martedì 14 dicembre 2021

AUSED: Tecnologia e consulenza nel periodo di “nuova normalità”

 Com’è cambiato il business in questi ultimi due anni

AUSED ha organizzato recentemente un interessante incontro con l’associato Atlantic Technologies dal titolo “Tecnologia e consulenza nel periodo di “nuova normalità”. Durante il webinar sono stati toccati alcuni temi relativi al nuovo modo di affrontare la tecnologia e la consulenza nel periodo della “nuova normalità” attraverso l’intervento di due aziende dalle caratteristiche differenti tra loro. Hanno infatti preso la parola Matteo Mazzola, Group Customer Service Director di IMS Technologies e Marcello Bonomi, Business & Industrial Controller di MPlus Cosmetics.

La prima di queste due aziende è un punto di riferimento internazionale nella progettazione e realizzazione di soluzioni high-tech personalizzate destinate a diversi campi, inclusi il settore converting, packaging, automotive e altri comparti industriali come gli stampi per fusioni di diversi tipi di materiale. Oltre il 90% della produzione viene effettuata verso Paesi esteri attraverso 4 divisioni di business in cui operano 6 brand. In Italia è presente con tre sedi produttive, mentre tre sedi di supporto tecnico-commerciale sono presenti in Germania, USA e Cina, con un totale di 400 dipendenti. Come costruttori d’impianti, tutti i principali processi (Sales & marketing, Design e R&D, Procurement & manufacturing, Installation & Training e Customer Support) risiedono all’interno dell’azienda. Per la digitalizzazione si sono affidati ad Atlantic Technologies che li sta accompagnando nel loro processo di trasformazione. Questa attività di IMS Technologies è partita in periodo di pre-pandemia, e prima di questa nuova normalità, è stata gestita da remoto. Il progetto ha riguardato la digitalizzazione dei processi di Sales, Service e Marketing con Salesforce, andando a implementare inizialmente il quartier generale che è ubicato in Italia e poi esportandolo (e tutt’ora lo stanno trasferendo) nelle restanti filiali del Gruppo.

Il progetto è iniziato a ottobre 2019, nella vecchia normalità con analisi di business e dei processi de visu con i consulenti del partner scelto che ha messo in campo un team eterogeneo sia per competenze tecniche informatiche che per competenze di business. Argomento questo che è ritornato più volte durante tutto il webinar anche dagli altri speaker e che ha sottolineato come questo approccio sia stato di grande vantaggio per i relativi progetti. In relazione al partner scelto, Loretta Petrò, Sales Executive di Atlantic Technologies, è intervenuta a inizio incontro ricordando che l’azienda da lei rappresentata durante il webinar è una società di consulenza ICT con chiari obiettivi nell’implementazione delle migliori tecnologie Cloud in ambito ERP, CRM, HCM e Analytics. Atlantic Technologies svolge un ruolo importante sia in ambito tecnologico che di change management attraverso i suoi 200 consulenti certificati che lavorano tutti i giorni al fianco dei clienti sia nella fase di implementazione che in quella di avviamento e post go-live delle soluzioni attraverso una presenza internazionale.

Tornando all’esperienza di IMS Technologies, le fasi di analisi si sono interrotte nella vecchia normalità nel febbraio 2020 sulla dichiarazione di pandemia e da quel momento è stato necessario attuare una rapida riorganizzazione per poter gestire il progetto da remoto. Questa situazione, nella nuova normalità, ha dato sostanzialmente un’accelerata alla volontà di concludere questo percorso. Infatti la pandemia ha permesso di concentrarsi maggiormente sull’analisi e la definizione dei processi e la riscrittura degli stessi all’interno della soluzione Cloud di Salesforce. Quindi, tra febbraio, marzo e aprile 2020, quando vi è stato un forte rallentamento dell’attività quotidiana, lo stesso ha dato l’opportunità di focalizzarsi ancor meglio sul progetto. Nel giugno 2020 il progetto è andato completamente live, interfacciato al gestionale ERP che ha a sua volta ben 17 interfacce col mondo Sales & Service CRM. A questo punto l’azienda ha deciso di proseguire con nuovi roll-out, come ad esempio il Service Cloud Voice & Digital Engagement. I prossimi step a partire da inizio 2022 saranno il Customer Portal & B2B E-Commerce e il Service Cloud Voice & Digital Engagement rilasciato anche per gli altri Paesi dove è presente il gruppo.

Sostanzialmente il periodo della pandemia ha permesso un salto di qualità e ha consentito una riorganizzazione interna e di processo con vantaggi tangibili ai clienti stessi. Tra questi, l’annullamento di barriere comunicative, una più agile circolazione delle informazioni e una miglior comprensione delle stesse. Gli obiettivi aziendali possono essere invece riassunti in una riorganizzazione dei processi che governano il business dei clienti, una ristrutturazione dei ruoli per una immediata fruizione del servizio cliente e una apertura di canali diretti per ascoltare e comprendere il cliente stesso attraverso la sua “voce”.

Il secondo intervento sul tema del webinar è stato di Marcello Bonomi, Business Controller di MPlus Cosmetics, società di 140 dipendenti fondata a Torino nel 2002 da David Chant, attualmente residente in Tailandia. L’azienda produce cosmetici per i maggiori brand internazionali ed è una società che nonostante l’ultimo anno in piena pandemia è cresciuta del 32% in termini di fatturato, per il 93% realizzato con l’estero. Tuttavia, con l’avvento del Covid, M Plus Cosmetics si è trovata ad affrontare qualche punto interrogativo in più. Il primo impatto del lockdown li ha portati a valutare la business continuity, gestendo gli accessi VPN, i gestionali, le risorse aziendali e le piattaforme di interscambio. Di grande aiuto nel controllo di gestione, per poter osservare, capire e misurare i dati in informazioni, è stato l’utilizzo di Tableau che ha permesso di far emergere tutto il valore del sistema ERP. Parallelamente al forte impulso sulle nuove tecnologie ha svolto un ruolo importante il supporto di Atlantic Technologies, sia per quanto riguarda la parte tecnologica che quella consulenziale. Un partner che ha lasciato sereno MPlus Cosmetics, intervenendo immediatamente e garantendo la business continuity. Questo punto ha messo in evidenza come sia necessario affidarsi a una struttura consulenziale abile e reattiva nella gestione degli imprevisti e al tempo stesso in grado di fungere da precursore e promotore delle nuove tecnologie per anticipare le esigenze dei clienti.

