AUSED: un webinar sulla Salesforce Platform grazie all’USFIT

 Dagli aspetti legali a quelli relativi alla sicurezza

AUSED ha organizzato un incontro con Salesforce durante il webinar “Salesforce Platform” del 10 novembre scorso nel quale si sono affrontati alcuni aspetti che ruotano attorno a questa rinomata piattaforma. Sono intervenuti Tommaso Fè, Stefano La Rosa e Marco Dragoni, rispettivamente Regional Sales Director, Legal Counsel e Cloud Architect di Salesforce. Nello specifico, oltre a una breve panoramica della soluzione, si è entrati in tre particolari tematiche. La prima ha riguardato gli aspetti legali delle piattaforme cloud, successivamente si è passati a presentare gli standard nella tecnologia Salesforce e, infine, sono stati illustrati gli scenari di sicurezza e privacy, sui quali ci soffermeremo più avanti. In questa particolare fase dell’incontro sono anche intervenuti, con il loro punto di vista da CIO, Luca Guerra (Prima Power) e Luigi Pignatelli (Zeiss).

L’evento è stato aperto dallo stesso Pignatelli che ha illustrato il ruolo dello User Group, all’interno di AUSED, che prende il nome di USFIT: si tratta dell’unico User Group ad essere riconosciuto ufficialmente da Salesforce in Italia. USFIT è in sostanza la community ufficiale degli utenti Salesforce che ha come principale obiettivo quello di mettere a disposizione delle aziende utenti delle soluzioni Salesforce una piattaforma e un network strutturato dove poter condividere esperienze, idee, progetti e best practice. La community rappresenta inoltre un tavolo di confronto continuo con Salesforce Italia, che riconosce con estremo interesse USFIT come interlocutore privilegiato per le proprie attività e strategie. Lo User Group al momento è focalizzato a un suo “revamp” dopo il periodo della pandemia e durante l’incontro si è detto aperto a nuove iscrizioni da parte di qualsiasi azienda utilizzatrice ma anche da parte di quelle aziende che ancora non utilizzano la piattaforma Salesforce e che vogliono avvicinarsi per conoscerla meglio.

Venendo a Salesforce, è stato ricordato che si tratta di un’unica piattaforma in grado di offrire soluzioni flessibili per le aziende in ambito SaaS. Da un punto di vista legal, indipendentemente dall’articolo 32 del GDPR, Salesforce protegge il dato del cliente utilizzando tutti gli strumenti standard o attraverso specifici add-on. Questo permette di assicurarlo nel suo intero processo, di avere una governance IT per renderlo disponibile nel più breve tempo possibile anche in caso di incidenti e a monitorarlo durante tutto il suo percorso all’interno dei processi aziendali e di vendita. In un modello di responsabilità condivisa, Salesforce prepara i clienti a evolvere in uno scenario in cui la sicurezza dei dati è sempre più a rischio. In questo senso offre soluzioni specifiche per mettere le informazioni sempre più in sicurezza e educa i clienti sulle differenti opzioni che mettono a loro disposizione. Allo stesso tempo, lato clienti, è necessario che essi adottino controlli sulla sicurezza all’interno della propria realtà aziendale, siano in grado di monitorare continuamente il comportamento degli utenti e i relativo log degli eventi, il tutto proteggendo i dati sensibili in accordo con la compliance.

Il problema della perdita dei dati è stato sviluppato attraverso la metafora del tubetto di dentifricio: una volta che il dentifricio è uscito (perdita di dati) è molto difficile farlo rientrare nel tubetto e ripulire il “tavolo” dove si è depositato. In Salesforce il lato Privacy e Sicurezza è “by design” e si sono accennati temi quali Trust & Compliance, certificazioni e audit, Data Process Addendum, meccanismi di data transfer e localizzazione dei dati.

Il webinar ha successivamente introdotto degli esempi di perdita di dati con conseguenti punti di vista da parte dei due CIO citati inizialmente. L’articolo 32 del GDPR, ai punti a, b, c e d sottolinea l’importanza di proteggere, assicurare, poter gestire e monitorare i dati. Nel primo esempio l’operatrice telefonica di un customer service che lavora 12 ore al giorno riceve e accetta una proposta di lavoro da un’azienda concorrente molto più interessante. L’operatrice lascia il posto dove si trova non prima di salvare un report con tutti i suoi contatti in modo da sfruttare le sue relazioni anche nella nuova attività. Siamo davanti a un caso specifico di Internal Data Breach. Si tratta una azione fraudolenta da parte di chi si impossessa dei dati, ma anche da parte dell’azienda che ne farà uso attraverso la nuova assunta. Questo esempio porta a determinare la reale necessità per le aziende di capire cosa accade all’interno delle piattaforme e dei vari database. Occorrono controlli sull’integrità dei dati e per l’IT servono strumenti di controllo touch point per touch point. Si tratta evidentemente di un problema pressante per tutti i CIO e DPO in azienda che richiede un elemento di controllo con appositi log in caso di investigazione. Certo, in aziende di tipo strutturato questo esempio non dovrebbe accadere (e con il Transaction Security in funzione non accade), tuttavia è fondamentale che venga effettuata una formazione a tutta lo staff aziendale, instaurando una vera e propria cultura della protezione del dato.

