte della Ferrari, e di avere cercato di trarre un vantaggio sportivo da tali informazioni. Per la cronaca si noti che la posizione ufficiale della McLaren è sempre stata quella di essere del tutto estranea alla vicenda, e di non aver utilizzato ne tratto beneficio dalle informazioni riservate Ferrari ricevute dal suo Capo Disegnatore Mike Coughlan. Questa linea difensiva è stata però ritenuta non valida dalla commissione giudicante anche grazie alle attività investigative condotte dal CNAIPIC (Polizia Postale e delle Comunicazioni) che furono in grado di dimostrare l’esistenza di una fitta rete di contatti e scambio di commenti sulle informazioni sottratte all’interno della McLaren, che interessarono addirittura i piloti della casa costruttrice. Ulteriore aggravante che ha costituito un elemento determinante nella formulazione della sentenza fu la mancata adozione di misure punitive contro Coughlan da parte dei vertici della McLaren (del cui ruolo attivo nella vicenza non esistono prove certe) una volta che gli stessi vennero a conoscenza dell’accaduto, e soprattutto la mancata denuncia dei fatti alle autorità. 

Potete a questo punto ben immaginare quanto sia sfidante ed allo stesso tempo eccitante collaborare al raggiungimento dei risultati di un team di Formula 1 e quindi la voglia per me di dedicare spazio all’interno del mio blog personale per raccontare che Symantec è partner tecnologico di Lotus Renault

Il contributo di Symantec è indirizzato a garantire la protezione delle informazioni riservate, la confidenzialità ed integrità delle comunicazioni effettuate via mail, la disponibilità della applicazioni critiche presenti sia in ambiente fisico che virtuale, il supporto specialistico nella gestione di incidenti e la standardizzazione delle soluzioni per la gestione della sicurezza delle infrastrutture IT

Ecco quindi che in definitiva la formula vincente per un team di Formula 1 (scusate la ripetizione) oltre a comprendere le qualità umane e tecniche del pilota e dello staff tecnico, la capacità di innovare continuamente indi compreso quella di condurre efficacemente ricerche finalizzate all’identificazione di nuovi materiali utili a migliorare le prestazioni meccaniche ed aerodinamiche, include in modo significativo il contributo fornito al team dai partner tecnologici.



English version


Last week I had the wonderful opportunity to learn amazing things about the importance of technology in Formula 1 visiting the Lotus Renault factory. 


I state that I am not a fan of engines and for this reason I have always approached Formula 1 world rather superficially. However I had never been indifferent in front of the show offered by drivers whizzing at incredible speed, giving evidence of reflection and concentration much higher than standard. But above all, because of my studies and professional experiences, I have always looked with admiration and curiosity at the constant introduction of meaningful technological innovations. 


Some implications resulting from technological innovation in this field are visible for all. First I am referring to the improvements achieved to ensure the safety of the riders during the race. A few years ago a similar incident that occurred during those races that have been recently, would have probably caused the loss of life of the pilot. Instead that didn’t happened, due to the deeper protection offered by a completely redesigned interior, and especially due to the use of new materials surprisingly robust despite their incredible lightness. Secondly, equally obvious are the improvements achieved with regard to the performance of engines and tires. And so for this reason I have lived with great enthusiasm a day discovering the technologies employed by one of the world most prestigious car manufacturers. 



Enthusiasm was greatly repaid by strong emotions such as the disbelief discovering that the engine components are as light as a feather bird. Not to mention the wonder that has given me the process of manufacturing the frame components, that I would call a “craft process highly industrialized”, since it aims to create amazingly unique pieces from the technological point of view and in very limited numbers, by an automated system highly sophisticated. 


Automation means Information Technology course, but the Information Technology applied to Formula 1 is not limited to that. 

In fact IT supports other processes which became core for Formula 1 manufactures in the last 10-15 years, such as the analysis of data obtained in the course of activities carried out within the so-called "wind tunnel" in order to determine the best car structure depending on external conditions. The same importance is the contribution of IT to R&D that can determine the competitive advantage of a car throughout the course of a championship. 

It’s easy to understand that in this context, reliable data management and protection is absolutely business critical

The proof for this statement is given by a recent fact. In September 2007 the World Council of Federation Internationale de l'Automobile (the French is the official name, the acronym FIA), fined McLaren with 100Million USD, as well as the exclusion from the world championship for that year, because of acts of espionage committed by company's employees against Ferrari. They were found guilty of stealing confidential information (drawings, plans, component design, assembly technologies, procedures relating to the aerodynamics, etc..) coming from years of research and investments from Ferrari, and of making a profit from these data. For the record note that the official position of McLaren has always been to be totally unrelated, and have not used of taken benefit from the Ferrari confidential information received from his chief designer Mike Coughlan. This defensive line, however, was deemed invalid by the judging committee also thanks to investigations conducted by CNAIPIC (an office of the Italian Police) who were able to demonstrate the existence of a huge network of contacts and exchange of comments on the stolen information inside McLaren including the race drivers. Further aggravating circumstance that constituted a crucial element in the formulation of the sentence was the lack of punitive measures against Coughlan on part of McLaren’s executives (of which there is no evidence of an active role in the espionage) once that they were aware of what was happened, and especially the lack of reporting the incident to authorities. 

You can imagine at this point just how challenging and exciting at the same time is working together with a Formula 1 team, and then my wish to dedicate space in my personal blog to tell you that Symantec is a technology partner of Lotus Renault. 

Symantec contribution is aimed at ensuring the protection of confidential information, confidentiality and integrity of mail communications, critical applications availability in both virtual and physical environment, support specialist for incident management and the standardization of infrastructure security solutions

Summarizing the winning formula for a team in Formula 1 (excuse the repetition) include technical and human qualities of the pilots and the technical staff, the ability to innovate, including effective researches aimed at identifying new materials to improve mechanical and aerodynamic performances, and last but not least important include a significant contribution from the technology partners.