Data Manager numero di Settembre 2007

British American Tobacco Italia S.p.A. è nata ufficialmente l’1 giugno 2004 dalla fusione con ETI S.p.A., per l’acquisizione della quale il Gruppo British American Tobacco, il più internazionale del settore, si era aggiudicato la gara il 16 luglio 2003.Tale fusione ha segnato la nascita di una solida realtà industriale pronta a competere in maniera più incisiva nel mercato italiano.

Con Guido Pellillo  IT Security Manager  abbiamo affrontato il tema del security management.

La diretta presenza di BAT in Italia (che risale al 2002, a seguito dell’acquisizione del business di Italtabacchi) conferma la strategia del Gruppo britannico, orientato al maggior coinvolgimento nella realtà dei paesi in cui opera. Solo negli ultimi dieci anni, BAT ha completato con successo transazioni complesse in molti paesi del mondo, comprese le principali privatizzazioni europee, dando prova di un’abilità d’integrazione unica, incentrata sulla tutela della gestione locale e sullo sviluppo dei marchi presenti in tali paesi. In questa ottica British American Tobacco Italia S.p.A., con la sua forte connotazione di Azienda italiana nei fondamenti ma dal respiro internazionale, va ad occupare un ruolo di riferimento e di grande valore strategico per il sistema economico nazionale.Con una quota di mercato di quasi il 27% ed una presenza di oltre 30 marchi sia internazionali, tra cui Lucky Strike, Pall Mall, Kent e Dunhill, British American Tobacco Italia si colloca al secondo posto tra gli operatori del settore in Italia, il secondo mercato più importante d’Europa. 

Qual è il contesto IT di BAT?

British American Tobacco è presente in circa 180 paesi in tutto il mondo in realtà completamente eterogenee e con peculiarità a volte profondamente diverse sia in termini politico-culturali  che specificatamente di Business.  In questo contesto così complesso siamo impegnati, ormai da qualche anno, nella riorganizzazione dell’Information Technology a livello worldwide. Il progetto è  iniziato con un programma di centralizzazione, sharing e consolidamento delle infrastrutture tecnologiche a supporto dei principali processi di business, ed è  proseguito con una fase di  ottimizzazione delle spese di gestione; ciò è stato possibile grazie alla condivisione e ridefinizione  dei Servizi di Supporto per l’intero Gruppo.Lo step finale riguarda la ristrutturazione della Organizzazione IT (sia Demand che Supply Side) che ora è molto più inserita nei processi di Business in modo da poter supportare il Top Management nella definizione delle scelte strategiche. Tutto ciò ha comportato  una rivisitazione del modo di vedere l’IT in azienda. 

Interessante ma potresti farmi un esempio concreto? 

A Gennaio di quest’anno in Italia si è completato il processo di integrazione delle strutture di Information Technology e Business Planning, che hanno dato vita alla funzione Strategy & IT. Il rigore analitico e la capacità di esecuzione strutturata caratteristica dell’IT sono un patrimonio di cui tutta l’azienda può disporre; d’altra parte, la visione strategica e olistica del Business Planning ha contribuito a portare la funzione IT sempre più verso il “cuore” del business, coerentemente con la sua strategia globale. Oggi Strategy & IT ha la possibilità di supportare il business in maniera completa ed organica: dalla valutazione degli obiettivi strategici di lungo periodo, alla definizione del portafoglio di progetti, alla realzzazione degli stessi, alla gestione del day by day.  

Comè è organizzata la funzione di IT Security? 

Bat opera in un mercato dove le informazioni sono un asset importantissimo dell’Azienda e come tale dovrebbero essere protette dalle minacce siano esse interne che esterne all’organizzazione. Con l’evoluzione tecnologica ed l’evoluzione del modo di fare Business che ormai va  oltre le frontiere della singola azienda, le minacce ed i  relativi rischi relativi alla confidenzialità, integrità e disponibilità delle Informazioni sono introdotte su vasta scala e ad una velocità mai raggiunta prima.  In questo contesto sono richiesti l’implementazione di controlli preventivi, investigativi e correttivi agendo soprattutto sui comportamenti delle persone attraverso la definizione di policies e  procedure; disegnando correttamente i flussi e i processi e utilizzando correttamente le tecnologie necessarie. Inoltre anche la funzione IT Security in BAT Italia ha subito la stessa evoluzione del resto del dipartimento IT.  Qualche anno fa la Sicurezza era percepita solo ed esclusivamente come un costo aziendale, si operava principalmente sulla definizione della Sicurezza Perimetrale e sul come fronteggiare le emergenze attraverso una corretta gestione dell’incident management.Dopo anni di tentativi oggi finalmente possiamo asserire che la Information Security è entrata di diritto a far parte della Corporate Governance Aziendale pertanto il nostro principale obiettivo è supportare l’azienda nella gestione dei propri Rischi attraverso processi sempre più definiti di risk management  

Le problematiche dell'IT Security interessano indubbiamente tutti i settori di mercato. Le organizzazioni più grandi considerano la Sicurezza in un'ottica allargata spesso svincolata dai temi specifici della funzione Sistemi Informativi, che ne pensi?                                   