Oltre al discorso sulla business continuity un secondo aspetto importante ha riguardato il remote working dove il senso di appartenenza e di community aziendale è stato minato pesantemente durante il lockdown. In questo caso è intervenuto ottimamente l’HR attraverso iniziative virtuali: dal caffè della mattina virtuale a tantissima formazione sul remote working e smart working, così come sulla gestione dei tempi e delle pause, per finire con newsletter di vario spessore, contest e sondaggi. Ciò ha fatto sentire l’azienda molto presente anche a distanza.

Il terzo punto in pieno lockdown ha visto la necessita di imparare a collaborare col mondo esterno non in presenza. Prima del Covid l’azienda era presente in una fiera di settore ogni mese per rimanere in contatto con i clienti e presentare i propri prodotti. Grazie alla tecnologia disponibile si sono quindi create delle virtual room, si è partecipato a delle fiere virtuali con invio dei campioni per poterli far valutare non più nell’ufficio del cliente ma nelle singole case dei buyer e dei marketing manager.

Durante la pandemia MPlus Cosmetics ha realizzato, utilizzando Tableau, una una serie di KPI in modo da avere sotto controllo tutta l’azienda in termini di ordinato, produzione e stato avanzamento delle produzioni. Questo ha permesso a questa soluzione di diventare oggi il baricentro di tutta l’azienda, che sommata al supporto del partner tecnologico, ha rappresentato un utilissimo acceleratore. In sostanza, i 18 mesi vissuti in lockdown hanno evidenziato per una piccola e media azienda come MPlus Cosmetics l’aspetto fondamentale della tecnologia, visto che prima i decision maker erano un po’ meno sensibili all’aspetto tecnologico dandolo per scontato. Oggi la tecnologia ha la giusta centralità e viene percepita come pietra fondamentale per avere una azienda moderna.

Nei prossimi 18 mesi la nuova normalità del remote working si trasformerà in smart working e la tecnologia dovrà seguire l’azienda sulla parte dell’organizzazione fisica e soprattutto su quella tecnologica. Proprio grazie a questa normalità si sta rivedendo tutto il layout fisico degli uffici con molte piccole sale riunioni per gestire le call, in modo da garantire questo sistema ibrido che è ormai divenuto parte del presente. Una grande attenzione è poi stata posta sulla cyber security, visto che gli ecosistemi sono sempre più aperti ed è fondamentale avere un’analisi e strumenti atti a difendersi dall’esterno. MPlus Cosmetics ha poi iniziato l’introduzione di Salesforce. Una prima fase riguarda l’introduzione di un CRM puro, anche se si sta già pensando a un secondo step ben più articolato. Si consideri che le fasi attualmente coinvolte nello sviluppo sono molte: dal briefing del cliente fino alla realizzazione del prodotto. Parte, quest’ultima, attualmente lunga e impegnativa perché vi collaborano tanti uffici (dal sales al marketing, al regolatorio, l’R&D delle formule, l’R&D dell’applicatore, l’industrializzazione). L’azienda ha dunque trovato in Salesforce la piattaforma che ha la flessibilità necessaria per gestire un progetto complesso come il loro che necessita di una collaborazione più fattiva e strutturata tra i vari reparti.

L’evento si è concluso menzionando una frase di Bauman che cita testualmente: “L’unica cosa permanente è il cambiamento e l’unica certezza è l’incertezza”. Una asserzione che mette al centro della questione il tema del ruolo fondamentale del partner che si sceglie per affrontare le sfide nella nuova era. Le aziende devono occuparsi di business, quindi trovare un partner che consenta di avere quella affidabilità e abilità a reagire tempestivamente agli imprevisti diventa sempre più spesso qualcosa di veramente fondamentale.

Poiché il tema delle esperienze dirette delle aziende su come hanno affrontato la nuova normalità è risultato di grande interesse per i partecipanti non è escluso un futuro incontro sempre a cura dell’AUSED.

lunedì 15 novembre 2021

AUSED: un webinar sulla Salesforce Platform grazie all’USFIT

 Dagli aspetti legali a quelli relativi alla sicurezza

AUSED ha organizzato un incontro con Salesforce durante il webinar “Salesforce Platform” del 10 novembre scorso nel quale si sono affrontati alcuni aspetti che ruotano attorno a questa rinomata piattaforma. Sono intervenuti Tommaso Fè, Stefano La Rosa e Marco Dragoni, rispettivamente Regional Sales Director, Legal Counsel e Cloud Architect di Salesforce. Nello specifico, oltre a una breve panoramica della soluzione, si è entrati in tre particolari tematiche. La prima ha riguardato gli aspetti legali delle piattaforme cloud, successivamente si è passati a presentare gli standard nella tecnologia Salesforce e, infine, sono stati illustrati gli scenari di sicurezza e privacy, sui quali ci soffermeremo più avanti. In questa particolare fase dell’incontro sono anche intervenuti, con il loro punto di vista da CIO, Luca Guerra (Prima Power) e Luigi Pignatelli (Zeiss).

L’evento è stato aperto dallo stesso Pignatelli che ha illustrato il ruolo dello User Group, all’interno di AUSED, che prende il nome di USFIT: si tratta dell’unico User Group ad essere riconosciuto ufficialmente da Salesforce in Italia. USFIT è in sostanza la community ufficiale degli utenti Salesforce che ha come principale obiettivo quello di mettere a disposizione delle aziende utenti delle soluzioni Salesforce una piattaforma e un network strutturato dove poter condividere esperienze, idee, progetti e best practice. La community rappresenta inoltre un tavolo di confronto continuo con Salesforce Italia, che riconosce con estremo interesse USFIT come interlocutore privilegiato per le proprie attività e strategie. Lo User Group al momento è focalizzato a un suo “revamp” dopo il periodo della pandemia e durante l’incontro si è detto aperto a nuove iscrizioni da parte di qualsiasi azienda utilizzatrice ma anche da parte di quelle aziende che ancora non utilizzano la piattaforma Salesforce e che vogliono avvicinarsi per conoscerla meglio.

