area-press.eu

Tag: Opinion Paper

  • Quando lo sviluppo professionale del singolo diventa il fattore chiave del successo collettivo: una sfida per l’HR.

    Le tensioni sul mercato del lavoro spingono il dipartimento delle risorse umane a reinventarsi implementando nuove metodologie per attirare e legare talenti all’azienda. In un mercato sempre più competitivo, gli operatori economici stanno investendo un numero considerevole di risorse per incrementare l’attrattività del loro brand quale datore di lavoro. In tutto questo emerge chiaramente una nuova priorità: il concetto di benessere e sviluppo professionale del singolo.

    A tal proposito, i team delle risorse umane svolgono un ruolo essenziale. Già nel 2016 l’indagine Cegos aveva messo in evidenza una delle qualità che gli impiegati si aspettano dalle HR: il saper ascoltare (65%), ciò rende imperativa non solo la relazione con gli impiegati ma anche l’integrazione di una componente più “emozionale” in tale relazione.

    L’obiettivo è quello di dar vita ad un’esperienza collaborativa genuina. Allo stesso modo in cui ci si cura della ´user experience´, bisognerebbe occuparsi della ´employee experience´, ossia di assicurarsi che i dipendenti possano vivere momenti speciali nell’azienda permettendo loro di sfruttare appieno il loro potenziale nel raggiungimento di un obiettivo comune.

                       Sylvie Blondel, Human Resources Director – Stormshield

    “Una realtà genuina quindi, risultato di uno sforzo quotidiano, e non di una trovata marketing per attirare nuovi talenti”, spiega Sylvie Blondel, Stormshield HR Manager, che ricorda l’importanza di essere consapevoli che donne e uomini, quali individui e non solo come impiegati, sono la nuova risorsa chiave di ogni azienda responsabile e di successo. “È nostro compito, quale dipartimento HR, costruire le basi per il loro sviluppo professionale, individuale come collettivo” conclude Blondel.

    Le tre colonne portanti dell’engagement degli impiegati

    Presentare un progetto chiaro, condivisibile da tutti, che dia uno scopo allo staff.

    Un sondaggio condotto da Deloitte su un campione di 2300 persone alla fine del 2017  conferma la rilevanza del bisogno di avere uno scopo (87% degli intervistati). Dare un senso al lavoro che si svolge è visto dalla maggioranza degli intervistati come un obiettivo comune, ma è importante non dimenticarne la ricaduta sul lavoro quotidiano del singolo. Per queste ragioni, il concetto di “brown-out” – ancora poco conosciuto da dirigenti e team HR – va preso sul serio.

    Rispettare l’individualità, riconoscendo al singolo il diritto di essere sé stesso

    È di vitale importanza che le aziende prendano in considerazione i fattori che motivano i propri impiegati al fine di creare le condizioni necessarie alla generazione di un tale coinvolgimento individuale, senza limitarsi a dettare un singolo approccio in maniera compulsiva, che sia l’innovazione, un sistema di conduzione manageriale aperto, l’implementazione volontaria dello smart working, o altro. Lo studio annuale “Family and Business” di Viavoice, pubblicato in ottobre 2017, offre ottimi spunti: il 68% degli intervistati considera particolarmente rilevante il problema dell’equilibrio tra lavoro e famiglia, indirizzabile primariamente riconsiderando gli orari lavorativi al fine di adattarli ai limiti del singolo. “Occuparsi degli altri” assume il suo pieno significato in questo contesto, diventando anche una compentenza critica di cui il dipartimento delle risorse umane deve essere dotato.

    Rispettare gli impegni e mantenere una relazione a lungo termine con gli impiegati

    Ancora una volta, lo studio Cegos evidenzia le aspettative degli impiegati nei confronti del reparto delle risorse umane: rispetto degli impegni (65%) e integrità morale (61%).

    In pratica, quasi un’invocazione all’abilità dell’azienda di rispettare gli impegni presi in fase di assuzione, fornendo l’esperienza lavorativa paventata e adempiendo quindi al contratto morale con l’impiegato, rispettandone i valori decantati.

