L’avviamento di progetti di trasformazione digitale porta con sè ricadute importanti sulle infrastrutture tecnologiche delle aziende, sotto diversi aspetti. La convivenza fra componenti on-premise e workload migrati in cloud si abbina a scelte che possono andare in direzioni come l’adozione di architetture a microservizi o di strumenti di monitoraggio più evoluti, ma anche la definizione di una strategia  dy cybersecurity che tenga conto del perimetro allargato oggi da presidiare.

Di questi temi e di come sono calati in una realtà come Snam, abbiamo parlato con Giorgio Veronesi, Executive Director ICT – Innovation & Digital Technologies e Massimo Cottafavi, Director Cyber Security & Resilience.

Nell’ambito del percorso di trasformazione digitale che avete eventualmente intrapreso, quali sono gli elementi sui quali vi siete concentrati e gli ambiti aziendali maggiormente coinvolti?

Veronesi: Nel definire gli aspetti di trasformazione dobbiamo partire da una riflessione attenta su ciò che abbia più o meno senso portare in cloud e metterlo in relazione con la vicinanza a macchine e persone. Questo trade-off fra efficienza e prossimità è l’elemento cardine dei processi decisionali di aziende come la nostra che gestiscono anche infrastrutture critiche per il paese. Noi abbiamo deciso di portare avanti entrambe le linee. Il cloud è stato adottato laddove le operations e la complessità lo richiedono oppure dove sono presenti servizi adatti, come nel caso di tutti i servizi che vengono forniti agli impiegati. Molte attività però human-centric e mission critical, su tutte la manutenzione degli impianti, poggiano ancora su infrastrutture on-premise.

Il mutamento di scenario e l’adozione, ad esempio, di architetture containerizzate e a microservizi, hanno comportato una revisione delle strategie di protezione dei sistemi?

Cottafavi: Quando abbiamo deciso di adottare queste tecnologie è stato anche ribaltato il modello di verifica delle vulnerabilità. Siamo passati dal classico approccio Waterfall, in cui le verifiche arrivano ex post appena prima o addirittura durante il rilascio, a quello più tipicamente security by design. Abbiamo anticipato con questo modello l’arrivo della containerizzazione e oggi esso viene applicato trasversalmente in tutti gli ambiti, dalle applicazioni corporate per arrivare a oggi anche a quelle OT. Questo approccio consente di mettere subito in evidenza eventuali vulnerabilità che non fossero state considerate in anticipo.

Un tema storicamente delicato per chi gestisce le infrastrutture tecnologiche riguarda l’aggiornamento degli ambienti operativi. Come avviene il processo di patching e la relativa la manutenzione per i sistemi e le applicazioni business critical?

Veronesi: Abbiamo fatto un grosso lavoro di allineamento con tutti i nostri fornitori e mettere così a punto un modello che ci consente di tenere aggiornati tutti i nostri ambienti operativi e le applicazioni. Si tratta di un percorso in essere, ancora un po’ complesso per la presenza di sistemi legacy, ma stiamo lavorando per essere progressivamente sempre più puntuali.  Il grosso dell’attività si basa su processi di aggiornamento che hanno una valenza periodica, integrati da interventi on call richiesti soprattutto dalla struttura di cybersecurity in presenza di vulnerabilità che non è possibile o accettabile lasciare in essere fino alla scadenza del successivo ciclo di patch.

Avete sentito l’esigenza di adottare specifiche certificazioni e relative strategie per poi rispettarle?

Cottafavi: Sicuramente uno stimolo forte deriva dai vincoli normativi negli ultimi anni. Noi ci dobbiamo confrontare con ciò che attiene al Perimetro di Sicurezza Nazionale Cibernetica e dalla metà del prossimo anno affronteremo anche la scadenza di adozione della direttiva NIS2. Tuttavia, non vediamo in queste normative particolari complessità rispetto a come ci stiamo già posizionando, ma semmai consentono di fare ordine e attribuire le corrette priorità. Di sicuro, la certificazione deve essere un volano di allineamento e non un paravento per poi non seguire un percorso virtuoso e vigile.