Venendo a Salesforce, è stato ricordato che si tratta di un’unica piattaforma in grado di offrire soluzioni flessibili per le aziende in ambito SaaS. Da un punto di vista legal, indipendentemente dall’articolo 32 del GDPR, Salesforce protegge il dato del cliente utilizzando tutti gli strumenti standard o attraverso specifici add-on. Questo permette di assicurarlo nel suo intero processo, di avere una governance IT per renderlo disponibile nel più breve tempo possibile anche in caso di incidenti e a monitorarlo durante tutto il suo percorso all’interno dei processi aziendali e di vendita. In un modello di responsabilità condivisa, Salesforce prepara i clienti a evolvere in uno scenario in cui la sicurezza dei dati è sempre più a rischio. In questo senso offre soluzioni specifiche per mettere le informazioni sempre più in sicurezza e educa i clienti sulle differenti opzioni che mettono a loro disposizione. Allo stesso tempo, lato clienti, è necessario che essi adottino controlli sulla sicurezza all’interno della propria realtà aziendale, siano in grado di monitorare continuamente il comportamento degli utenti e i relativo log degli eventi, il tutto proteggendo i dati sensibili in accordo con la compliance.

Il problema della perdita dei dati è stato sviluppato attraverso la metafora del tubetto di dentifricio: una volta che il dentifricio è uscito (perdita di dati) è molto difficile farlo rientrare nel tubetto e ripulire il “tavolo” dove si è depositato. In Salesforce il lato Privacy e Sicurezza è “by design” e si sono accennati temi quali Trust & Compliance, certificazioni e audit, Data Process Addendum, meccanismi di data transfer e localizzazione dei dati.

Il webinar ha successivamente introdotto degli esempi di perdita di dati con conseguenti punti di vista da parte dei due CIO citati inizialmente. L’articolo 32 del GDPR, ai punti a, b, c e d sottolinea l’importanza di proteggere, assicurare, poter gestire e monitorare i dati. Nel primo esempio l’operatrice telefonica di un customer service che lavora 12 ore al giorno riceve e accetta una proposta di lavoro da un’azienda concorrente molto più interessante. L’operatrice lascia il posto dove si trova non prima di salvare un report con tutti i suoi contatti in modo da sfruttare le sue relazioni anche nella nuova attività. Siamo davanti a un caso specifico di Internal Data Breach. Si tratta una azione fraudolenta da parte di chi si impossessa dei dati, ma anche da parte dell’azienda che ne farà uso attraverso la nuova assunta. Questo esempio porta a determinare la reale necessità per le aziende di capire cosa accade all’interno delle piattaforme e dei vari database. Occorrono controlli sull’integrità dei dati e per l’IT servono strumenti di controllo touch point per touch point. Si tratta evidentemente di un problema pressante per tutti i CIO e DPO in azienda che richiede un elemento di controllo con appositi log in caso di investigazione. Certo, in aziende di tipo strutturato questo esempio non dovrebbe accadere (e con il Transaction Security in funzione non accade), tuttavia è fondamentale che venga effettuata una formazione a tutta lo staff aziendale, instaurando una vera e propria cultura della protezione del dato.

Un secondo esempio ha prospettato il ruolo di un consulente esterno che lavora come partner certificato Salesforce e che sta implementando la soluzione presso un’azienda. Dovendo testare la soluzione stessa in un ambiente dove serve integrarsi con i dati reali del cliente egli ha accesso a ogni tipo di informazione (ordini, date, ecc) e decide di condividere questi dati con un suo conoscente non troppo onesto. In questo scenario il CIO si trova in una condizione in cui i dati sono persi per sempre, inclusa la lista completa dei clienti ora disponibile sul dark web, ovviamente non controllabile dalla sua azienda. Lo stesso ruolo del DPO si trova nella condizione di affermare che l’azienda non è in grado di garantire l’uso improprio dei dati ottenuti dai loro clienti. Per i CIO presenti al webinar si tratta di uno scenario plausibile dove è impossibile eliminare del tutto questo rischio, tuttavia il consiglio che emerge è quello di seguire al meglio l’obbligo normativo, scegliere sempre partner certificati e aumentare il controllo sulle persone attraverso un percorso formativo che instauri la cultura della sicurezza del dato. Altro punto è quello di segregare il più possibile le responsabilità delle persone, anche se questo risulta molto più semplice dal lato utente rispetto a chi lavora sugli aspetti tecnici. In questo ambito emerge la necessità di non avere l’IT come unico responsabile di ciò che accade al dato in azienda, ma occorrerebbe la responsabilizzazione di tutte le funzioni aziendali.

Come soluzione specifica all’esempio sopra riportato, Salesforce ha segnalato il mascheramento dei dati in ambito di test. Questo permette una pseudo anonimizzazione di alcuni campi (per esempio il nome Rossi diventa Bianchi) mentre altri campi, come il numero d’ordine, possono rimanere invariati dal momento che non c’è più un match specifico col nome vero del cliente. Naturalmente resta da sviluppare l’allineamento con tutti i sistemi aziendali.

Un ultimo esempio ha riguardato il tipico cliente b2c che condivide i propri dati con l’azienda. Avendo espresso le proprie preferenze inizialmente, decide di contattare il customer service o per farsi cancellare del tutto o per modificare le stesse preferenze. Questa attività porta via all’operatore del customer service molto tempo: il CIO sa che l’agente potrebbe spendere il suo tempo migliorando la customer satisfaction invece di ricercare e modificare dati esistenti. Per questo occorrerebbero strumenti automatici. L’agente stesso potrebbe erroneamente modificare le preferenze di contatto preso dall’alto carico di lavoro e andando così a scontrarsi, per altro, con la necessità del DPO che deve garantire la compliance con le regole più recenti. Questo ennesimo esempio ha ribadito che si tratta di un tema molto sentito dall’introduzione del GDPR. In molte aziende, inclusa quella rappresentata da Pignatelli, tutte le attività lato consumatore relative all’estrazione di dati, revoca consensi, diritto all’oblio sono gestite in tempo reale sul portale, ma anche allineate con tutti i sistemi in essere, tanto da avere in caso di restore uno script che tiene memoria di chi deve essere anonimizzato. Ciò che risulta molto importante è che i sistemi, in una fase di eventuale audit, siano dimostrabili come sistemi solidi di controllo. La complicanza è che lavorando in un ecosistema dove le informazioni vengono condivise all’interno e all’esterno con terze parti, per quanto qualificate e regolamentate da un punto di vista legale e GDPR, risulta essere un esercizio piuttosto complesso.