    In generale, non ci sono studi che misurino la correlazione matematica tra il benessere e la prestazione lavorativa. Tuttavia, l’infelicità sul posto di lavoro e, in particolare, lo stress sono responsabili di oltre il 50% dei casi di assenteismo. Già questo dato dovrebbe attirare la nostra attenzione.

    Quanto illustrato dimostra che le persone sono il fulcro della produttività aziendale. Senza voler dipingere un quadro troppo roseo della felicità sul posto di lavoro, dare agli impiegati l’opportunità di un’esperienza lavorativa che li porti “al livello successivo”, può fare una grande differenza, se sono circondati a lungo termine da team leali e entusiasti con cui collaborare a progetti condivisi a cui ognuno partecipa.

    Tuttavia, questo non significa che gli impiegati debbano essere elevati al grado di re. Le esigenze di risorse umane e management devono essere inserite in quest’equazione, al fine di mantenere l’equilibrio tra gli interessi individuali e quelli collettivi, quindi una relazione favorevole ad uno sviluppo professionale individuale che contribuisca effettivamente alla prestazione collettiva.

  • Trasmissioni, scommesse, partite: cosa succederebbe se gli hacker prendessero il controllo dei Mondiali di calcio?

    Anche in occasione del 21° mondiale di calcio di cui si sono già disputate le prime partite la maggior parte delle sfide avranno luogo nel mondo “reale”, in Russia, tuttavia non sono le uniche! Alcune “partite” si giocheranno anche nel mondo virtuale: che siano essi adibiti alla gestione delle trasmissioni, di piattaforme di scommesse o alla vendita di biglietti, anche i sistemi IT necessitano di una difesa ben schierata.

    Come avviene con tutti gli eventi sportivi di portata globale, anche la Coppa del Mondo di calcio rappresenta un’ottima occasione per riunire i fan di questo sport ma non solo, è anche palcoscenico di tensioni tra i governi, come dimostrato dalle recenti questioni tra Russia e Ucraina. La principale differenza tra le partite sull’erba e gli attacchi virtuali è che gli hacker di solito fanno attenzione a non mostrare i loro colori: l’obiettivo è di lasciare il minor numero possibile di tracce. Le attribuzioni sono un gioco politico piuttosto che una questione di IT; ci vuole “naso” per distinguere le impronte digitali reali da quelle fasulle lasciate di proposito dagli attaccanti.

    I fornitori di connettività, gli operatori televisivi e persino i router xDSL sono potenziali bersagli per raggiungere un obiettivo, che non è tanto quello di creare scompiglio tra gli spettatori interrompendo le trasmissioni quanto piuttosto quello di screditare il Paese organizzatore cagionando interruzioni del servizio di infrastrutture critiche come ospedali o reti stradali. La Russia farebbe così (ancora) notizia in ambito cyber …

    Trasmissioni televisive: l’annosa questione dei diritti sulle informazioni

    Qualsiasi trasmissione di una partita di calcio è esposta al rischio di pirataggio o manomissione: i cybercriminali possono limitarsi ad un semplice blocco “improvviso” del segnale (un po’ come quando Amélie Poulain staccava l’antenna del vicino per vendicarsi) fino ad attacchi molto più estesi, quasi di scala industriale. La questione è complessa: è necessario poter trasmettere informazioni, ma non troppo, fornire un servizio ai clienti (in caso di caso di canali “premium”) ma assicurarsi che gli stessi non possano abusare del segnale televisivo che ricevono per condividerlo con terzi.

    Come ci si può difendere da tale pratica? Come si codificano i dati da trasmettere? Un qualsiasi utente con cattive intenzioni (o troppo buone, a seconda del punto di vista) può mettere le mani su un flusso televisivo in chiaro e inoltrarlo altrove. Un rischio che rimanda alla gestione dei diritti televisivi digitali: come garantite che qualcuno che sta guardando una trasmissione “premium” non cifrata non possa ritrasmetterla? Diversi operatori televisivi premium per quest’anno hanno optato per la fruibilità gratuita dei propri programmi sportivi, per vanificare sul nascere eventuali tentativi di pirataggio. Questa scelta però implica la necessità di identificare altre fonti di guadagno (attraverso contenuti aggiuntivi o pubblicità).

