N.4 gennaio 2012 jOURNAL Sicurezza fisica e logica: verso la convergenza? N La security si sta muovendo verso una sempre più spinta e completa integrazione tra la componente fisica e quella logica. La frontiera è la convergenza dei dati relativi ad impianti industriali, fabbriche e lavoratori con le informazioni provenienti dalle applicazioni per un più efficace controllo diretto. Da un unico punto. Laura Zazzara, Security Product Line Manager di Akhela el corso degli ultimi anni la separazione fra sicurezza fisica e logica è divenuta sempre meno marcata; oggi parliamo di sistemi di sicurezza “integrata” nella maggior parte delle grandi aziende, evoluzione che implica una visione della security a 360 gradi. Lo sviluppo di tecnologie mobile e l’integrazione delle stesse con stru- menti sempre più efficaci di Business Intelligence, sono i due fattori che maggiormente hanno spinto verso l’integrazione. Oggi è possibile far convergere dati relativi alla sicurezza di ambienti, impianti, apparati e persone coinvolte, verso un unico centro di controllo, interpretando gli stessi in modo da trasformarli in informazioni che possono essere distribuite ai diversi livelli organizzativi dell’azienda (in report personalizzati)per essere di supporto alle decisioni nell’attività quotidiana o in momenti particolarmente critici. Ne parliamo con due professionisti di Akhela, Laura Zazzara, Security Product Line Manager, e Gianluca Carta, Area Manager. SICUREZZA LOGICA: LA TECNOLOGIA È SOLO UN PEZZO “In ambito sicurezza logica l’attenzione è ormai da moltissimi anni focalizzata sul concetto di riservatezza e protezione del dato ma la tecnologia non è certamente un problema, in quanto sono disponibili diverse soluzioni”, afferma Zazzara. “Le tecnologie per la security servono ma sono solo una componente del puzzle. Comportamenti, consapevolezza, policy e procedure operative sono le sfide più importanti da affrontare”. Akhela Journal n. 4 - gennaio 2012 1 www.zerounoweb.it IDC: sulla sicurezza non cala mai l’ombra Akhela Managed Security Services: supporto alle attività del Soc Il tema della sicurezza informatica continua a dimostrarsi uno dei punti Akhela fornisce supporto alle aziende dal proprio Soc (Security Operation Center) con servizi quali: Vulnerability assessment/penetration test periodici; gestione delle policy (definizione, aggiornamento, compliance assurance); gestione e monitoraggio dell’infrastruttura (config/change/release management, interventi di hardening); monitoraggio proattivo (analisi dei log, correlazione eventi, early warning); alarm management; incident management con ripristino del corretto funzionamento; incident analysis (analisi delle cause e identificazione di contromisure); event logging (per storico, audit ed intelligence); controllo costante del livello di sicurezza con reportistica periodica e consulenza sull’evoluzione dell’infrastruttura del Soc. di confronto più importanti nel mercato Ict. “Le minacce alla sicurezza e alla riservatezza dei dati aziendali (ma anche personali) sono infatti aumentate con il diffondersi di tecnologie che rendono l’infrastruttura digitale sempre più complessa ed interconnessa (virtualizzazione, cloud computing e mobile)”, ha osservato Fabio Rizzotto, research director area It di Idc Italia. “Per quanto riguarda il tema della virtualizzazione e del cloud, le tecnologie fondamentali per rendere sicure queste soluzioni rientrano nel campo della gestione di identità, del controllo degli accessi e della protezione dei dati”, ha precisato Rizzotto. Non solo: gli end point, in particolare in nuovi device mobili (smartphone, iPhone, iPad), stanno diventando un punto molto vulnerabile del sistema: “Le applicazioni Voice over Ip, il Web 2.0, il Mobile e-commerce saranno senza dubbio tra i dispositivi più sfidanti dei prossimi anni, in termini di sicurezza delle informazioni”, evidenzia l’analista. “Il tema della sicurezza va dunque visto sempre di più in ottica allargata, in modo da comprendere l’analisi e la sintesi di tutti gli eventi (anche quelli provenienti dal mondo fisico, con un monitoraggio in tempo reale) che possono in qualche modo comportare rischi per le persone e i sistemi informatici (Psim, physical security information management)”. La sicurezza è infatti sempre più percepita come un problema da affrontare in modo olistico, non solo dal punto di vista tecnico bensì con insiemi di regole e processi avendo una visione complessiva e continuativa dei rischi. In particolare, le aziende dovrebbero concentrarsi su aspetti quali la de- Questo approccio sta cominciando a farsi strada e, secondo le previsioni Idc, finizione di policy chiare, condivise e sottoscritte, una formazione seria, la sarà uno dei driver che poteranno ad una crescita