Per le grandi organizzazioni si tratta di un tentativo necessario per cercare di mantenere il controllo su tutti gli aspetti della sicurezza aziendale riducendone la complessità di gestione. Non sempre però questa soluzione si rivela la migliore possibile. Ad esempio un modello della Sicurezza a matrice con componenti presenti nei diversi dipartimenti aziendali raggiunge meglio l’obiettivo di riuscire a coinvolgere tutti sui temi della Sicurezza. Nel nostro Security Team confluiscono persone di diversi dipartimenti: Strategy&IT, Legal, HR, Operations  e naturalmente del Group Security, risulta essere in pratica una funzione costituita in dotted lines ed è una esperienza largamente positiva. Il lavoro in team si svolge in una ottica di progetto e in base alle necessità si costituiscono i team e i gruppi di lavoro necessari; la vera  sfida è riuscire a creare le necessarie sinergie interfunzionali e di riuscire a lavorare molto spesso in team virtuali facendo i conti con grandi distanze geografiche, culturali, di lingua e di mezzi di comunicazione ma anche con l’opportunità di saper cogliere la forza dalle differenze. Credo di poter dire con assoluta convinzione che non è solo l’organizzazione o il modello a fare il successo di un’azienda ma avere le persone giuste, preparate e motivate. 

Progettare e gestire in modo integrato la sicurezza informatica per tutti i settori nei quali l'affidabilità dei sistemi è unita alla necessità di rendere disponibile un numero crescente di informazioni è un impresa ardua quali sono i fattori critici di successo? 

Credo sia importante scrollarci di dosso l’immagine della Sicurezza come fortificazione dei propri confini e passare ad un concetto di Sicurezza molto più allargata, olistico, dove il Risk Management permette di rispondere in maniera differenziata ad ogni singola minaccia valutandone probabilità e impatto sull’organizzazione. Voglio però sottolineare come in un Information Security Management System esiste un solo aspetto che può garantire il salto di qualità: l’uomo. Non può esistere Sicurezza anche utilizzando le più sofisticate tecnologie se chi ci opera non mantiene un comportamento responsabile e consapevole, dal mio punto di vista quello che viene spesso chiamato “l’anello debole della Sicurezza” può trasformarsi nel suo punto di forza! 

Quali sono i progetti IT in ambito Sicurezza realizzati che hanno avuto un grande impatto in BAT? 

Lo scorso anno abbiamo lavorato molto alla realizzazione del Business Recovery Plan aziendale che attraverso la costituzione di un team multifunzionale per la gestione delle crisi ha definito la costituzione dei diversi team e dei relativi Piani per fronteggiare ogni emergenza. Personalmente sono stato Project Manager dell’IT Disaster Recovery Plan Project che ha implementato una soluzione per le applicazioni gestite nel Data Center italiano in grado di garantire la continuità del business nei tempi e nei modi emersi dalla Business Impact Analysis Aziendale. Alla fine del progetto è stato emozionante assistere ai test applicativi terminati col 100% di successo durante le verifiche della funzionalità della nuova infrastruttura.  

Quali saranno invece le nuove implementazioni?

Vede, anche Lei parlando di Sicurezza usa il termine “implementazioni” facendo riferimento probabilmente  a soluzioni architetturali e tecnologiche tralasciando aspetti organizzativi e comportamentali.Sto invece lavorando attualmente ad un progetto di awareness aziendale che coprirà tutti gli aspetti di Information Security, dall’IT Security alla Privacy alle regole dettate dalla Record Management Policy e aspetti di Sicurezza Fisica. E’ un progetto ambizioso che ci sta dimostrando quanto a volte le minacce alla Sicurezza possono essere causate da problemi di comunicazione molto più che da vulnerabilità dei sistemi. Non posso anticipare niente, ma utilizzeremo diversi canali di comunicazione per veicolare in maniera “leggibile” tutte quelle informazioni relative alle Policies e Procedure Aziendali cercando di renderle “interessanti” e (speriamo) non noiose. 

Dal suo punto di osservazione privilegiato come giudica i trend tecnologici più interessanti nel campo della security?  E quali sono le prossime minacce? 

Ormai da diversi anni si evidenzia  che le minacce più pericolose arrivano sempre dall’interno dell’azienda, dai cosiddetti insider, magari con qualche aiuto esterno anche molto ben organizzato. Guardo con estremo interesse agli studi psicologici del comportamento integrati con quelli di criminologia informatica e alle potenzialità che gli sviluppi di queste ricerche offrono in organizzazioni complesse e strutturate come la nostra. Le prossime minacce che mi preoccupano sono quelle a cui non ho pensato, ovvero la paura è sempre quella di tralasciare qualcosa nelle analisi delle criticità possibili e nella predisposizione per tempo delle adeguate contromisure. 

Recommend this article...