    Piattaforme di scommesse e mercato nero: l’integrità dei dati è fondamentale

    La sfida principale nella commercializzazione dei biglietti per via elettronica non è tanto la riservatezza dei dati, quanto la disponibilità del servizio e l’autenticità di quanto venduto. Come la precedente Coppa del Mondo in Brasile, anche il torneo di quest’anno è stato oggetto di massicce campagne di phishing atte alla vendita di biglietti fasulli. In combinazione con attacchi denial of service (DoS), la situazione potrebbe diventare esplosiva: se un sistema di accesso allo stadio non fosse in grado di distinguere i biglietti veri da quelli falsi si potrebbero generare gigantesche code all’ingresso dando luogo a problemi di sicurezza molto reali. Per assurdo, provate ad immaginare lo spettacolo che offrirebbe al mondo lo svolgimento delle semifinali o delle finali in uno stadio quasi vuoto, con la maggior parte degli spettatori bloccati ai cancelli … O giornalisti sportivi relegati alle loro sale stampa senza connessione a Internet. Ecco perché i dati devono essere protetti da firewall, essere ospitati su infrastrutture ridondate e ripristinabili tramite backup operativi, anche senza accesso a Internet.

    La questione dell’integrità dei dati non dovrebbe ovviamente essere trascurata: è importante sapere se la persona giusta è in possesso del giusto biglietto. Ma dal momento che questo tipo di frode elettronica ha conseguenze meno disastrose, il problema dell’integrità ha una priorità inferiore rispetto a quello della disponibilità del servizio. L’aspetto della Coppa del Mondo in cui l’integrità dei dati è più critica, sono le piattaforme di scommesse: come assicurarsi che le vincite vadano alla persona giusta, a colui che ad esempio ha avuto l’intuizione di pronosticare l’improbabile gol con cui l’Islanda è riuscita a pareggiare con l’Argentina? Ovviamente è possibile cifrare le informazioni e in questo caso, in particolare, utilizzare la tecnologia delle firme crittografiche per assicurarsi che il pronostico sia stato inserito dalla persona giusta (il sito di scommesse, non l’hacker), al momento giusto (preferibilmente prima del gol!), e che il denaro venga poi versato nel modo giusto attraverso una transazione bancaria.
    A differenza dei sistemi che privilegiano la disponibilità dei dati / servizi, ad esempio con i biglietti, in questo caso l’integrità dei dati prevale sulla disponibilità – non ha senso continuare ad utilizzare una cassaforte una volta depredata. Su un sito di scommesse online è quindi necessario assicurarsi che le scommesse siano archiviate in luoghi protetti dagli attacchi, non necessariamente con sistemi ridondati o tramite back-up ma con misure per la protezione completa della rete che combinino crittografia, parole chiave, firewall e un sistema di analisi automatizzato per identificare comportamenti fraudolenti all’interno del flusso di dati.

    E le partite?

    All’interno dello stadio, mentre i telecronisti sportivi hanno bisogno di un collegamento per farci vivere l’azione dal vivo, i furgoni preposti alla trasmissione della partita, con le loro enormi antenne montate sul tetto, sono per lo più autonomi e collegati direttamente ai satelliti. A meno che qualcuno non sia fisicamente lì a dirottare il segnale del furgone – e riesca a non farsi prendere – è improbabile che si possa hackerare il satellite nel pieno della trasmissione del match.

    Almeno sul campo, tutti possono stare tranquilli. Per il momento, la probabilità che gli hacker manipolino in tempo reale il VAR (video assistant referee) del tiro di Gignac finito contro il palo in un gol contro il Portogallo è ancora fantascienza. E anche un VAR integralmente manomesso non potrà certo far credere che Sergio Ramos possa deviare con il pensiero il gol della squadra avversaria – ci sono (teoricamente) ancora persone reali con il compito di verificare ogni dettaglio.

    E facendo attenzione a semplici regole di comportamento nel mondo digitale, anche i giocatori dovrebbero essere al riparo dai tentativi di destabilizzazione: il governo britannico si è persino spinto al punto di informare il team inglese sui rischi di attacchi informatici ai danni dei loro smartphone o delle console di gioco! Finché i giocatori non saranno androidi hackerabili da remoto, si può ancora sperare di vedere una partita condotta lealmente.