degli investimenti in It responsabilizzazione degli utenti e l’attribuzione di responsabilità precise, il Security in Italia. tutto conciliando esigenze di protezione, riservatezza e sicurezza di dati/infor- Il mercato della sicurezza, oggi, secondo le stime della società di ricerca e analisi, registra uno spending più alto rispetto al mercato It generale: “In mazioni (e delle persone) con quelle opposte di apertura e velocità (necessari al business per la nuova competitività). Italia, l’It Security spending (inteso come spesa complessiva in prodotti e ser- “Nell’attuale contesto concorrenziale globale la sicurezza logica dovreb- vizi di sicurezza informatica) ha un tasso di crescita che si colloca tra il 5 e il be rappresentare per le aziende italiane un enorme valore perché consente la 6% (confermato dagli analisti anche per i prossimi due/tre anni), rispetto alla riduzione dei rischi operativi, la preservazione dai danni d’immagine, la ridu- capacità di spesa It generale che registra un tasso di crescita lieve (di poco zione delle frodi, l’aderenza alle normative e l’abilitazione di nuovi servizi”, sopra l’1%, dopo anni di segni negativi)”, illustra Rizzotto. riflette la manager di Akhela. “Purtroppo la maggior parte delle aziende, per La crescita del mercato del security si spiega con lo scenario mondiale nel tutta una serie di motivi, si focalizza soprattutto sugli ambiti che vengono im- quale ci troviamo oggi a vivere e competere. Nel 2010 c’erano un miliardo posti dalle normative. Le aziende hanno già a disposizione la maggior parte di utenti Internet mobili e 500 mila applicazioni per cellulari e smartphone, delle soluzioni che consentirebbero loro di affrontare tutte queste problema- 700 milioni di utenti di social networks, 630 milioni di notebook e 80 milioni tiche, ma spesso non riescono a sfruttarle a causa di funzionalità frammenta- di netbook in circolazione, una base di 1,2 miliardi di telefoni mobili e 220 te e delle difficoltà nell’integrarle tra loro. Il ruolo di Akhela è proprio quello di milioni di smartphone venduti (fonte: Idc). “Passeremo dagli 1,1 exabyte di aiutarle a rivalorizzare gli investimenti già effettuati integrando tra loro le di- dati del 2010 agli oltre 50 exabyte nel 2020 (un exabyte equivale a un mi- verse tecnologie e sviluppando un unico punto di gestione”, precisa Zazzara. liardo di gigabyte)”, osserva Rizzotto, “grazie anche al fatto che, già oggi, L’evoluzione tecnologica in atto, rappresentata dall’accesso in mobilità, vediamo circa 7 miliardi di dispositivi connessi (5 dei quali non costituiti da dai social network, dalla connessione di dispositivi intelligenti alla rete Ip Pc) con una forte crescita delle comunicazioni machine-to-machine (Internet (Internet delle cose) e dal cloud computing, aggiunge inoltre nuove criticità; degli oggetti), 50 milioni di server installati, metà dei quali virtualizzati e ben una delle prossime frontiere è offerta dal protocollo Nfc (Near-Field Com- 23 miliardi di dollari di spesa globale in servizi di public clould”. munications) che consentirà di effettuare pagamenti tramite smartphone e I dati e le analisi degli esperti evidenziano, in sostanza, l’evolversi della tablet (consente di mettere in comunicazione tra loro diversi dispositivi elet- mobilità come fenomeno inarrestabile: le aziende dovranno quindi necessa- tronici e di effettuare pagamenti semplicemente avvicinando lo smartphone riamente pensare a strategie di enterprise security mobility. all’apparecchio del fornitore). “Le aree di presidio della sicurezza diventano quindi sempre più vaste, con la conseguente necessità di soluzioni e processi in grado di far fronte a Akhela Journal n. 4 - gennaio 2012 2 www.zerounoweb.it È sempre più vero che ormai molti percepiscono la necessità di maggior sicurezza, ma pare altrettanto vero che non se ne vorranno occupare direttamente, preferendo soluzioni ‘in service’ ricolose, se vengono trattati prodotti speciali o laddove vi sia la necessità Gianluca Carta, Area Manager, di Akhela di garantire la sicurezza di mezzi o apparecchiature speciali, si avvarranno sempre di più di sistemi che integrandosi con il processo operativo mireranno a tracciare personale, attività, materiali e mezzi, fornendo una visione integrata ed elevando il livello di sicurezza sull’intero processo - aggiunge Carta -. Inutile dire che questo è uno dei casi dove la necessità di garantire la sicurezza in certi ambienti si scontra con le limitazioni legali sulla localizzazione e tracciatura del personale (Privacy). Mi preme però fare presente che talvolta, in presenza di situazioni di pericolo, la conoscenza precisa e in tempo reale della posizione di una persona rappresenta il fattore differenziante per salvargli la vita”. questa