Nell’era della data economy e della democratizzazione dell’Information Technology c’è un cambiamento epocale che si prospetta per il CIO: occuparsi specificamente di data governance e fornire agli utenti aziendali gli strumenti tecnologici per gestire e analizzare i dati in autonomia. Come afferma Luca Seravalli, CIO di Duferco Energia (commercio di energia elettrica e gas nel mercato libero): “La data governance è un processo che coinvolge tutta l’organizzazione e mira a dare alle funzioni business gli strumenti per creare in maniera autonoma insight dai dati”. Ciò avviene “trasferendo la data ownership dall’IT al business, ma sempre lasciando all’Information Technology la governance su sicurezza e compliance”.
La data governance consiste nella definizione delle modalità con cui un’azienda gestisce i dati dalla nascita allo smaltimento. Si tratta di prevedere fin dall’inizio come le informazioni vengono raccolte, usate e condivise, come sono attribuite le responsabilità e distribuiti gli accessi, quali attività di monitoraggio vanno svolte e quali policy di conservazione e cancellazione saranno applicate.
“Tenere in ordine” i dati permette di “gestirli in modo efficace e agire a seconda della richiesta o della necessità, garantendo all’azienda la capacità di compliance, sicurezza, efficacia e competitività”, afferma Edoardo Venini, Consulente per la protezione dei dati e cybersecurity.
Governance dei dati: quando l’IT abilita il business
Per una società come Duferco Energia parlare di big data e data governance vuole dire andare dritto al cuore del business. Gli attori del mercato energetico retail gestiscono un’enorme mole di dati: quelli dei clienti, dei fornitori, dei dipendenti e dell’amministrazione quotidiana. A ciò si è aggiunto, di recente, l’input massiccio dei nuovi contatori elettronici (smart meter), che comunicano dati ogni quarto d’ora. In questo contesto si inserisce il progetto per la data governance di Duferco, che guiderà la sua trasformazione “da società con tanti dati a società data-driven”, come afferma il CIO Seravalli. Il piano si snoda in tre anni e si basa sulle linee guida dell’International Data Management Association (DAMA), organizzazione internazionale per la standardizzazione della governance dei dati.
“L’obiettivo è rendere le funzioni di business più consapevoli dei dati che maneggiano”, spiega Seravalli. “Nel tempo, l’IT non si occuperà più di preparare i report su richiesta, ma metterà a disposizione del business le sorgenti dati che poi ognuno userà per le analisi e gli insight, in autonomia”.
In questa nuova veste, l’IT diventa una sorta di abilitatore super partes che permette di sviluppare gli strumenti tecnologici in modo conforme e sicuro.
“L’IT si sta democratizzando, perché un bacino più ampio di utenti accede ai suoi strumenti, ed è quello che avviene anche da noi”, sottolinea Seravalli. “In questa fase lavoriamo sul dato come strumento di Business Intelligence e creiamo la nostra data governance. In un momento successivo ci sarà il passaggio all’uso del dato direttamente da parte del business, con l’IT che fornisce gli strumenti perché ciò avvenga in un ambiente sicuro”.
Il processo coinvolge l’intera organizzazione e il lavoro “è molto più di formazione e cultura che di tecnologie”, evidenzia il CIO. “Abbiamo il forte impegno del board, ma la trasformazione delle persone richiede i suoi tempi”.
L’intreccio con privacy e cybersecurity
Alla base di un progetto di data governance c’è sicuramente la classificazione e etichettatura dei dati. Questa preparazione preventiva rende possibile “istituire delle priorità di tutela e di intervento e, di conseguenza, strutturare opportuni piani di remediation a eventuali incidenti o situazioni”, evidenzia Venini. “Infatti, a seconda della tipologia di azienda, del suo settore e della sua specifica attività, alcuni dati sono più strategici o hanno più valore rispetto ad altri”.
Per InterStudioViaggi, per esempio, la protezione dei dati personali è uno degli obiettivi centrali dell’IT, come spiega Alessio Maffei, CIO & Communication Manager dell’azienda attiva nel settore dei viaggi di studio. Questo tour operator si occupa di viaggi di educazione, vacanze studio e programmi scolastici all’estero e, di conseguenza, gestisce una gran mole di dati di minori.