    L’anello debole della catena, al momento, è e rimane la ritrasmissione della partita, non quella dal furgone, ma dalla casa del telespettatore. Una volta diffuso il match i contenuti audio o video restano indisponibili per poco tempo al di fuori del mercato tradizionale. Assicurarsi che una o anche dieci persone di fiducia si attengano ai vincoli di confidenzialità è una cosa, aspettarselo da parte di centinaia di milioni di spettatori è un’utopia.
    Ma è davvero questo il problema più serio? Il 20 maggio scorso, Michel Platini ha dichiarato che la Coppa del Mondo del 1998 è stata manipolata dai suoi organizzatori per evitare una partita tra Francia e Brasile prima della finale. E se, per il prossimo Mondiale tra quattro anni lasciassimo organizzare l’evento all’Intelligenza Artificiale e agli umani giusto il gioco sul campo?

    (altro…)

  • Quando la sicurezza delle Unified Communications passa per il telefono IP

    Quando si valuta l’implementazione di una nuova piattaforma per le Unified Communications è necessario soppesare il livello di sicurezza garantito sia dalla soluzione sia dai terminali IP: mettere tutto sotto chiave non rende l’infrastruttura più sicura, soprattutto se la chiave è alla portata di chiunque.

    Nelle aziende l’adozione di una piattaforma di Unified Communications altamente integrata con l’infrastruttura IP e le applicazioni di rete deve necessariamente prendere in carico una grande sfida: tutelare le conversazioni interne e esterne contro eventuali intercettazioni e proteggere lo scambio di dati tra la soluzione UC, i terminali e le applicazioni condivise, come i CRM. A differenza del passato, oggi i criminali possono sedere comodamente al proprio PC e con appositi strumenti accedere via internet ai sistemi VoIP, intercettare le chiamate e procacciarsi dati e/o informazioni che andrebbero protette. A differenza del passato, dove bastava inserire un microfono nella cornetta o agganciarsi alla centrale in strada, oggi infiltrarsi in una rete IP avanzata o intercettare le telefonate non è più semplicissimo, ma è comunque un rischio noto agli operatori e ai vendor di soluzioni e terminali IP, che si adoperano quotidianamente per garantire ai propri clienti un maggior livello di sicurezza con l’introduzione di tecnologie di cifratura punto-punto per i telefoni IP senza fili e cablati, per il traffico voce e la trasmissione di dati e altre misure di protezione. Per essere certi di beneficiare di soluzioni all’avanguardia senza scendere a compromessi con la sicurezza delle conversazioni, è quindi necesario soppesare il livello e la metodologia di protezione offerti dalla piattaforma UC e supportati dai terminali anche in base al costo e al concreto beneficio in termini di utilizzo.

    Snom, il noto produttore berlinese di telefoni IP da tavolo, cordless e da conferenza, ha identificato tre criteri discriminanti che qualunque azienda dovrebbe esaminare prima di procedere all’adozione di una nuova soluzione completa per la telefonia via IP.

    Snom D785
    Snom D785

    Sicurezza della configurazione automatica dei terminali

    Il cosiddetto “provisioning automatico” ossia il processo che consente alla soluzione UC di distribuire con un click la configurazione e i parametri utente impostati ai più diversi terminali deve essere tutelato.

    Durante il processo, questi dati particolarmente sensibili vanno trasmetti attraverso un protocollo di trasporto sicuro (TLS/SSL). Per mettere ancora più in difficoltà potenziali hacker che tentano di intercettare le chiamate con attacchi “man in the middle”, la soluzione UC e il terminale dovrebbero scambiarsi un certificato necessario per garantire una corretta autenticazione del dispositivo al server per la telefonia, assimilabile al controllo passaporti all’ingresso o all’uscita degli aeroporti. Va da sé che se la soluzione UC offre questo tipo di tecnologie per la configurazione e l’autenticazione ma il terminale IP non le supporta, la comunicazione non sarà protetta.