Per Guerra il GDPR ha introdotto il concetto di “Privacy by design” che ha iniziato a far capire ai tecnici che certe attività vanno realizzate nello stesso momento in cui vengono disegnati i sistemi e i processi. Servirebbero semplicità e meccanismi di enbedding tra le piattaforme in grado di permettere di cancellare o tenere traccia della storicità del dato. Vi sono procedure da snellire il più possibile, perché il lavoro dell’IT non deve essere fatto di procedure ma di operatività e attenzione al business.

In conclusione, durante l’incontro, Salesforce ha ricordato che esistono soluzioni da parte loro in grado di semplificare il più possibile queste problematiche in modo da poter dedicare più tempo alle vendite, grazie all’integrazione personalizzata con gli strumenti aziendali e al reporting on-demand. Affidarsi a loro significa entrare in una community inclusiva di oltre dieci milioni di innovatori e pionieri chiamati trailblazer. E se qui in Italia si decide poi di entrare anche a far parte dello User Group USFIT, l’unica associazione ufficiale di Salesforce nel nostro Paese, si accede così a un canale diretto che permette di confrontarsi come utilizzatori privilegiati e contribuisce a definire strategie e servizi in collaborazione con l’azienda che ha sede a San Francisco e uffici in tutto il mondo.

mercoledì 3 novembre 2021

AUSED – Transizione 4.0: un bancomat fiscale o un’opportunità IT?

Un webinar in collaborazione con il socio DOTS

AUSED in collaborazione con il socio sostenitore DOTS (PQE Group) ha organizzato lo scorso 27 ottobre un webinar sul tema della transizione 4.0. DOTS è una azienda che si definisce “IT quality provider”: indipendente dalle tecnologie, il focus di questa realtà è sul mantenimento della qualità, connettendo in modo efficace il bisogno dei clienti con i software vendor e rendendo possibili e affermati i progetti di business e organizzativi attraverso una solida IT Governance. DOTS fornisce skill, metodi e strumenti a entrambe le parti, mettendo sul campo un collaudato quality approach.

Il relatore del webinar è stato Carlo Candotti, partner di DOTS e Consulente-Perito del Tribunale di Milano sulle tematiche Industry 4.0. Hanno partecipato attivamente all’evento anche Daniele Vanzanelli, Luca Guerra e Francesco Pezzutto.

L’argomento è stato sviscerato attraverso tre punti chiave. Il primo ha riguardato gli aspetti tecnici relativi ai benefici fiscali nella normativa italiana per i beni materiali e per l’innovazione di processo. Candotti si è poi soffermato su alcuni mega-trend della transizione 4.0 e, infine, si è voluto sottolineare le eventuali opportunità per una nuova centralità dell’IT.

È stato ricordato come la nuova transizione 4.0 inglobi beni materiali riferiti alla legge 178/2020 articolo 1 commi da 154 a 161 ed ex Ricerca e sviluppo (legge 160 del 27/12/2019, art. 1). Sono stati snocciolati i punti di questa normativa relativamente ai beni materiali e ai relativi parametri, ricordando che i soggetti destinatari sono tutte le imprese residenti in Italia.

I progetti che ruotano attorno alla transizione 4.0 nell’area dei beni materiali solitamente partono dal business, poi il finance identifica l’opportunità fiscale. La visione come perito è che la richiesta ex post arriva dal finance a progetto concluso. Al momento l’IT viene ancora coinvolto solo come vincolo alla eleggibilità dell’investimento in fase di perizia. Un secondo aspetto di cosa accade nella realtà è che spesso i fornitori lasciano intendere che le macchine sono “Industry 4.0 ready” ma in realtà non lo sono appieno e questo emerge in caso di perizia, dove la non rispondenza soprattutto l’interconnessione e l’integrazione. Altro aspetto della normativa riguarda la cybersecurity, dove non è sufficiente la certificazione del produttore, in quanto in capo all’azienda rimane la DVR, ovvero la valutazione dei rischi. A breve le organizzazioni si accorgeranno che valutare i rischi legati alla sicurezza informatica durante la stesura del DVR necessita il totale coinvolgimento della parte IT, rendendola in questo modo anch’essa responsabile.

Ricordiamo che per la normativa, l’innovazione tecnologica in ambito Transazione 4.0 beni immateriali, viene vista come un processo interno supportato da consulenti e che l’innovazione tecnologica non è, di conseguenza, uno strumento per vendere tecnologia ma un’opportunità per le aziende di cambiare processi. Sono state mostrate le tipologie di spese ammissibili, sottolineando come i saving abbiano come driver il costo del personale interno sulla cui base sono riparametrati i costi.

Esiste poi un elemento unificante che collega tutti i mega-trend (industria 4.0, transizione 4.0, digital innovation, il dato come asset aziendale, data governance, Big data, cybersecurity, data integrity by design, Gdpr by design e ALCOA) e cioè che le informazioni vengano ricevute, modificate, staccate, rielaborate e distribuite in modo non dissimile al flusso materiali. In questo senso Candotti ha ricordato che l’Information Chain Management sta seguendo con un certo ritardo il processo della catena del valore al quale è intrinsecamente legata.

Oggigiorno sempre più enti di controllo (GdF, AIFA, Garante della privacy, società di revisione, solo per citarne alcuni) sono interessati ai dati aziendali ed è fondamentale che i dati siano affidabili in modo da rappresentare la corretta realtà.

Tuttavia lo scenario è che la produzione di dati aumenta sempre più, che le informazioni prodotte sono un biglietto da visita e rappresentano sia un valore in sé che un potenziale pericolo. Spesso il processo di creazione/modifica delle informazioni ha dei passaggi ridondati con molte attività in cartaceo su informatica “personale” (excel), oppure sistemi diversi non sempre correttamente interfacciati e quindi molto costoso e qualitativamente discutibile.

Le informazioni costano molto, anche se non si riesce ad evidenziarne il costo in quanto il controllo di gestione è focalizzato sulla parte prodotti.