Un secondo esempio ha prospettato il ruolo di un consulente esterno che lavora come partner certificato Salesforce e che sta implementando la soluzione presso un’azienda. Dovendo testare la soluzione stessa in un ambiente dove serve integrarsi con i dati reali del cliente egli ha accesso a ogni tipo di informazione (ordini, date, ecc) e decide di condividere questi dati con un suo conoscente non troppo onesto. In questo scenario il CIO si trova in una condizione in cui i dati sono persi per sempre, inclusa la lista completa dei clienti ora disponibile sul dark web, ovviamente non controllabile dalla sua azienda. Lo stesso ruolo del DPO si trova nella condizione di affermare che l’azienda non è in grado di garantire l’uso improprio dei dati ottenuti dai loro clienti. Per i CIO presenti al webinar si tratta di uno scenario plausibile dove è impossibile eliminare del tutto questo rischio, tuttavia il consiglio che emerge è quello di seguire al meglio l’obbligo normativo, scegliere sempre partner certificati e aumentare il controllo sulle persone attraverso un percorso formativo che instauri la cultura della sicurezza del dato. Altro punto è quello di segregare il più possibile le responsabilità delle persone, anche se questo risulta molto più semplice dal lato utente rispetto a chi lavora sugli aspetti tecnici. In questo ambito emerge la necessità di non avere l’IT come unico responsabile di ciò che accade al dato in azienda, ma occorrerebbe la responsabilizzazione di tutte le funzioni aziendali.

Come soluzione specifica all’esempio sopra riportato, Salesforce ha segnalato il mascheramento dei dati in ambito di test. Questo permette una pseudo anonimizzazione di alcuni campi (per esempio il nome Rossi diventa Bianchi) mentre altri campi, come il numero d’ordine, possono rimanere invariati dal momento che non c’è più un match specifico col nome vero del cliente. Naturalmente resta da sviluppare l’allineamento con tutti i sistemi aziendali.

Un ultimo esempio ha riguardato il tipico cliente b2c che condivide i propri dati con l’azienda. Avendo espresso le proprie preferenze inizialmente, decide di contattare il customer service o per farsi cancellare del tutto o per modificare le stesse preferenze. Questa attività porta via all’operatore del customer service molto tempo: il CIO sa che l’agente potrebbe spendere il suo tempo migliorando la customer satisfaction invece di ricercare e modificare dati esistenti. Per questo occorrerebbero strumenti automatici. L’agente stesso potrebbe erroneamente modificare le preferenze di contatto preso dall’alto carico di lavoro e andando così a scontrarsi, per altro, con la necessità del DPO che deve garantire la compliance con le regole più recenti. Questo ennesimo esempio ha ribadito che si tratta di un tema molto sentito dall’introduzione del GDPR. In molte aziende, inclusa quella rappresentata da Pignatelli, tutte le attività lato consumatore relative all’estrazione di dati, revoca consensi, diritto all’oblio sono gestite in tempo reale sul portale, ma anche allineate con tutti i sistemi in essere, tanto da avere in caso di restore uno script che tiene memoria di chi deve essere anonimizzato. Ciò che risulta molto importante è che i sistemi, in una fase di eventuale audit, siano dimostrabili come sistemi solidi di controllo. La complicanza è che lavorando in un ecosistema dove le informazioni vengono condivise all’interno e all’esterno con terze parti, per quanto qualificate e regolamentate da un punto di vista legale e GDPR, risulta essere un esercizio piuttosto complesso.

Per Guerra il GDPR ha introdotto il concetto di “Privacy by design” che ha iniziato a far capire ai tecnici che certe attività vanno realizzate nello stesso momento in cui vengono disegnati i sistemi e i processi. Servirebbero semplicità e meccanismi di enbedding tra le piattaforme in grado di permettere di cancellare o tenere traccia della storicità del dato. Vi sono procedure da snellire il più possibile, perché il lavoro dell’IT non deve essere fatto di procedure ma di operatività e attenzione al business.