    Allo stesso tempo è imperativo che la trasmissione dei dati utente dal centralino IP al terminale non sia intercettabile e/o che i dati non siano leggibili. Se la soluzione VoIP/UC non assicura questa tutela, persone non autorizzate possono eventualmente accedervi e utilizzare i dati per l’autenticazione dell’utente per effettuare chiamate ovunque a carico, ovviamente, dell’azienda hackerata. Una possibile soluzione, qualora questa forma di tutela manchi, è autorizzare esclusivamente l’accesso di terminali IP specifici alla rete previa autenticazione quale client. Se tuttavia né il centralino, né il telefono IP supportano l’autenticazione “client” indipendentemente dall’autenticazione dell’utente, non sarà possibile porre rimedio al rischio di abuso delle linee telefoniche utilizzando credenziali legittime.

    La password

    Tutto questo però non è molto di aiuto se l’accesso al terminale non è protetto tramite una password robusta, che non necessariamente deve essere nota all’intero staff. E’ quindi necessario valutare quali addetti possono avere accesso a quale telefono IP e se l’accesso debba essere granulare (utente/admin).

    Inoltre, molte applicazioni richiedono codici di accesso individuali. Una regolamentazione complessa delle password abbinata alla necessità di modificarle dopo un certo lasso di tempo non fa altro che favorire il buon vecchio post-it attaccato al monitor o alla testiera. Una pratica i cui rischi si possono prevenire se la piattaforma UC, il terminale IP e ovviamente l’utente supportano l’autenticazione a due fattori (p.es. password e codice inviato tramite SMS) o un accesso unico valido per tutti i servizi.

    La cifratura

    La cifratura va applicata anche all’invio di segnali tra le diverse connessioni e al trasferimento di dati vocali. Un elemento è imperativo affichè l’altro funzioni: chiudere una porta non previene l’accesso indesiderato se la chiave è sotto lo zerbino.

    Un avviso: una cifratura totale che copra tutte le connessioni, i terminali e le applicazioni è più o meno inesistente nella telefonia business. La cifratura dei dati termina nel punto in cui raggiunge i sistemi dell’operatore telefonico. La ragione di ciò è da un lato l’obbligo di consentire eventuali intercettazioni su richiesta del giudice, dall’altro l’elevata complessità tecnica legata all’impiego di un sistema di cifratura “end-to-end”.

    Se è richiesto un alto livello di sicurezza, l’unico modo è implementare una VPN (virtual private network), come i telefoni IP Snom o una rete MPLS (multiprotocol network switching).

    Conclusioni

    Tutto era più semplice qualche tempo fa! C’era un firewall che proteggeva l’accesso a internet e tutti i dati erano archiviati localmente. Oggi numerose soluzioni e servizi sono dislocati “fisicamente” in luoghi diversi e i dati si trovano spesso nel cloud. Varrebbe quindi la pena chiedere dove siano archiviati effettivamente i dati sensibili (log del centralino, contatti della rubrica / CRM, impostazioni utente) e come essi vengano trattati. Di interesse ancora maggiore è sapere se i dati sono ospitati su server nel proprio Paese o distribuiti in tutto il mondo. Un problema di sicurezza che riguarda meno il rischio di hackeraggio quanto più l’uso dei dati a scopo statistico o per spionaggio industriale ad opera di terzi.

    (altro…)

  • Ulteriori limitazioni della privacy digitale dei cittadini russi: un commento

    Agli utenti di Telegram potrebbe essere impedito l’accesso a questo strumento di comunicazione anonima

    Il governo russo sta tentando di vietare l’uso del servizio di messaggistica istantanea “Telegram”. Il commento di Tim Berghoff, Security Evangelist di G DATA.