A fronte di questa situazione non esiste una figura deputata alla gestione dell’INFORMATION CHAIN, che coordini tutto il flusso di informazioni e ne gestisca l’efficienza e la qualità: sostanzialmente nel flusso delle informazioni si sente la mancanza di quello che è per i materiali il Supply Chain Manager-

La situazione sopra descritta con la Fabbrica 4.0 è destinata a far scoppiare un problema che va a toccare ben tre aspetti che occorre al più presto definire. Il primo è di tipo manageriale, dove occorre individuare chi è l’owner dei processi di Information Chain management. Il secondo riguarda gli aspetti organizzativo-gestionali. Qui va definito come gestire i flussi di dati e avere il dato una sola volta e in un solo punto, avendo anche in questo caso un owner delle attività. Il terzo aspetto è di tipo tecnico, in quanto occorrono strumenti informatici adeguati, e al contempo è importante anche definire al meglio il processo decisionale.

Il processo di creazione della figura di Information Chain Manager potrebbe partire dal basso nel convincere il management dell’utilità di un coinvolgimento dell’IT nei processi d’acquisto di macchine CNC per definire i requisiti per la corretta gestione informatica degli equipment, come punto di riferimento e essere il depositario delle conoscenze e come depositario della qualità del dato e delle informazioni.

L’IT dovrebbe essere coinvolto nel processo di acquisto delle macchine e di tutti i sistemi di “raw data” e su tutti gli sviluppi software interni ed esterni. Inoltre l’IT dovrebbe anche essere il depositario delle conoscenze di rischi e opportunità dell’ambiente esterno, sia in ottica difensiva (es. cybersecurity) che propositiva (es. bandi di gara).

Sostanzialmente la transizione 4.0 è un momento in cui l’IT potrebbe davvero riprendere in mano le redini intervenendo sia tatticamente che in una prospettiva di tipo organizzativo. Potrebbe proporre progetti di innovazione che rientrino in ottica transizione 4.0 in modo da consentire un recupero di risorse, uscendo così dall’ottica di costo, ma anche eseguire assessment di processi e dati verso il management, evidenziando rischi e opportunità relativi alla gestione dei dati. E ancora, individuare pericoli e costi connessi rispetto a Gdpr, sicurezza, ecc. Organizzativamente l’IT potrebbe proporre procedure per essere coinvolto in tutti i processi in cui occorre trattare i dati e suggerire un assetto organizzativo in grado di consentire l’ottimizzazione dei processi di gestione delle informazioni nell’intera azienda.

Ricordando che l’innovazione di processo è di fatto un processo aziendale e non un acquisto di strumenti informativi, durante il webinar sono state portate alla luce un paio di esperienze. La prima si è focalizzata verso chi ha intrapreso la strada puntando tutto sugli incentivi fiscali. Un approccio che però alla lunga non ripaga, perché sviluppato in assenza di un disegno organico, senza punti di riferimento in azienda e con una frammentazione di tecnologie e competenze che hanno, di fatto, portato a una dipendenza dai fornitori esterni. La seconda ha condotto invece a delineare una serie di punti che possono tornare sicuramente utili per chi necessiti approcciare il tema in modo ben più strutturato. È fondamentale all’inizio definire chi ha la competenza della fabbrica digitale in azienda. Successivamente è necessaria un’analisi di come l’azienda è posizionata al suo interno rispetto alle frammentazioni tecnologiche, agli standard, ai protocolli, ecc. Il passo successivo è sviluppare un modello a tendere con relativa roadmap del percorso da attuare, determinando i benefici raggiungibili e i relativi costi.

L’argomento trattato ha certamente destato molto interesse e in chiusura è stato accennato che potrebbe essere ripreso anche in un prossimo futuro attraverso un ulteriore incontro a favore di tutti i soci AUSED.

lunedì 25 ottobre 2021

AUSED e SIS: Statistica e Big Data al servizio dell’azienda

Come gestire il business con le informazioni e la data science

AUSED e la Società Italiana di Statistica si sono incontrare durante il webinar “Statistica e Big Data al servizio dell’azienda” del 20 ottobre scorso per approfondire le tematiche che vedono coinvolti gli specialisti e le tecnologie ICT con la sfida della gestione dei dati. Si è trattato di un confronto coordinato da Giuseppe Ingletti, Consigliere AUSED, Board Leader DUGIT, Senior Advisor e CIO-T, su come applicare la statistica e le sue logiche nella pratica. Un evento che ha ottenuto un ottimo successo se si considerano i 123 registrati/confermati e 91 partecipanti, con un picco di 81 di questi contemporanei.

Come ricordato da Corrado Crocetta, presidente della SIS (Società Italiana di Statistica), l’attenzione a questo contesto nasce per la sempre maggiore importanza che la qualità dei dati e la loro corretta elaborazione rivestono in qualsiasi rappresentazione coerente, e ancor più per le decisioni che su di essi vengono basate.

L’incontro si è aperto con il benvenuto da parte di Stefano Lombardi, consigliere AUSED, ed è proseguito con un intervento di Andrea Provini (presidente AUSED) e Corrado Crocetta (SIS, e professore presso l’Università Bari) sul valore delle associazioni e su come la collaborazione tra esse ne moltiplichi il valore. Provini ha sottolineato l’attuale valore dei gruppi di lavoro AUSED, in particolare quello degli User Group (DUGIT, GUPS e USFIT) così come quello del team BeTheChange quale motore e genesi delle iniziative dell’associazione. Ha poi sostanziato come questa cooperazione con SIS sia nata per portare all’ordine del giorno un tema di stretta attualità, approfondendolo con chi l’argomento lo affronta verticalmente. Per questa ragione si è scelto di organizzare questo primo evento con la SIS, una Società scientifica senza fine di lucro, costituita nel 1939 come ente morale e attualmente inclusa fra gli enti di particolare rilevanza scientifica. Scopo principale della Società Italiana di Statistica è quello di promuovere l’attività scientifica per lo sviluppo delle scienze statistiche. La Società svolge questo compito, assegnatole dallo Statuto, attraverso l’organizzazione di riunioni e convegni scientifici, pubblicazioni, collaborazioni con organismi affini sul piano nazionale e internazionale. Attualmente consta di 900 soci ordinari e molteplici enti aderenti. Crocetta ha illustrato che all’interno della società sono istituiti alcuni Gruppi di lavoro con l’incarico di svolgere compiti e attività specifici, o di promuovere particolari settori di studio quali metodologie per le indagini campionarie, statistica per le valutazioni e la qualità nei servizi e la valorizzazione delle Statistiche Pubbliche, oltre a molto ancora.