crescente complessità”, spiega Zazzara che porta l’esempio concreto “La Pubblica Amministrazione in alcune aree sta invece lottando contro il della sicurezza applicata ai sistemi di controllo industriale. “Tali sistemi sono degrado, una battaglia che pare essere impari. Oggi esistono soluzioni in gra- parte integrante delle infrastrutture critiche relative a elettricità, acqua, gas, do di rilevare e di segnalare lo svolgersi di attività illecite quali sversamento prodotti chimici, trasporti ecc. La capacità di collegare in rete questi sistemi di materiali, intrusioni in aree riservate, utilizzo di bombolette per graffitare i offre opportunità senza precedenti per migliorare la produttività e ridurre muri, ecc., e tutto questo a costi risibili, senza ricorrere a complesse e costose gli impatti sull’ambiente. Purtroppo, le stesse opportunità derivanti dall’inte- soluzioni che si sono rilevate spesso inefficaci”, sostiene Carta che aggiunge grazione di una rete informatica in un sistema industriale hanno introdotto una nota sugli aspetti normativi. “Anche se pare un controsenso, purtroppo diverse minacce e vulnerabilità nei sistemi di controllo stessi. La situazione le normative non vengono spesso in aiuto alla sicurezza. In genere, queste attuale è che le industrie per affrontare queste problematiche si rivolgono a risultano molto più lente ad adeguarsi alle reali esigenze rispetto al variare fornitori specializzati in servizi di IT security che hanno poca (per non dire delle tipologie di attacco (condizione ancora più vera per la sicurezza logica). nulla) esperienza sui sistemi industriali (Scasa/Dcs), con il conseguente rischio A questo punto esiste il rischio di scegliere e adottare soluzioni che mirano che le attività di Vulnerability Assessment e Penetration Test tradizionali ab- soltanto al rispetto delle norme (condizione peraltro imprescindibile) e delle biano impatti sulla ‘safety’ e sulla produzione”. best practice. Così facendo però di fatto non si fa davvero sicurezza ma si fa SICUREZZA FISICA: ANCORA TANTA STRADA DA FARE Ormai nel campo industriale, gli interventi canonici intesi come antintrusione, videosorveglianza e controllo accessi sono stati per la maggior parte realizzati (ne restano invece ancora molti da realizzare sulle utenze residenziali): “La maggior parte degli interventi sono rivolti alla localizzazione e ge- solo “compliance”. Per offrire servizi davvero efficaci a garantire la sicurezza a un buon livello occorre integrare quanto imposto (talvolta solo consigliato) dalla legge con tecniche e soluzioni molto più efficaci ed attuali”. IL FUTURO DELLA CONVERGENZA E DELL’ALWAYS ON stione dei beni (e delle persone), sia per quanto riguarda la sicurezza, sia per Riflettendo sugli scenari futuri in ambito security, Carta ritiene probabile quanto attiene all’integrazione con processi produttivi e di gestione”, spiega che “si andrà sempre di più verso l’integrazione, la virtualizzazione, la centra- Carta. “Si fa un ampio utilizzo di tecnologie Rfid (anche Uwb - Ultra Wide- lizzazione, l’always-on; tutto in rete, tutto connesso, tutto sempre disponibile band, tecnologia che consente di costruire sistemi di localizzazione molto anche e soprattutto su device mobili, tutto gestito centralmente”. sofisticati) e di sistemi di geolocalizzazione. Un’altra tipologia di interventi “È sempre più vero che ormai molti percepiscono la necessità di mag- riguarda l’analisi delle immagini e dei suoni, con sistemi esperti, in grado gior sicurezza, ma pare altrettanto vero che non se ne vorranno occupare di offrire soluzioni all’avanguardia nella sicurezza, nella profilazione e nel direttamente, preferendo soluzioni ‘in service’. Ci saranno così sempre più miglioramento delle funzioni di Crm”. servizi esperti, legati a persone e mezzi che dovranno essere costantemente E per entrare nel dettaglio delle specificità del business o del settore di geolocalizzati, in modo che in funzione delle mutevoli condizioni adatteranno appartenenza di un’azienda, Carta descrive come siano le banche ad avere i servizi di sicurezza (una sorta di self adaptive security); presumibilmente oggi necessità importanti sul piano della sicurezza fisica. “Si sta andando questo avverà con l’impiego sempre più intensivo di tecnologie wireless e di verso il riconoscimento automatico delle persone presenti nelle filiali, da un soluzioni di knowledge management in grado di gestire correlazioni, anche lato per migliorare i servizi (integrazione del riconoscimento biometrico/fac- di tipo cross (sicurezza fisica, sicurezza logica, mobilità) e anche su informa- ciale con il Crm), dall’altro per regolamentare l’accesso dei dipendenti e per zioni destrutturate (correlazioni con informazioni provenienti da blog, social