Negli ultimi anni si è ampiamente discusso di gestione e affidabilità degli asset (macchinari, impianti, beni ecc), in primo luogo per ragioni di sicurezza, rispetto dell’ambiente, e naturalmente anche per motivi economici.
I motivi economici hanno dato un forte impulso al miglioramento ed alla ottimizzazione della gestione degli asset; infatti, la crisi economica del settore industriale ha messo al centro delle strategie aziendali la riduzione dei costi ed il miglioramento delle performance come una condizione fondamentale di sopravvivenza. Un guasto non solo genera costi per il ripristino ma causa perdite ben più alte per il mancato profitto dovuto alla mancata produzione.
Una gestione strutturata ed integrata del proprio asset che includa politiche di manutenzione secondo le best practices, strumenti software, persone con adeguato know how, è oggi considerata uno degli aspetti più importanti per la riduzione dei costi ed il miglioramento della efficienza operativa, in altre parole, un requisito fondamentale per migliorare i propri margini operativi.
Con asset strategy si definisce un processo continuo che richiede un costante loop di attività, come:
- Allineare gli obiettivi di asset management agli obiettivi di business
- Catalogare in maniera sistematica l’asset tramite strumenti adeguati
- Evidenziare i rischi di un guasto
- Gestire ed implementare una strategia per le priorità sugli interventi manutentivi
- Implementare le azioni per mitigare i rischi
- Monitorare e verificare i risultati delle azioni implementate
- Rendere il processo di gestione chiaro e visibile.
Per questo esistono diversi approcci e soluzioni nonchè modelli organizzativi, per realizzare quello che potremmo definire una robusta politica di asset strategy aziendale.
Da responsabile dei sistemi informativi aggiungo che, in tutto ciò, il mondo ICT fornisce un supporto strategico ed essenziale grazie all’implementazione dei Sistemi di APM, ERP, ecc.
La tecnologia IoT (Internet of Things) fornisce nuove oppurtunità: sensoristica e strumentazione a costi più bassi che può essere utilizzata per tantissimi scopi anche, ad esempio, per migliorare la “predictive maintenance”. Gli ingegneri di manutezione hanno accesso a molti più dati ed informazioni di un tempo grazie anche ad una maggiore integrazione tra campo (il “ferro”) e sistemi gestionali (software) tale da cambiare il modo di pensare la manutenzione. Enormi quantità di dati richiedono capacità e strumenti adeguati per essere gestiti ed inoltre ci si deve anche preoccupare del buon funzionamento di tutto HW e SW insieme.
Purtroppo, se da un lato la tecnologia offre maggiori strumenti per monitorare e migliorare la gestione dei nostri impianti, dall’altro introduce una nuova complessità legata ai guasti o failure sui sistemi software, sui sensori, sulla strumentazione di nuova generazione ecc. A rendere più complesso tale fenomeno vi è il fatto che spesso tali “anomalie” possono essere causate da attacchi informatici (ad oggi si stimano circa 80.000 “cyber attack” al giorno nel mondo. A livello mondiale gli attacchi di cyber crime sono cresciuti del 9,8% Rapporto Clusit 2017”).
La sicurezza informatica assume, quindi, un ruolo fondamentale nella policy di asset strategy poichè ha un impatto sulle performance aziendali e sulla loro efficienza e, di conseguenza, sulla generazione di valore per l’azienda.
Quando pensiamo alla nostra asset strategy dobbiamo allargare lo scopo dell’ analisi ed includere elementi nuovi: “failure SW”. Una buona strategia non terrà conto solo della struttura e dello stato di buona salute dei nostri impianti; dovrà includere una valutazione ed una strategia finalizzata alla protezione da attacchi e minacce di tipo “informatico” che pregiudicano il buon funzionamento operativo. Gli attacchi vengono sferrati in molti modi diversi. In alcuni casi, malintenzionati si introducono nei server web per carpire i dati contenuti nelle banche dati, altri sono in grado di attaccare i sistemi di controllo degli impianti di produzione per sabotare la produzione.
Pensiamo a cosa è successo nel mondo negli ultimi mesi, con malware che hanno bloccato interi siti produttivi con ingenti danni economici.
Lo scorso aprile, per esempio, un’emittente francese ha subito un attacco hacker che ha messo fuori uso undici stazioni televisive. Un simile destino era già toccato nel 2012 ad una importante compagnia petrolifera, che ha dovuto interrompere le proprie attività per una settimana (con una conseguente rilevante perdita economica).
Questi esempi dimostrano che una protezione dei sistemi informatici contro virus e cavalli di Troia basata esclusivamente su software di protezione ormai non è più sufficiente: per avere una protezione informatica efficace ed efficiente occorre una strategia di protezione che allarghi il perimetro all’intera azienda.
Tali attacchi, peraltro, sono in aumento nel 2016 l’Italia è stata fra i paesi più colpiti al mondo. Non era mai successo che il nostro paese rientrasse nella top ten degli attacchi più gravi registrati e che si distinguesse per numero di vittime.
Sono i primi dati che emergono dal Rapporto Clusit 2017, realizzato dall’Associazione Italiana per la Sicurezza Informatica in collaborazione con Fastweb, Akamai e IDC Italia.
In questo scenario, si sono mosse anche le compagnie assicurative le quali lanciano warning importanti, avvisando gli utenti che non sono disposte a coprire danni causati da virus o attacchi informatici.
Uno studio fatto in America ha evidenziato, infatti, che a fronte di ogni dollaro perso a seguito di attacchi informatici la disponibilità assicurativa per riparare al danno ammonta a 0,005 dollari. L’anno scorso negli Stati Uniti è stata registrata una perdita di 450 miliardi di dollari a causa del cyber risk. In risposta a tale perdita il settore assicurativo ha avuto a disposizione solo 2,5 miliardi di dollari per coprire i danni», confermando così che per ogni dollaro perduto la copertura disponibile si ferma ben al di sotto di un centesimo di dollaro.
In Europa i problemi sono analoghi, anche se l’introduzione dal 2018 del Regolamento generale europeo sulla protezione dei dati contribuirà ad armonizzare le norme sulla privacy dei dati personali, fornendo la cornice normativa per rafforzare la protezione e la riservatezza dei dati. Una novità, insomma, destinata a concorrere nella prevenzione della vulnerabilità informatica delle aziende e delle istituzioni.
L’asset strategy aziendale deve, quindi, avere un nuovo paradigma: nella lista dei beni va incluso non solo il ferro ma anche il SW e la lista dei rischi deve includere anche le cause di failure legate al software ed agli attacchi che esso potrebbe subire. Lo stato di salute di un azienda si vede dalla capacità di mantenere e gestire tutte le sue componenti anche quelle ICT.
Il buon funzionamento di un impianto ha diverse facce e quella ICT (in senso lato, se si includono anche i controlli avanzati) è fondamentale proprio in virtù delle problematiche dei “cyber attack”. Quanto esposto può sembrare ovvio, ma in molte aziende si fa fatica a considerare l’asset ICT come parte integrante e strategico del ciclo produttivo. Gli ingeneri di manutenzione si preoccupano di meccanica, problemi di affidabilità dovuti a guasti, mentre raramente ci si preoccupa dei rischi legati ad attacchi informatici.
Quindi, quando si implementa una “ACA” (Asset Criticality Analysis) nell’elenco dei rischi occorre riportare anche quelli legati alle anomolie ICT dovuti a malfunzionamenti oppure ad attacchi informatici.
Giorgio Melilli, Chief Information Office, ISAB Srl