In conclusione, durante l’incontro, Salesforce ha ricordato che esistono soluzioni da parte loro in grado di semplificare il più possibile queste problematiche in modo da poter dedicare più tempo alle vendite, grazie all’integrazione personalizzata con gli strumenti aziendali e al reporting on-demand. Affidarsi a loro significa entrare in una community inclusiva di oltre dieci milioni di innovatori e pionieri chiamati trailblazer. E se qui in Italia si decide poi di entrare anche a far parte dello User Group USFIT, l’unica associazione ufficiale di Salesforce nel nostro Paese, si accede così a un canale diretto che permette di confrontarsi come utilizzatori privilegiati e contribuisce a definire strategie e servizi in collaborazione con l’azienda che ha sede a San Francisco e uffici in tutto il mondo.

AUSED – Transizione 4.0: un bancomat fiscale o un’opportunità IT?

Un webinar in collaborazione con il socio DOTS

AUSED in collaborazione con il socio sostenitore DOTS (PQE Group) ha organizzato lo scorso 27 ottobre un webinar sul tema della transizione 4.0. DOTS è una azienda che si definisce “IT quality provider”: indipendente dalle tecnologie, il focus di questa realtà è sul mantenimento della qualità, connettendo in modo efficace il bisogno dei clienti con i software vendor e rendendo possibili e affermati i progetti di business e organizzativi attraverso una solida IT Governance. DOTS fornisce skill, metodi e strumenti a entrambe le parti, mettendo sul campo un collaudato quality approach.

Il relatore del webinar è stato Carlo Candotti, partner di DOTS e Consulente-Perito del Tribunale di Milano sulle tematiche Industry 4.0. Hanno partecipato attivamente all’evento anche Daniele Vanzanelli, Luca Guerra e Francesco Pezzutto.

L’argomento è stato sviscerato attraverso tre punti chiave. Il primo ha riguardato gli aspetti tecnici relativi ai benefici fiscali nella normativa italiana per i beni materiali e per l’innovazione di processo. Candotti si è poi soffermato su alcuni mega-trend della transizione 4.0 e, infine, si è voluto sottolineare le eventuali opportunità per una nuova centralità dell’IT.

È stato ricordato come la nuova transizione 4.0 inglobi beni materiali riferiti alla legge 178/2020 articolo 1 commi da 154 a 161 ed ex Ricerca e sviluppo (legge 160 del 27/12/2019, art. 1). Sono stati snocciolati i punti di questa normativa relativamente ai beni materiali e ai relativi parametri, ricordando che i soggetti destinatari sono tutte le imprese residenti in Italia.

I progetti che ruotano attorno alla transizione 4.0 nell’area dei beni materiali solitamente partono dal business, poi il finance identifica l’opportunità fiscale. La visione come perito è che la richiesta ex post arriva dal finance a progetto concluso. Al momento l’IT viene ancora coinvolto solo come vincolo alla eleggibilità dell’investimento in fase di perizia. Un secondo aspetto di cosa accade nella realtà è che spesso i fornitori lasciano intendere che le macchine sono “Industry 4.0 ready” ma in realtà non lo sono appieno e questo emerge in caso di perizia, dove la non rispondenza soprattutto l’interconnessione e l’integrazione. Altro aspetto della normativa riguarda la cybersecurity, dove non è sufficiente la certificazione del produttore, in quanto in capo all’azienda rimane la DVR, ovvero la valutazione dei rischi. A breve le organizzazioni si accorgeranno che valutare i rischi legati alla sicurezza informatica durante la stesura del DVR necessita il totale coinvolgimento della parte IT, rendendola in questo modo anch’essa responsabile.

Ricordiamo che per la normativa, l’innovazione tecnologica in ambito Transazione 4.0 beni immateriali, viene vista come un processo interno supportato da consulenti e che l’innovazione tecnologica non è, di conseguenza, uno strumento per vendere tecnologia ma un’opportunità per le aziende di cambiare processi. Sono state mostrate le tipologie di spese ammissibili, sottolineando come i saving abbiano come driver il costo del personale interno sulla cui base sono riparametrati i costi.

Esiste poi un elemento unificante che collega tutti i mega-trend (industria 4.0, transizione 4.0, digital innovation, il dato come asset aziendale, data governance, Big data, cybersecurity, data integrity by design, Gdpr by design e ALCOA) e cioè che le informazioni vengano ricevute, modificate, staccate, rielaborate e distribuite in modo non dissimile al flusso materiali. In questo senso Candotti ha ricordato che l’Information Chain Management sta seguendo con un certo ritardo il processo della catena del valore al quale è intrinsecamente legata.