riconoscere in tempi rapidi persone pericolose o sgradite, o ancora meglio network, condizioni meteo, ecc.), conclude Carta. situazioni che possono preludere ad azioni malavitose, rilevabili attraverso sistemi esperti di analisi audio e video”, osserva Carta. “Anche gli ambienti industriali, soprattutto se sono presenti aree peAkhela Journal n. 4 - gennaio 2012 3 www.zerounoweb.it Alitalia, migliorare la security attraverso la compliance “Coniugare l’obbligo normativo con l’opportunità di mettere in campo soluzioni efficaci e adeguate alla continua evoluzione tecnologica è fondamentale e spesso è una formidabile leva di cambiamento”. Così Attilio N. De Bernardo, Director Sicurezza Informatica - Sistemi Informativi e Telecomunicazioni di Alitalia Compagnia Aerea Italiana, semplifica quello che nell’azienda è un impegno costante volto a garantire una vista globale di tutti gli aspetti della sicurezza P Attilio N. De Bernardo, Director Sicurezza Informatica Sistemi Informativi e Telecomunicazioni di Alitalia rotezione dei dati e delle informazioni relative ai clienti, con un’organizzazione e processi di supporto che devono essere continuamente aggiornati e rielaborati in modo coerente all’evoluzione tecnologica e normativa. Potremmo riassumere così la vision di Alitalia in tema di sicurezza; una strategia che, a detta di Attilio N. De Bernardo, Director Sicurezza Informatica - Sistemi Informativi e Telecomunicazioni della compagnia aerea, vede nella compliance uno stimolo e un’opportunità di miglioramento. Quali sono gli elementi cardine su cui si fonda la strategia di sicurezza in Alitalia? De Bernardo: In sintesi: la tutela delle informazioni di concerto con la compliance normativa. Spesso le aziende si concentrano soltanto su una sola delle due tematiche privilegiando così l’applicazione di misure di sicurezza informatica ritenute necessarie piuttosto che avviare progetti di conformità per ciascuna norma. Il rischio che deriva da questo tipo di approccio è la non chiara comprensione degli obiettivi complessivi e la sensazione, da parte di chi viene coinvolto di volta in volta nell’applicazione delle policy di sicurezza, di dover affrontare a più riprese i medesimi argomenti (alimentando la per- cezione di essere quasi come un “vincolo” alle attività quotidiane). L’approccio ai temi di conformità come “silos of compliance” invece che con una visione organica e coordinata alla sicurezza fa perdere di vista i punti di contatto e le naturali sovrapposizioni che inevitabilmente emergono. Evitare di moltiplicare gli impegni per le risorse in campo a più riprese su tematiche affini o complementari, con un approccio sinergico, deve essere una priorità. Coniugare l’obbligo normativo con l’opportunità di mettere in campo soluzioni efficaci ed adeguate rispetto alla continua evoluzione tecnologica è fondamentale e spesso è una formidabile leva di cambiamento. Quali sono i punti di maggior focalizzazione su cui si concentrano gli interventi? De Bernardo: Dovendo gestire le informazioni di circa 25 milioni di passeggeri all’anno, prestiamo particolare attenzione alla tutela dei dati personali dei nostri clienti. Akhela Journal n. 4 - gennaio 2012 4 www.zerounoweb.it Sicurezza, le soluzioni di System Integration di Akhela Akhela progetta e sviluppa soluzioni di System Integration basate su soluzioni biometriche, elaborazione immagini e segnali audio, soluzioni Rfid-Uwb al fine di sviluppare progetti di tracking di persone e/o eventi, intelligent monitoring, safety and security, statistical pattern analysis. L’Audience Measurement, per esempio, analizza i volti presenti nella scena e genera informazioni relative a: genere (maschio o femmina), fascia di età (bambino, adolescente, adulto, anziano), etnia (Caucasica, Africana, Asiatica), tempo di presenza, indice di attenzione. La face recognition analizza i volti presenti nella scena e ne valuta la somiglianza con quelli di identità note. L’analisi biometrica permette di sviluppare una serie di applicazioni di interesse: riconoscimento real-time di volti per attivazione di allarmi (clienti Top, clienti indesiderati, ecc.), riconoscimento off-line di volti (tracking di identità per data mining, indagini di polizia), controllo accessi biometrico per aree riservate (caveau banca, postazione sicurezza fisica, ecc.). L’audio Analysis fornisce un ausilio alla prevenzione di eventi criminosi rilevando in tempo reale i seguenti avvenimenti: aumento innaturale del tono della voce/urla umane; vetri infranti; colpi d’arma da fuoco/esplosioni; emissioni di spray da bombolette. L’approccio ai temi di conformità come “silos of compliance” invece che con una visione organica e coordinata alla sicurezza, fanno perdere di vista i punti di contatto e le naturali