Il focus dell’evento è stato posto sulle competenze che chi tratta i dati dovrebbe avere; si è parlato di Data Scientist e della carenza di tali figure in azienda, e si è cercato di rispondere a come “aumentare le competenze statistiche all’interno delle organizzazioni che utilizzano sistemi e tecnologie dell’informazione per trasformare i dati in valore”.

Luca Malinverno, Data Scientist & Trainer di DGS Porini, si è soffermato sui modelli di gestione del dato e messa in qualità dello stesso. Il punto chiave per il data scientist è riuscire a trasformare il dato grezzo in conoscenza. Per trasformare il dato in informazione, qualsiasi esso sia all’interno dell’intero processo produttivo aziendale, è possibile utilizzare diversi strumenti.

Fondamentale nell’attività di analisi dei dati è avere una sensibilità statistica e un pensiero critico che, come ricordato da Malinverno, si devono tradurre in capacità di analisi e capacità di sintesi.

Oggi ogni azienda produce terabite di dati all’anno, e questi dati devono essere trasformati in informazione per diventare un asset aziendale. Per gestire questa espansione continua ed esponenziale, servono strumenti innovativi e dinamici, come il cloud. I dati sui quali applicare l’attività di analisi possono arrivare sia da fonti interne, come ad esempio dati di produzione, gestionali aziendali, CRM, Sales report, ecc., sia da fonti esterne (disponibilità della supply chain, eventi geo-politici, Social & recensioni web, gestionali di fornitori e clienti).

La vera sfida sta nel salvare ogni dato prodotto, mettere in corrispondenza dati strutturati e non strutturati, e trasformali per dare la giusta informazione alla giusta persona. In questo senso occorre fare una pulizia del dato attraverso un processo deduttivo (Top down) e/o induttivo (Bottom up). La combinazione vincente è quando l’analisi ci porta a rispondere non tanto a cosa è accaduto e perché è accaduto, ma quanto cosa potrebbe accadere e perché accadrebbe.

Con l’intervento di Paolo Mariani, Consigliere SIS e Prof. Università degli Studi di Milano-Bicocca, si è poi introdotto il tema dei desiderata d’impresa e della valorizzazione delle competenze. L’importanza di trasformare dati in informazione si è evoluta in una applicazione dedicata al recruitment che, relativamente alle competenze, attribuisse una valorizzazione economica alle stesse. Competenze che vengono richieste dalle aziende nel momento in cui è necessario assumere una persona. Per esempio si è cercato di capire quanto vale lavorare in gruppo per una persona che opera nell’IT. Per raggiungere l’obiettivo preposto sono stati utilizzati dati da fonti formative interne messe a disposizione da Adecco (anagrafica ed esperienza lavorativa del candidato, i requisiti richiesti e i soft skill) e da fonti esterne, come la classificazione delle attività economiche europee (ESCO), i dati retributivi da fonte INAIL e il Job Pricing. In altre parole si è voluto valorizzare in termini monetari le competenze desiderate dalle imprese operanti in Italia e le differenze tra le diverse industry.  Per esempio, in ambito IT e Digital al primo posto figura la voce Orientamento alla qualità e al secondo l’autocontrollo, mentre se guardiamo al settore commerciale, al primo posto figura la capacità di lavorare in team e al secondo il coinvolgimento e la responsabilità. Queste evidenze mostrano come un’attenta analisi del dato possa fornire precise risposte alle aziende che sono alla ricerca di nuovi collaboratori.

L’argomento si è poi spostato su come poter presentare un’analisi dei dati in modo efficace, dove la capacità di sintesi gioca un ruolo chiave. Una volta che i nostri dati epurati li abbiamo posizionati all’interno di un database siamo pronti per analizzarli ottenendo benefici per tutte le operations (per esempio applicando le analisi sui KPI, sulle vendite, sulla produzione, sulle tecnologie abilitanti).

Il modo più semplice per fare una sintesi è fare una tabella e degli elenchi. Qui però, sebbene l’informazione sia disponibile, lo è in modo poco fruibile. Una seconda modalità è quella di costruire dei grafici per rendere più “visual” l’informazione. Così facendo basta un colpo d’occhio per capire ciò che sta accadendo. Questa opzione è però statica e si perde la possibilità di interagire col dato, per cui esiste un terzo modello di diffusione dei dati che riguarda le visualizzazioni di tipo interattivo attraverso delle dashboard dove è possibile effettuare dei drill down, filtrare i risultati e moltissimo altro.

Sul tema degli strumenti da utilizzare è intervenuto Andrea Benedetti, Senior Cloud Architect, Data & AI Engineer di Microsoft. Egli ha sottolineato che per partire da un flusso informativo e arrivare a un risultato di analisi esiste uno strumento che permette di collegarsi alle fonti di dati, analizzarle e trasformarle, visualizzarle, pubblicarle e metterle a disposizione di chi può e deve utilizzarle. Si tratta di una tecnologia gratuita che si chiama Power BI Desktop. È una soluzione Microsoft installabile su qualsiasi PC e decktop. Benedetti ha mostrato come funziona questo strumento partendo dallo scaricare degli open data dal sito ISTAT ottenendone un flusso di lavoro relativo alla ricerca e sviluppo. Sono stati scaricati i dati sugli stanziamenti delle amministrazioni centrali e locali per poi effettuale un’analisi su questi dati mettendo in luce tutte le caratteristiche del Power BI Desktop.