Oggigiorno sempre più enti di controllo (GdF, AIFA, Garante della privacy, società di revisione, solo per citarne alcuni) sono interessati ai dati aziendali ed è fondamentale che i dati siano affidabili in modo da rappresentare la corretta realtà.

Tuttavia lo scenario è che la produzione di dati aumenta sempre più, che le informazioni prodotte sono un biglietto da visita e rappresentano sia un valore in sé che un potenziale pericolo. Spesso il processo di creazione/modifica delle informazioni ha dei passaggi ridondati con molte attività in cartaceo su informatica “personale” (excel), oppure sistemi diversi non sempre correttamente interfacciati e quindi molto costoso e qualitativamente discutibile.

Le informazioni costano molto, anche se non si riesce ad evidenziarne il costo in quanto il controllo di gestione è focalizzato sulla parte prodotti.

A fronte di questa situazione non esiste una figura deputata alla gestione dell’INFORMATION CHAIN, che coordini tutto il flusso di informazioni e ne gestisca l’efficienza e la qualità: sostanzialmente nel flusso delle informazioni si sente la mancanza di quello che è per i materiali il Supply Chain Manager-

La situazione sopra descritta con la Fabbrica 4.0 è destinata a far scoppiare un problema che va a toccare ben tre aspetti che occorre al più presto definire. Il primo è di tipo manageriale, dove occorre individuare chi è l’owner dei processi di Information Chain management. Il secondo riguarda gli aspetti organizzativo-gestionali. Qui va definito come gestire i flussi di dati e avere il dato una sola volta e in un solo punto, avendo anche in questo caso un owner delle attività. Il terzo aspetto è di tipo tecnico, in quanto occorrono strumenti informatici adeguati, e al contempo è importante anche definire al meglio il processo decisionale.

Il processo di creazione della figura di Information Chain Manager potrebbe partire dal basso nel convincere il management dell’utilità di un coinvolgimento dell’IT nei processi d’acquisto di macchine CNC per definire i requisiti per la corretta gestione informatica degli equipment, come punto di riferimento e essere il depositario delle conoscenze e come depositario della qualità del dato e delle informazioni.

L’IT dovrebbe essere coinvolto nel processo di acquisto delle macchine e di tutti i sistemi di “raw data” e su tutti gli sviluppi software interni ed esterni. Inoltre l’IT dovrebbe anche essere il depositario delle conoscenze di rischi e opportunità dell’ambiente esterno, sia in ottica difensiva (es. cybersecurity) che propositiva (es. bandi di gara).

Sostanzialmente la transizione 4.0 è un momento in cui l’IT potrebbe davvero riprendere in mano le redini intervenendo sia tatticamente che in una prospettiva di tipo organizzativo. Potrebbe proporre progetti di innovazione che rientrino in ottica transizione 4.0 in modo da consentire un recupero di risorse, uscendo così dall’ottica di costo, ma anche eseguire assessment di processi e dati verso il management, evidenziando rischi e opportunità relativi alla gestione dei dati. E ancora, individuare pericoli e costi connessi rispetto a Gdpr, sicurezza, ecc. Organizzativamente l’IT potrebbe proporre procedure per essere coinvolto in tutti i processi in cui occorre trattare i dati e suggerire un assetto organizzativo in grado di consentire l’ottimizzazione dei processi di gestione delle informazioni nell’intera azienda.

Ricordando che l’innovazione di processo è di fatto un processo aziendale e non un acquisto di strumenti informativi, durante il webinar sono state portate alla luce un paio di esperienze. La prima si è focalizzata verso chi ha intrapreso la strada puntando tutto sugli incentivi fiscali. Un approccio che però alla lunga non ripaga, perché sviluppato in assenza di un disegno organico, senza punti di riferimento in azienda e con una frammentazione di tecnologie e competenze che hanno, di fatto, portato a una dipendenza dai fornitori esterni. La seconda ha condotto invece a delineare una serie di punti che possono tornare sicuramente utili per chi necessiti approcciare il tema in modo ben più strutturato. È fondamentale all’inizio definire chi ha la competenza della fabbrica digitale in azienda. Successivamente è necessaria un’analisi di come l’azienda è posizionata al suo interno rispetto alle frammentazioni tecnologiche, agli standard, ai protocolli, ecc. Il passo successivo è sviluppare un modello a tendere con relativa roadmap del percorso da attuare, determinando i benefici raggiungibili e i relativi costi.

L’argomento trattato ha certamente destato molto interesse e in chiusura è stato accennato che potrebbe essere ripreso anche in un prossimo futuro attraverso un ulteriore incontro a favore di tutti i soci AUSED.