sovrapposizioni che inevitabilmente emergono. Alitalia offre una vasta gamma di servizi web, mobile e self service; tutti i differenti canali ci vedono impegnati nel garantire una corretta gestione e fruizione da parte del cliente dei servizi offerti nella massima tranquillità. Naturalmente rivolgiamo una particolare attenzione a tutti gli aspetti connessi alle transazioni on-line. Quali erano le necessità originarie che hanno portato Alitalia a chiedere il supporto di Akhela? De Bernardo: Inizialmente eravamo alla ricerca di un partner affidabile per alcune attività ricorrenti di verifica della sicurezza e della compliance dei nostri sistemi. Venivamo da un periodo di forte discontinuità e di notevole evoluzione tecnologica (basti pensare alla sola integrazione con i sistemi informativi di AirOne). Con una accurata selezione abbiamo valutato positivamente le esperienze e le competenze di Akhela; quanto ci è stato proposto era adeguato rispetto alle nostre aspettative. Di fatto è stato l’avvio di una positiva collaborazione. Quali sono stati gli impatti tecnologici e gli interventi resisi necessari? De Bernardo: In ambienti complessi come quello di Alitalia, con la necessità di garantire degli elevatissimi livelli di servizio, sono numerosi gli attori che vengono coinvolti e spesso non è solo un problema di tecnologia. Componenti applicative e tecnologiche si coniugano con la necessità di coinvolgere componenti del processo per la sicurezza. L’Enterprise Security made by Akhela L La sicurezza è un processo continuo all’interno dell’azienda. Esiste un punto d’inizio, ma non un vero e proprio punto di fine a sicurezza deve essere affrontata in modo strutturato e olistico, tenendo conto sì dell’infrastruttura informativa di base e delle applicazioni, ma anche di elementi meno tecnologici come i processi e le prassi comportamentali. Soprattutto, dovrebbe essere un processo continuo di miglioramento a livello organizzativo supportato ade- guatamente dalle tecnologie. Va in questa direzione l’offerta Akhela, costituita da una suite di soluzioni autonome, ma integrate nativamente, le cui componenti sono: Vulnerability Assessment &Penetration Test per la valutazione del grado di sicurezza di reti, sistemi e applicazioni. Ci sono stati dunque anche interventi di natura organizzativa Training: sensibilizzazione e formazione tramite corsi in aula o in moda- (revisione di processi, cambio di competenze, revisione di ruoli e lità e-learning in tema di sicurezza applicativa, sicurezza delle infrastrutture responsabilità)? (Network Security e System Security), gestione degli incidenti e compliance. De Bernardo: La sola tecnologia normalmente non basta. Elaboriamo Data Encryption: soluzioni per la cifratura dei dati su notebook, Pc e abitualmente Politiche, Procedure e Processi di indirizzo a sostegno delle dispositivi rimovibili e per la protezione contro accessi non autorizzati ai dati operazioni informatiche di Alitalia, che sono racchiuse nel nostro ISMS - presenti in rete e localmente. Security Compliance: auditing, verifica di compliance e assessment a Information Security Management System. È evidente che organizzazione e processi debbano essere continua- supporto dell’adeguamento a standard e normative. mente aggiornati e rielaborati in modo coerente all’evoluzione tecnologica Privileged Passwords Management: gestione sicura delle password e normativa. Si pensi solo a come il provvedimento del garante della privacy di amministrazione di sistemi, apparati e applicazioni da parte di utilizzatori sugli amministratori di sistema del 2009 possa aver influito in modo diretto autorizzati. su tutti gli aspetti tecnologici e di processo di un’azienda come Alitalia. Data Leakage Prevention: metodologie e soluzioni per prevenire la fuoriuscita di informazioni riservate. L’offerta comprende le fasi di: classifica- Quali saranno i prossimi step della strategia di sicurezza? zione dei dati; discovery delle informazioni riservate presenti nella rete azien- De Bernardo: Certamente l’evoluzione delle tecnologie mobile ci ve- dale, negli archivi, nei file condivisi, sia a livello di server che di endpoint; drà all’opera, ovviamente senza perdere di vista tutte le normali operazioni monitoraggio e protezione dei dati confidenziali in uscita (via ftp, email, IM/ che quotidianamente ci vedono coinvolti per garantire la sicurezza della P2P, web, stampanti). compagnia e dei clienti di Alitalia. Identity & Access Management: supporto sia dal punto di vista tecnologico, nella scelta della soluzione che meglio si adatti al business del Akhela Journal n. 4 - gennaio 2012 5 www.zerounoweb.it Alessandro Rena, Business Development Manager di Akhela cliente, sia dal punto di vista organizzativo, nell’analisi della metodologia