Per concludere è intervenuto Gabriele Maggioni, Head of Data Science & Research di The Adecco Group. Per Adecco il progetto sulla valorizzazione delle competenze è fondamentale, soprattutto adesso che questa realtà non è più soltanto un’agenzia interinale. Il gruppo oggi è infatti strutturato in tre verticali: Il primo si occupa, attraverso filiali sul territorio, di formazione, somministrazione e orientamento nel mondo del lavoro; il secondo “vertical” si occupa di selezione, ricerca per le aziende e outplacement, con percorsi di uscita dalle aziende per i senior manager; il terzo si occupa di consulenza IT, tecnologia ed engineering. Il progetto sviluppato in Adecco, e in generale l’utilizzo dei numeri all’interno dei ragionamenti business, avvalora la loro value proposition, e ciò avviene sia contribuendo a oggettivare ragionamenti «commerciali», sia fornendo autorevolezza, grazie all’utilizzo di standard europei e americani riconosciuti. (es: ESCO, ONET). Per 2 dei 3 verticali, Adecco partendo dalla competenza e collegandola alla dimensione del settore, del segmento, del luogo e del profilo, ha quantificato l’impatto che le skill hanno sul pricing.  In un secondo caso d’uso, invece, l’obiettivo di Adecco è stato quello di essere a conoscenza dell’importanza delle competenze per ottenere una valorizzazione consapevole dei relativi servizi formativi da loro offerti. L’intervento si è concluso con alcuni spunti che sono partiti dai progetti prospettici di Adecco. Il primo riguarda l’integrazione dei dati relativi alla quantificazione del valore delle skill all’interno del concetto di Employability, che il gruppo utilizza come guida sul mercato del lavoro. Il secondo, sempre grazie a queste analisi, ma questa volta guardando agli aspetti della consulenza su aspetti molto tecnici offerti da Adecco (come nei casi dell’intelligenza artificiale e del machine learning) il gruppo è in grado di proporre al mercato un prezzo congruo al valore stesso di queste importanti competenze. 

martedì 19 ottobre 2021

AUSED – Ransomware: è solo un problema di cybersecurity?

 L’elevata estensione della superficie di attacco rappresenta un problema crescente

Dopo il grande evento del CIOsumm.it di Lazise, a cavallo tra fine settembre e i primi di ottobre, l’AUSED ha organizzato lo scorso 13 ottobre l’evento virtuale dal titolo “AUSED: Ransomware: è solo un problema di cybersecurity?”. All’incontro hanno partecipato attivamente Stefano Lombardi (consigliere AUSED), Gabriele Faggioli (presidente Clusit e responsabile scientifico dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano), Sergio Feliziani (Country Manager Commvault) e Vincenzo Costantino (senior director Sales Engineer Western EMEA & Israel di Commvault). Ha contribuito anche Giovanni Daconto, CIO Ariston Group e consigliere AUSED.

Il webinar ha fatto emergere come all’interno del percorso di Digital Transformation che ogni azienda sta indirizzando, un problema crescente sia rappresentato dall’elevata estensione della superficie di attacco. Le tecnologie di cybersecurity vengono certamente in soccorso, sebbene potrebbero però non essere sufficienti. Infatti l’argomento trattato ha portato alla luce oltre all’attuale scenario anche gli aspetti legali relativi, dando delle indicazioni interessanti su come fare per ridurre l’efficacia dei Ransomware, citando anche esperienze vissute, l’evoluzione dell’infrastruttura Cloud e consigli di tipo pratico.

Per prima cosa, attraverso l’intervento di Gabriele Faggioli, si è affrontato lo scenario attraverso alcuni dati provenienti da una survey dell’Osservatorio Digital Transformation che ha visto coinvolte 116 grandi imprese. Sicuramente l’attenzione al fenomeno della cybersecurity è aumentata nel tempo, vuoi per una attenzione mediatica sempre più elevata, vuoi anche perché l’introduzione del GDPR ha effettivamente fatto la differenza al centro del percorso sulla sicurezza. Tuttavia i dati mostrati fanno molto riflettere così come è stato accennato che la normativa in essere dovrebbe fare ancora un salto di qualità. Ma vediamo un po’ di dati: tra il 2020 e il 2021 le priorità di investimento digitale (anche spinte dall’effetto pandemia) hanno fatto balzare dal secondo al primo posto il tema della sicurezza informatica. Addirittura in ambito PMI, per le 500 aziende intervistate, nel 2020 l’information security non risultava nemmeno tra le prime sei priorità. Nel 2021, invece, l’argomento è divenuto molto caldo e si trova al secondo posto, poco sotto il tema dello smart working, di cui conosciamo bene l’importanza in questi ultimi periodi.

A partire dal 2015 – e finanziate dal 2018 – sono state fondate 254 start up dedicate alla cybersecurity, di cui quasi il 60% in America e il 20% in Asia. L’Europa pesa anch’essa per un 20%, ma l’Italia purtroppo è solo un fanalino di coda col 2%. Sostanzialmente, di 3,83 miliardi di dollari, dal 2018 a oggi, le startup hanno ottenuto in media 15 milioni di dollari a testa, anche se la media italiana risulta essere solo di 1 milione di dollari.

L’Osservatorio negli ultimi dieci anni ha analizzato e classificato circa 100 attacchi gravi al dominio pubblico. Nel quadriennio 2017-2020 gli attacchi gravi sono aumentati del 66% raggiungendo oltre 1800. In Europa sono passati dall’11 al 17%. Sempre basandoci sull’analisi in questione, nel 2020 la categoria Cybercrime ha fatto registrare il numero di attacchi più elevato degli ultimi 10 anni, pesando per l’81% nelle diverse tipologie.

Tra le categorie più colpite risulta esserci quella “multi target” (20%) che ha superato per il terzo anno consecutivo il settore Government, che deteneva il primo posto tra il 2021 e il 2016. Al terzo posto troviamo il settore “”Healthcare” (12%), poi “Education e Research” (11%), “Online service/Cloud” (10%), “Others” (8%) e “Software e Hardware vendor” (6%).

Una ennesima survey, questa volta su un campione di 151 grandi aziende, ha portato alla luce le azioni di sicurezza svolte per far fronte all’emergenza. In larga parte sono state introdotte nuove policy (63%), sono state adottate soluzioni a protezione della rete (62%), svolte attività di formazione (60%), introdotte soluzioni di sicurezza dei device personali (49%) e introdotte soluzioni per identificare e rispondere agli attacchi (33%). Per un 19% vi è stata anche una riformulazione delle stime di valutazione del rischio cyber e per il 18% si è introdotta una revisione dei rapporti con le terze parti.

Come rischio medio/alto sulla cybersecurity i trend di maggior impatto attuali riguardano i temi Cloud e smart working. Dal punto di vista tecnico i rischi cyber tradizionali (es. phishing, email compromesse, botnet, DDoS) sfruttano l’anello debole della filiera per far breccia a cascata nell’organizzazione. Il 24% delle organizzazioni dichiara di aver subito un incidente di sicurezza legato alle terze parti negli ultimi 12 mesi.

