A cura di Gian Paolo Baranzoni - GdS Innovazione AFI
Lo dico: sono un “marziano” e mi sono affacciato al mondo dell’Information Technology il secolo scorso. Vedo le cose, quindi, da un altro punto di vista: quello di chi si è reso conto della continua evoluzione e trasformazione dei sistemi informativi e di quanto oggi impattino sulla nostra vita lavorativa e privata. Trasformazione tecnologica continua, aumento della numerosità dei componenti, perimetro informativo più ampio, finestre operative diversificate, servizi sempre attivi, utenti perennemente connessi che necessitano o richiedono una continua attenzione per assicurare il mantenimento dei livelli di servizio richiesti dai propri clienti. Perché l’Information Technology è un servizio, che fornisce e mantiene attivi tutti/buona parte di quelli utilizzati dal resto della popolazione aziendale. E come tutti i servizi va governato, correttamente, secondo gli specifici ambiti all’interno del quale opera.
Per potere fare ciò si necessita di una chiara comprensione del contesto (cfr. ISO-9001 Cap 4), fondamentale per poter agire. Se non comprendiamo chiaramente dove ci troviamo, cosa facciamo e dove lo facciamo, quali norme e linee guida dobbiamo rispettare, a cosa serve ciascun servizio, con quali strumenti e insieme a quali provider, come possiamo pensare di governare l’Information Technology? Se non conosciamo il livello di riservatezza delle informazioni, chi le tratta e dove vengono gestite; se non sappiamo quali impatti possono avere sulla loro integrità; se ignoriamo le reali esigenze di disponibilità degli utenti rispetto alle informazioni elaborate dall’infrastruttura che sostiene i servizi offerti, come possiamo definire una governance coerente con le aspettative? Dove per governance si intende che in ogni momento abbiamo/possiamo avere la situazione puntuale dello stato di efficienza della infrastruttura che governiamo.
Come fare, quindi, per affrontare questa situazione? Nel mondo dell’Information Technology è possibile trovare tutta una serie di guidelines che aiutano a identificare cosa fare: il come lo dobbiamo sempre definire noi in base al contesto nel quale si opera. Nel settore IT non parliamo di ALCOA, che fonda le sue radici sul dare credibilità ai dati digitali nei sistemi informativi degli anni ’90, ma di ISO-27001, che si basa sulla sicurezza logica e fisica di dati e informazioni, che possono anche essere cartacee ma sempre frutto di un sistema informativo e che ha visto la luce nel 2005. Parlo, quindi, di Business Continuity, di Business Impact Analysis dei servizi, di Cyber Security e di quali processi strumenti implementare per permettermi una Business Continuity in Security dei miei servizi e di conseguenza dei nostri dati. Se pensiamo a quale rivoluzione tecnologica abbiamo assistito in quel lasso di tempo, ci rendiamo conto che se nel 1990 era una necessità ora è un concetto “vintage”: se pensiamo che sull’ALCOA si fondano le basi della Data Integrity, a mio modesto parere è come parlare di viaggi spaziali con qualcuno che non conosce i sistemi computerizzati.
Nel mondo dell’Information Technology regolato, quindi farmaceutico, è necessario che vengano introdotti tutti i concetti e gli strumenti necessari ad avere sotto controllo tutto il parco informativo dell’azienda, il completo monitoraggio dell’intera componente infrastrutturale che supporta, gestisce e distribuisce il patrimonio informativo. L’ICT lo governa in toto, non solamente la componente GxP. Quest’ultima è importante e va trattata e governata secondo regole e processi strutturati e dimostrabili, ma è solo una parte del patrimonio informativo aziendale e non può essere enucleata da esso o governata su carta, una modalità operativa decisamente superata.