di approccio alle tematiche dell’Identity and Access Management e nella revisione dei processi organizzativi che ne derivano. VA & Management Services: servizi erogati dal Soc (Security Operation Center) di Akhela per la valutazione continuativa del grado di sicurezza dell’infrastruttura del cliente e per la prevenzione da eventuali attacchi informatici, mirati a comprometterne la continuità di servizio o a recuperare illegalmente informazioni riservate. Incident management H24: Security Help Desk H24 da contattare a fronte di eventi straordinari come incidenti interni o attacchi informatici, al fine di adottare contromisure rapide ed efficaci. Security Risk Management: soluzioni in grado di effettuare un’analisi del livello di esposizione al rischio della propria infrastruttura Ict, in modo da poterne conoscere le criticità il più rapidamente possibile e gestire e mitigare i rischi per il business. Akhela cloud: arriva Consolidator Policy compliance su network appliance: soluzioni per monitorare il livello di compliance del proprio network o di specifici network device rispetto a regole dettate da normative/standard di sicurezza o policy interne. Si chiama Consolidator ed è un Baas, Business as a service, un servizio Gestione Operativa Fw-Ids-Ips-Idp: servizi di Soc Operations per la Akhela offerto in cloud (con la partnership di uno dei più noti operatori gestione operativa degli apparati Fw, Ids, Ips e Idp (Security Change Manage- italiani di Tlc con cui Akhela sta definendo gli ultimi accordi) per la gestione ment, Security Problem Management, Security Event Management). Eroga- della fatturazione (ciclo attivo e passivo). zione in modalità Outsourced, In-Sourced, Co-Sourced. “Abbiamo sviluppato un sistema modulare, che va a integrarsi nativa- Internal fraud detection: soluzioni per il monitoraggio delle applica- mente con i sistemi di pagamento bancari, per offrire alle piccole e micro im- zioni di business che consentono di registrare il comportamento degli utenti prese un servizio di gestione della fatturazione attiva e passiva, nonché degli e degli amministratori dei sistemi, in modo da controllare pro-attivamente incassi, pagamenti ed estratti conto”, spiega Alessandro Rena, Business De- le minacce alla privacy e alla sicurezza tramite l’analisi dei comportamenti. velopment Manager di Akhela. “La fruizione del servizio consente alle piccole Log collection: collezionamento (con tecnologia agent-based o agen- realtà di avere un sistema gestionale efficiente senza dover fare investimenti tless), compressione, storicizzazione e consolidamento dei log di sistemi tecnologici, oltre a favorire la dematerializzazione (gestione digitale e non eterogenei. I dati catturati vengono poi esposti in maniera estremamente cartacea) e conservazione sostitutiva a norma di legge di tutti i documenti leggibile attraverso l’utilizzo di un portale web. La tecnologia proposta con- fiscali (fatture, registri, giornali bollati, ecc.)”. sente inoltre le gestione degli alert in real time, massimizzando il controllo “Per ogni fase del ciclo attivo o passivo, Akhela ha sviluppato una serie dell’infrastruttura da parte delle organizzazioni It. di moduli (self-invoice; send-invoice; conservazione; registrazione contabile Dashboard per il monitoraggio della sicurezza e della continu- incassi; solleciti; registrazione pagamenti; help desk; ecc.) perfettamente in- ità operativa: soluzioni che si integrano a quelle già presenti in azienda e tegrati e interoperabili e sta lavorando tutt’ora alla realizzazione di nuove che, connettendo dati provenienti da fonti diverse (applicazioni di business, funzionalità che andranno ad arricchire ulteriormente la suite”. sistemi di controllo degli accessi, sistemi di monitoraggio, ecc.), offrono una L’obiettivo è raggiungere le piccole e micro realtà italiane che ancora gestiscono la fatturazione in modalità tradizionale (nel 2009 in Italia circola- visione globale e integrata sulla sicurezza e sulla continuità operativa, fornendo, attraverso grafici e tabelle, informazioni di sintesi sullo stato dei servizi. vano 3 miliardi di fatture con un livello di adozione della fatturazione elettronica molto scarso, nell’ordine del 2-3%). La sicurezza della suite è garantita a livello applicativo sin dalle prime fasi di sviluppo e test: “In fase progettuale abbiamo previsto la segregazione fisica dei dati, perciò ogni cliente avrà il proprio database; per fruire del servizio, abbiamo poi previsto un certificato digitale che verrà installato sui dispositivi dell’azienda utente per il riconoscimento degli accessi (la sicurezza per gli ambienti cloud è garantita, invece, direttamente dal service provider che inserirà “Consolidator” nel proprio catalogo d’offerta)”, conclude