Tra le tecnologie adottate in ambito supply chain security fanno breccia il monitoraggio della postura cyber della terza parte, la mappatura delle relazioni con i fornitori in tutta la catena di approvvigionamento, la verifica del comportamento degli utenti lungo la supply chain, con valutazione dei rischi informatici, e l’utilizzo di strumenti di autentificazione multi fattore e di connessioni sicure. Tuttavia l’utilizzo di soluzioni tecnologiche specifiche avviene solo per il 59% delle 151 grandi imprese intervistate, mentre il 20% è in fase di introduzione. Ciò lascia attualmente scoperto un 21% che ancora non ha previsto di adottare nessun tipo di tecnologia di questo tipo.

Un ulteriore dato che fa pensare è relativo all’attività di valutazione della compliance alla normativa sui dati personali. In un campione di 76 aziende, l’80% ha dichiarato che questa valutazione non avviene mai, il 17% a volte e solo il 3% sempre. Questo dato riguarda la valutazione dei fornitori, mentre per i subfornitori le percentuali cambiano in 49% mai, 46% a volte e 5% sempre. Inoltre l’attività di valutazione del livello di sicurezza viene praticata in maniera minore rispetto all’attività di valutazione della compliance alla normativa sui dati personali, sia sui fornitori, sia sui subfornitori.

La ricerca ha portato in evidenza come in un perimetro di analisi fatto da 3787 imprese con almeno 250 addetti, vi sia un valore che oscilla ogni anno tra 31000 e 34000 giornate/uomo destinate ad attività di valutazione della compliance e della sicurezza di fornitori e subfornitori. La responsabilità della sicurezza informatica è solo nel 41% dei casi delegata al CISO formalizzato, mentre per il 25% troviamo a occuparsi di questa responsabilità la figura del CIO, per il 13% è invece il CSO o Security Manager, per il 19% un’altra figura aziendale e per il 2% non esiste nessuna figura aziendale delegata a questo ruolo.

Gli interventi successivi di Sergio Feliziani e Vincenzo Costantino hanno contribuito a offrire la visione di Commvault, azienda nata a metà degli anni ’90 da una costola dei laboratori AT&T. Una azienda che oggi vanta 3000 addetti in tutto il mondo e tre miliardi di dollari di capitalizzazione. In Italia vi sono oltre 50 professionisti impegnati a perseguire la mission aziendale, che propone soluzioni che permettono di pianificare, proteggere e recuperare i dati ovunque essi si trovino. La solidità tecnologica è sottolineata dal risultare leader da diversi anni per le soluzioni di backup e disaster recovery all’interno del Magic Quadrant di Gartner. La protezione e la gestione dei dati non sono più aspetti da trascurare ma imperativi organizzativi e la tecnologia che propone questa azienda è di tipo sofisticato, che sfrutta automazione e customizzazione e che presenta una security dashboard molto evoluta.

Sul tema della vision e delle soluzioni di Commvault il prossimo 28 ottobre, alle ore 15.00 vi sarà un evento internazionale intitolato CONNECTIONS21 a cui è possibile partecipare iscrivendosi a questo link:

Il gap che l’Italia sconta per problematiche di vario genere è riscontrabile dai dati emersi dalle varie survey sopra menzionate. Oggi la proliferazione dei dati multigenerazionali, con carichi di lavoro ovunque, mette sempre di più al centro la sicurezza. Occorre quindi intervenire e definire come gestire e proteggere i nuovi ambienti. Serve in sostanza definire una serie di punti qualificanti che possano nel loro insieme diminuire l’efficacia dei ransomware. Per prima cosa occorre identificare le problematiche di risk assesment. Successivamente vi è una fase di protezione con un disegno che Commvault definisce “immutabile”. Poi si interviene sulle infrastrutture e sul controllo dei flussi e dei workload. La parte finale riguarda il monitoring, anche da remoto, che può includere meccanismi di automazione).

Il ragionamento di fondo è che il ransomware non potrà mai essere sconfitto completamente ma è fondamentale sapere che in azienda un attacco del genere potrebbe accadere in qualsiasi momento e quindi occorre essere preparati agendo a monte per tempo.

Il ransomware nasce nel 2000 e attualmente lo si può suddividere in tre tipologie: Phishing, Zero-Day Attack e Targeted Account.

L’incontro ha messo in evidenza come un semplice backup non sia sufficiente per essere al sicuro da questi attacchi. Vi sono infatti svariati problemi di Data Management che vanno analizzati. Vi è un impatto anche dal punto di vista del processo, che parte dall’online fino al backup stesso. Negli esempi portati in evidenza da Commvault durante il webinar è emerso che non basta scoprire l’attacco ma è fondamentale capire anche da quado questo è partito. Le soluzioni da loro proposte prevedono la memorizzazione del database anche in un cloud gratuito messo a disposizione dei propri clienti, così come – anche se ci si trova in una situazione di dati cancellati manualmente da figure aziendali compromesse dagli attacchi – in realtà i dati non vengono realmente cancellati in tempo reale ma solo dopo alcune ore. Questo ha permesso in un caso specifico, raccontato durante l’evento, di poter ripristinare quanto causato dall’attacco in tempi brevissimi .

La discussione si è infine spostata su alcune domande che hanno portato ad affermare che nonostante durante gli attacchi ci si senta avviliti e sconfitti il pagare il riscatto non è la risposta giusta. In primis non si ha nessuna garanzia da parte di chi ci attacca, e quindi non è detto che dopo qualche mese si rifaccia vivo chiedendo altri soldi e sferrando altri attacchi. Poi è possibile che i malviventi abbiano visionato i nostri dati di tipo finanziario e li abbiano messi a disposizione del Deep web. Non esistendo nessun tipo di garanzia che pagando, il problema venga definitivamente risolto, non occorre fare nessun tipo di compromesso con i criminali. Anzi, cedendo al ricatto non si fa altro che alimentare le loro attività illegali permettendogli di continuare a svolgerle verso altre aziende.

Tra i punti emersi in conclusione si è accennato a come per ridurre i rischi d’attacco non sia propriamente utile frammentare le soluzioni che si occupano di sicurezza e diversificare quelle di backup: molto meglio un’unica strategia con una dashboard in grado di “vedere” tutta l’azienda; un’unica interfaccia in grado di garantire disponibilità dei dati e continuità di business negli ambienti on-premise e nel cloud.