L’azienda utilizza una piattaforma IT specifica per i tour operator. Negli anni sono stati implementati anche dei sistemi trasversali al sistema informativo a supporto dei reparti operativi e dei clienti che quotidianamente vengono aggiornati e implementati dal team di sviluppo interno; ad esempio, le piattaforme di prenotazione e i sistemi di front-office e back-office. Questi sistemi permettono di collaborare con le altre aziende del gruppo in UK e USA.
“Questa macchina operativa è caratterizzata da picchi di carico in precisi momenti dell’anno e dall’esigenza di un trattamento dei dati molto attento”, indica Maffei. “La nostra società fa spostare circa 10mila passeggeri l’anno per i viaggi di istruzione e per noi la cybersicurezza e la compliance alle norme sulla privacy sono cruciali”.
Per affrontare a tutto campo i temi della cybersicurezza, l’azienda si è mossa su due direttrici: ampliamento delle competenze grazie alla collaborazione con una società di consulenza, e migrazione al cloud.
“Stiamo portando avanti una serie di evoluzioni tecnologiche dell’infrastruttura che, nell’arco dei prossimi tre anni, sfoceranno nella piena implementazione di un cloud privato”, afferma Maffei. “Questo ci permetterà di rafforzare la protezione dei dati, mitigare i rischi di attacchi e rispondere a ogni eventuale minaccia in tempo reale”.
Un’infrastruttura di cloud privato assicura il monitoraggio costante, l’affidabilità totale dei sistemi e la ridondanza su più siti, con backup su più aree geografiche e supporto gestito in house. Come fornitore e partner, il CIO di InterStudioViaggi ha proposto “un cloud provider con sede a Milano, che è specializzato in cybersicurezza”, rivela Maffei. Sulla protezione perimetrale, invece, è stato scelto il firewall di Palo Alto, “che risponde alle nostre esigenze di protezione rafforzata”.
La data governance nel cloud e i compiti del CIO
La migrazione nel cloud comporta alcune modifiche nella data governance di cui occorre tenere conto, evidenzia Venini.
“Rispetto a una gestione in-house, il cloud semplifica e automatizza alcuni aspetti e alcune responsabilità si trasferiscono al fornitore: ci sono dei Service Level Agreement (SLA) che, se non rispettati, portano ad individuare una responsabilità del provider”, afferma Venini. “Tuttavia la responsabilità della configurazione degli strumenti che il provider fornisce è in capo all’azienda, sia per motivi di compliance – che varia nei diversi mercati – che per le differenti necessità di business”. Per esempio, un fornitore cloud può offrire sistemi di autenticazione robusti come quello a più fattori, ma è responsabilità dell’azienda decidere di implementarla e, se non lo fa, ne sosterrà le conseguenze. Lo stesso vale per i sistemi di cifratura.
D’altro lato, il cloud presenta dei rischi o, comunque, degli scenari che devono essere valutati dal CIO, (insieme al CISO, quando i ruoli sono distinti) e al DPO (Data protection officer).
“I dati in cloud sono più facilmente condivisibili”, osserva Venini, “quindi, per esempio, le policy di sharing devono essere ben determinate e costantemente monitorate. Inoltre, devono essere valutate le misure di sicurezza disponibili per i servizi che ci si propone di adottare e va considerata la giurisdizione a cui sono sottoposti i provider. Pensiamo ai sistemi di archiviazione in cloud: potrebbe essere opportuno bloccare la condivisione di alcune risorse o impostare degli alert per segnalare eventuali scostamenti dalle policy”.
Anche questi sono compiti che fanno capo al CIO, di concerto, solitamente, con il CISO e il DPO. “È fondamentale che queste figure collaborino”, afferma Venini. “Se non c’è scambio e confronto, l’azienda è più esposta”.
Serve anche il coinvolgimento dell’intero top management: le scelte delle policy, delle tecnologie e dei servizi hanno un costo in termini economici e di adattamento culturale. Il Chief Information Officer, di conseguenza, deve dimostrare il valore concreto delle opzioni che propone per la data governance e “motivare” gli executive, spiegando come le azioni suggerite agevolano la gestione e il controllo, mitigano in modo più efficace i rischi e permettono di estrarre valore dalla gestione dei dati.
CIO, Data Governance, Data Management