Rena. Akhela Journal n. 4 - gennaio 2012 6 www.zerounoweb.it le tante facce della sicurezza Dal 2004 Akhela gestisce i servizi Ict per il Gruppo Saras, noto operatore del settore Oil & Energy che sta intraprendendo una importante trasformazione tecnologica, dove la sicurezza rappresenta uno dei tasselli principali. L’esperienza maturata all’interno di una realtà industriale complessa come questa ha consentito ad Akhela di costruire un patrimonio di metodologie, competenze, esperienze, procedure e soluzioni applicative specialistiche per il settore. Da poter rivendere poi sul mercato aperto L e aziende che operano nel settore Oil & Energy stanno affrontando in questi anni cambiamenti radicali, che incideranno in modo significativo sui loro processi operativi. Consolidamento, continuità operativa di business, servizi di alta affidabilità, servizi di protezione di dati e informazioni, servizi per la gestione integrata del rischio operativo rappresentano solo alcune tra le problematiche che hanno un impatto decisivo in questo settore. Senza tralasciare aspetti critici come la conformità alle normative di go- verno e di settore, i problemi relativi all’ambiente, alla salute e alla sicurezza, l’integrazione e cooperazione nell’ambito della filiera. Grazie alle attività svolte per la raffineria Saras, Akhela (società che fa a sua volta parte del Gruppo Saras) ha maturato una significativa esperienza in un ambiente critico. Partendo da un quadro legislativo sempre più delineato e stringente anche in materia di gestione della sicurezza nelle attività industriali, per la tutela dei lavoratori e del territorio, aziende operanti in segmenti delicati come quello energetico sono costantemente impegnate in Akhela Managed Security Services: progettazione e implementazione percorsi evolutivi di miglioramento progressivo degli standard e dei risultati; ed è qui che, nel corso degli anni, Akhela ha avuto modo di costruire le sue competenze. Il Gruppo Saras rappresenta una realtà caratterizzata da impianti complessi e di grandi dimensioni, con un numero elevato di diverse attività operative che i lavoratori compiono all’interno degli impianti. Non solo: si tratta di sistemi produttivi che necessitano di una manutenzione continua e spesso si fa ricorso a numerosi cantieri mobili e temporanei, oltre a un elevato impiego di manodopera in appalto. SICUREZZA SUL LAVORO: AUTOMAZIONE PER PREVENIRE E CONTROLLARE Esigenze, tuttavia, che non sono peculiari solo delle raffinerie o degli impianti petrolchimici ma, in generale, di tutti i siti industriali dove, solitamente, si assiste alla concomitanza di cantieri differenti, con un alto numero di operatori coinvolti (diversi attori con differenti responsabilità, lavoratori esposti ai vari pericoli potenziali) che inevitabilmente inducono a prendere le necessarie misure per la prevenzione degli incidenti e il rispetto di norme e regolamenti sulla sicurezza. Akhela Journal n. 4 - gennaio 2012 7 www.zerounoweb.it Akhela fornisce supporto per progettazione/implementazione del Security Operations Center (Soc) del cliente nelle fasi di: valutazione delle potenziali vulnerabilità e rischi a cui sono esposti gli asset (sistemi, reti, dati, applicazioni); definizione del modello tecnico-organizzativo, delle policy e degli standard per la sicurezza; definizione degli strumenti a supporto delle attività operative e di analisi; progettazione dell’architettura/ infrastruttura; definizione dei processi di escalation; disegno dell’integrazione dei servizi, delle attività e dei processi con eventuali altri Soc; supporto nella fase di avviamento del Soc e per l’implementazione delle policy, dei processi e dell’infrastruttura. Per rispondere a queste criticità, Akhela ha sviluppato una serie di mi- alla sicurezza dei lavoratori in particolari occasioni come quelle di emergenza sure organizzative per la gestione dei rischi: valutazione preventiva; politiche generale/evacuazione o per il monitoraggio delle condizioni del personale in di mitigazione e controllo dei rischi potenziali; controllo e coordinamento caso di incidenti o pericoli. Il sistema, per esempio, fornendo l’informazione delle attività sui cantieri. Il tutto attraverso una serie di soluzioni e servizi che del numero di persone presenti all’interno dell’area presidiata al momento vanno dal controllo accessi; alle procedure di abilitazione/autorizzazione alle dell’evento, assicura il controllo della complessa operazione di evacuazione e attività nel sito; fino alla formazione sulla sicurezza, alla gestione dei permes- facilita le eventuali operazioni delle squadre di salvataggio; oppure, permette si di lavoro e al monitoraggio delle attività. di monitorare le condizioni del personale e la loro esposizione a sostanze In