    L’uso di soluzioni VPN e servizi proxy non regolamentati è già stato sufficientemente criminalizzato in Russia: per ottenere una autorizzazione ufficiale, gli operatori VPN devono essere conformi alle normative sulla censura vigente in Russia ossia bloccare siti specifici anche all’interno di un traffico VPN cifrato. Le autorità gestiscono una lista nera di siti inclusi in questa categoria. L’elenco contiene qualunque sito che presenti contenuti ritenuti illegali o dannosi. Ogni operatore VPN deve quindi applicare tale filtro sulla navigazione di qualsiasi utente. Devono anche essere in grado di condividere i dati riguardo agli utenti del rispettivo servizio VPN su richiesta delle autorità, una cosa che molti operatori non possono fornire perché non raccolgono / archiviano questi dati. Da diverse settimane il governo russo sta cercando modi di vietare l’uso di applicazioni IM cifrate. L’obiettivo principale è il servizio di messaggistica Telegram – ironia della sorte, Telegram ha radici russe. Dopo aver incassato un rifiuto di consegnare le chiavi di cifratura del servizio alle autorità per la sicurezza russa (e quindi aprire una back-door per le autorità) da parte del fornitore, determinati indirizzi IP sono stati bloccati in modo mirato per limitare l’uso di Telegram. Con scarso successo, come hanno ammesso le stesse autorità. In secondo acchito le autorità russe hanno cercato di mettere sotto pressione Apple e Google al fine di far loro rimuovere dai rispettivi store locali la app corrispondente, secondo una procedura simile a quanto già in vigore per le VPN: la tecnologia viola la normativa russa sulla censura.


    L’argomentazione è identica: si ritiene che la app sia utilizzata per pianificare e coordinare attività terroristiche. Per questo motivo deve essere monitorabile da parte delle autorità. Adeguarsi alle normative russe non implica un divieto di usare una VPN o la cifratura ma priva queste ultime del proprio scopo: le autorità vogliono essere in grado di identificare chiaramente gli utenti nonostante la cifratura e l’anonimizzazione, un controsenso rispetto allo scopo primario di queste soluzioni. Il legislatore russo desidera che tutti i servizi di messaggistica siano associati al numero di telefono dell’utente, quindi chiaramente riconducibili alla persona che se ne avvale.

    Un esempio

    In passato abbiamo già espresso la nostra grande preoccupazione verso approcci di questo tipo. Preoccupazioni ora confermate – questi eventi creano un nuovo precedente per un divieto della protezione della privacy personale. Anche la Germania sta cercando modi per consentire alle autorità giudiziarie di monitorare i canali per la comunicazione cifrata in situazioni che giustifichino questa misura e quindi di accedere alle comunicazioni dei singoli individui, ne è un esempio la bozza di legge formulata dagli organismi incaricati dell’applicazione della legge nella Renania del Nord / Vestfalia. In Italia le normative riguardano primariamente la conservazione e consegna dei dati di navigazione degli utenti in caso sia ritenuto necessario ma non ancora di accesso delle autorità alle comunicazioni cifrate.

    Lo voglio dire ancora una volta molto chiaramente: non solo io personalmente ma anche numerosi altri esperti di sicurezza IT considerano questa procedura estremamente pericolosa e non foriera di alcun tipo di successo a lungo termine – la legislatura precedentemente citata sull’uso delle VPN è già stata fortemente criticata su molti fronti per la stessa ragione.

    Fare compromessi sulla sicurezza in nome della sicurezza

    Non c’è prova alcuna che le attività criminali diminuiscano a fronte di una maggior sorveglianza. Inoltre, misure come il divieto di utilizzare servizi di comunicazione cifrata hanno un impatto negativo di lunga durata sulla fiducia dei cittadini nei rispettivi governi in generale e nelle autorità preposte a garantire la loro sicurezza in particolare. Ecco perché è fondamentale discutere apertamente soprattutto pubblicamente di questo approccio – ma ciò non sta accadendo, nonostante sia di vitale importanza in questo momento. Il fatto che la reazione pubblica a questi tentativi risulti così limitata (se paragonata a precedenti discussioni su argomenti simili) è allarmante e sembra suggerire che molti si siano stancati di parlarne – si potrebbe quasi ipotizzare che sia preferibile rinunciare parzialmente a proteggersi se da queste misure scaturisce un beneficio per il senso di sicurezza soggettivo. Il fatto che misure che implicano un’infiltrazione sistematica nella privacy dei singoli cittadini siano invariabilmente giustificate con preoccupazioni legate alla sicurezza nazionale dovrebbe far sorgere qualche dubbio e domande su chi realmente beneficia di queste regolamentazioni. Fino ad ora le normative su questa tematica non sono mai state abrogate nonostante si siano dimostrate del tutto inefficaci e non in grado di produrre i risultati auspicati.

    (altro…)