Un server di file che cade un lunedì mattina, tre collaboratori bloccati su un software aziendale obsoleto, una fattura cloud che raddoppia senza spiegazione: si incontrano queste situazioni nella maggior parte delle PMI che non hanno strutturato il loro ambiente informatico. Prima di parlare di trasformazione digitale o innovazione, è necessario risolvere questi irritanti concreti. Le soluzioni informatiche adatte a un’azienda non iniziano con un catalogo di tecnologie, ma con una diagnosi dei blocchi operativi.
Inventario crittografico: un cantiere tecnico che nessuno pianifica
La maggior parte dei contenuti sulle soluzioni informatiche per le aziende parla di cloud, cybersicurezza o outsourcing. Nessuno affronta un argomento che inizia a pesare nelle decisioni architettoniche: la preparazione ai rischi post-quantistici.
Leggi anche : Scopri come esternalizzare la gestione informatica della tua azienda in tutta serenità
Il NIST e il BSI raccomandano alle aziende di avviare un inventario dei loro sistemi di crittografia. L’obiettivo è identificare i dati che necessitano di una protezione a lungo termine (contratti, brevetti, dati medici) e individuare gli algoritmi che diventeranno vulnerabili quando i computer quantistici raggiungeranno una potenza sufficiente.
Concretamente, si parla di censire ogni certificato SSL, ogni tunnel VPN, ogni meccanismo di firma elettronica utilizzato nell’azienda. La migrazione verso schemi crittografici post-quantistici richiederà diversi anni. Iniziare questo inventario ora, anche su piccola scala, evita di trovarsi in situazioni di emergenza in seguito.
Leggi anche : Soluzioni digitali innovative per potenziare la trasformazione digitale delle imprese
Questo tipo di cantiere tecnico si integra in una riflessione globale sull’infrastruttura. Facendosi supportare da soluzioni informatiche di Digitale Naïve, un’azienda può strutturare questo approccio senza mobilitare un team di sicurezza interno a tempo pieno.
Privacy by design: integrare il GDPR sin dalla progettazione del sistema informativo
Spesso si installano prima gli strumenti, poi ci si chiede se siano conformi al GDPR. Questo approccio è costoso in termini di correzioni. Le guide GDPR più recenti insistono su un principio semplice: integrare la protezione dei dati sin dalla fase di progettazione, non dopo la messa in produzione.
Analisi d’impatto prima del deployment
L’analisi d’impatto relativa alla protezione dei dati (AIPD) deve avvenire prima di implementare un nuovo software aziendale, un CRM o una piattaforma di gestione documentale. Essa identifica i rischi per le persone interessate e obbliga a documentare le misure di riduzione.
Per una PMI, ciò significa porre tre domande prima di ogni progetto IT:
- Quali dati personali raccoglierà questo sistema e possiamo ridurne il volume al minimo necessario (minimizzazione)?
- Dove saranno archiviati questi dati e i trasferimenti al di fuori dell’UE sono regolati da clausole contrattuali conformi?
- Chi avrà accesso ai dati e i diritti di accesso sono configurati di default al livello più restrittivo?
Cosa cambia nella scelta di un fornitore
Un fornitore informatico che non pone queste domande in anticipo non integra il privacy by design. Il criterio di conformità al GDPR deve figurare nel capitolato, allo stesso modo delle prestazioni tecniche o del costo della licenza.
I feedback variano su questo punto: alcune aziende ritengono che il loro fornitore gestisca automaticamente la conformità, mentre la responsabilità legale rimane sempre quella del titolare del trattamento.
Confidential computing: trattare dati sensibili senza esporli
Le aziende regolamentate (sanità, finanza, settore pubblico) condividono una comune restrizione: manipolano dati sensibili che non devono mai essere accessibili in chiaro, nemmeno durante il loro trattamento. Le offerte di infrastruttura integrano sempre più enclavi hardware sicure, raggruppate sotto il termine “confidential computing”.
Il principio: i dati sono crittografati non solo a riposo e in transito, ma anche durante il loro utilizzo in memoria. Il processore crea una zona isolata alla quale né l’amministratore di sistema né il fornitore cloud hanno accesso.
Per un’azienda che ospita cartelle pazienti o transazioni finanziarie, questa tecnologia elimina un vettore di attacco principale. Non ci si fida più del fornitore sulla parola, ma ci si basa su un’isolamento hardware verificabile.
Quando il confidential computing diventa pertinente
Tutte le aziende non ne hanno bisogno. Diventa pertinente quando si spuntano almeno due di questi criteri:
- Il sistema informativo tratta dati sanitari, dati finanziari o dati classificati da un quadro normativo settoriale
- L’azienda utilizza un cloud pubblico e non controlla fisicamente i server sui quali transitano i suoi dati
- Partner esterni accedono a set di dati condivisi per analisi o reporting, senza che si possa controllare i loro ambienti
Il costo d’ingresso rimane più elevato rispetto a un’infrastruttura cloud classica, ma la riduzione del rischio legale giustifica l’investimento per i settori interessati.
Gestione del sistema informativo: decidere tra software standard e sviluppo su misura
Spesso si contrappongono le soluzioni software “pronte all’uso” agli sviluppi su misura come se la scelta fosse binaria. In pratica, la maggior parte delle aziende combina entrambi.
Un ERP di mercato copre la contabilità, la gestione delle scorte, la fatturazione. Non copre necessariamente un processo aziendale specifico, come la tracciabilità di un prodotto artigianale o la gestione di pianificazioni complesse nel settore socio-sanitario. In questi casi, un modulo su misura collegato all’ERP standard costa meno di uno sviluppo completo, pur rispondendo al bisogno reale.
Il classico tranello: ordinare un software su misura integrale quando una configurazione avanzata del software standard sarebbe stata sufficiente. Prima di avviare uno sviluppo, si guadagna tempo a far auditare il perimetro funzionale reale da un fornitore indipendente dal futuro sviluppatore.
La scelta tra standard e su misura dipende anche dalla capacità dell’azienda di mantenere la soluzione nel tempo. Un software su misura senza documentazione né contratto di manutenzione diventa un rischio operativo fin dal momento in cui la persona che l’ha progettato lascia. La questione della sostenibilità pesa tanto quanto quella della funzionalità.