particolare, per avere maggior controllo sui cantieri, è stato ideato un sistema mirato a consentire l’accesso al sito soltanto a personale e mezzi abilitati e riconducibili in maniera documentata e verificabile alle ditte titolari dei lavori, oltre a predisporre una sorta di “permesso di lavoro”. Una soluzione di prevenzione il cui scopo principale è quello di assicurare l’esecuzione dei lavori nelle condizioni di massima sicurezza e nel rispetto delle norme vigenti, pericolose attraverso la raccolta di dati di stato e il raffronto con indicatori predefiniti. DECLINAZIONI DI BUSINESS INTELLIGENCE Gli aspetti di sicurezza (fisica e logica) non sono tuttavia i soli elementi dell’esperienza Akhela maturata all’interno del Gruppo Saras. attraverso l’assunzione di precise responsabilità decisionali e operative. Si La peculiarità di Saras, infatti, ha portato Akhela a realizzare progetti tratta, in sostanza, di soluzioni software che, attraverso dashboard e grafici di Business Intelligence specifici. Partendo dalla necessità di controllo degli intuitivi, raccolgono informazioni utili a fornire un’analisi preventiva dei rischi accessi e gestione delle autorizzazioni agli impianti e ai cantieri, la società (legati alla tipologia di lavoro e ai potenziali rischi per i lavoratori) e facilitano ha sviluppato un ampio sistema di reporting: si tratta di un’unica soluzione, il monitoraggio e il controllo dei lavori in atto. Attraverso una stretta integra- chiamata Integrated Environmental Authorisation, in grado di gesti- zione con i dati relativi alla pianificazione dei lavori, le soluzioni permettono, re e monitorare accessi, autorizzazioni, controlli sui posti di lavoro, ecc. ma, per esempio, in modo automatizzato, di: verificare l’adeguata prescrizione soprattutto, di generare, attraverso questi dati, informazioni utili a supporto delle misure e cautele necessarie e suggerite per l’esecuzione dei lavori; dell’organizzazione operativa del business. controllare se si verificano interferenze tra cantieri; monitorare le attività dei controlli ambientali o quelle di supervisione dei lavori, ecc. Sempre in ambito Business Intelligence, Akhela ha sviluppato un sistema di Trading-oil analysis che permette l’analisi dei dati commerciali e di vendita Consolidamento, continuità operativa di business, servizi di alta affidabilità, servizi di protezione di dati e informazioni, servizi per la gestione integrata del rischio operativo rappresentano solo alcune tra le problematiche che hanno un impatto decisivo nel settore oil & gas CANTIERI E PERSONE: LOCALIZZAZIONE IN REAL TIME specifici del settore Oil & Energy. A complemento della gestione dei permessi di lavoro, Akhela ha svilup- E per dare un concreto supporto al Gruppo nel mantenere i livelli di com- pato anche un sistema di Real Time Location, per il monitoraggio in tempo petitività raggiunti (nonché all’obiettivo di migliorarli), Akhela ha anche svi- reale di mezzi e personale presenti in aree critiche. luppato una web application per la valorizzazione delle materie prime. Attra- È stata scelta la tecnologia Ultra-wide band (Uwb) che consente di realiz- verso un sofisticato sistema di monitoraggio e analisi la soluzione consente a zare dei real time location systems (Rtls) in grado di fornire una localizzazione Saras di avere in tempo reale il calcolo esatto del costo delle materie prime, molto precisa, nello spazio e nel tempo, di un oggetto o di una persona, dei prezzi di mercato applicati alle vendite, dei prodotti che ne derivano e dei anche in ambienti molto difficili e ostili, con livelli di affidabilità elevati. margini raggiungibili. Il sistema traccia in tempo reale gli spostamenti soltanto del personale precedentemente autorizzato (che, nel rispetto delle normative a tutela della privacy, viene identificato e provvisto di un particolare badge per l’identificazione Rtl), fornendo dati precisi rispetto ai tempi di movimento e di sosta, in relazione alle aree in cui il personale si trova. I dati forniti dal sistema sono resi poi disponibili ai sistemi di sorveglianza (oltre alle varie applicazioni che si desidera interfacciare), per una visualizzazione in tempo reale della situazione nelle aree controllate e nella visualizzazione di allarmi scatenati da situazioni anomale in base a regole definite. Il sistema può essere usato anche per il monitoraggio e il Track&Trace di veicoli che accedono agli impianti e ai cantieri nonché dei beni e prodotti che vi circolano. Sulla base di questa tecnologia, Akhela ha sviluppato soluzioni mirate Akhela Journal n. 4 - gennaio 2012 8 www.zerounoweb.it testi di Nicoletta Boldrini Next Editore srl via dei Martinitt, 3 - 20146 Milano www.zerounoweb.it progetto grafico Blu GraphicDesign
© Copyright 2024 Paperzz