I CIO devono non solo gestire le infrastrutture IT, ma anche orchestrare la collaborazione con l’OT, ovvero l’Operational Technology, ormai sempre più collegata all’Information Technology. Questo amplia le sue aree di competenza: le nuove responsabilità includono la gestione dei dati industriali, la governance della sicurezza convergente e la trasformazione dei modelli operativi. Soprattutto, si rende necessaria una piena collaborazione con le divisioni che si occupano di operation.
Nel caso delle aziende manifatturiere, si tratta di allinearsi con i responsabili della fabbrica, ormai in piena trasformazione verso la smart factory di Industria 4.0, dove i macchinari e gli stessi edifici (dai pannelli fotovoltaici agli apparati per il riscaldamento e il raffreddamento fino agli allarmi anti-intrusione) sono connessi in rete.
Secondo l’Osservatorio Internet of Things del Politecnico di Milano, in Italia il mercato degli oggetti connessi ha un valore di 9,7 miliardi di euro nel 2024, +9% rispetto al 2023. Le applicazioni Smart Factory rappresentano una fetta da 1,04 miliardi, (+15%), mentre quelle Smart Logistics valgono 825 milioni di euro (+7%) e quello dello Smart Asset Management 360 milioni di euro (+9%). La quota più consistente del mercato (1,5 miliardi di euro, 18% del totale) appartiene ai veicoli connessi, molti dei quali sono usati nelle fabbriche per la movimentazione interna di componenti e manufatti. Il dialogo IT-OT si configura come un tassello fondamentale della trasformazione digitale.
Convergenza IT-OT, nuova area di competenza del CIO
“Sono stato assunto con l’incarico di portare innovazione nell’azienda e ci siamo subito immessi in un percorso di trasformazione digitale dell’Operational Technology”, rivela Fausto Casati, ICT Director di Quanta System (specializzata nella produzione di tecnologie laser medicali per la dermatologia, la medicina estetica, l’urologia e la ginecologia, oltre che per la conservazione delle opere d’arte).
L’azienda esiste da 40 anni, ma nell’ultimo decennio è fortemente cresciuta (da circa 80 a più di 300 dipendenti e da circa 40 milioni a oltre 150 milioni di euro di fatturato) e tale evoluzione non può prescindere dall’ammodernamento tecnologico.
“Stiamo cercando il giusto equilibrio tra l’IT, che gestisce il dato, e l’OT, che rappresenta il processo fisico”, spiega Casati. “Ovviamente la trasformazione digitale si accompagna a un’innovazione aziendale a tutto campo”.
L’evoluzione dell’OT viene perseguita con l’introduzione di sensori e tecnologie intelligenti. Per Casati i benefici dell’IoT sono evidenti, ma non esiste una ricetta unica: ogni azienda deve trovare la propria via.
“Noi stiamo partendo dall’individuazione degli obiettivi di business per poi rivolgerci alla scelta della tecnologia. Non crediamo nella digitalizzazione fine a sé stessa”, evidenzia l’ICT Director di Quanta.
Le sfide tecniche dell’integrazione
Nel caso del Gruppo 3F-Filippi (produzione di apparecchi illuminanti per il mercato industriale), esiste una doppia applicazione delle tecnologie OT. Da un lato, sta formando un reparto interno che si occupa di sviluppare una piattaforma Internet of Things per i prodotti che vengono offerti sul mercato, i quali sono, fondamentalmente, sensori inseriti negli apparecchi illuminanti con cui i clienti possono monitorare i consumi e le prestazioni delle lampade e degli impianti, visto che l’azienda vende anche interi progetti. Si tratta di una proposta per i clienti finali e che non pone problematiche all’IT, perché in questo caso l’OT non è collegato alla rete interna.
Al contrario, la seconda applicazione dell’OT è quella che genera le maggiori sfide per l’IT: è l’Operation Technology per la fabbrica.
“Qui il problema è l’integrazione dei vari robot con i nostri sistemi interni”, spiega Barbara Brunetti, Direttore IT del Gruppo. “Di fatto, non esistono standard per l’integrazione delle varie isole robotizzate sulla rete aziendale. Ogni fornitore è diverso e non sempre noi aziende riusciamo ad imporre un nostro sistema in modo da unificare, piuttosto siamo noi a doverci adeguare ai fornitori”.
Le isole robotizzate, infatti, sono gestite dal fornitore nell’integrazione al PLC, mentre spetta all’IT integrarle nella propria azienda con le varie applicazioni, salvare i dati di produzione e gestire i PC collegati ai robot.
“L’OT è ormai pervasivo nelle fabbriche”, ribadisce Brunetti. “Per esempio, i nostri magazzini automatici devono parlare con SAP e i muletti automatici e il software che stampa le etichette si devono integrare con il MES e alcune isole robotizzate per la produzione devono connettersi sia con il MES che con gli AGV, i veicoli a guida automatica, ovvero, altri robot. Spesso – prosegue Brunetti -, quando viene comprata l’isola robotizzata, il metodo di integrazione in rete non è esplicitato nel contratto. Mancando gli standard, l’IT si ritrova a dover risolvere il problema di integrare il robot nella rete con gli altri sistemi”.
Il nodo organizzativo: dialogo con l’AD e con le operation
L’ostacolo è, innanzitutto, organizzativo: occorre un maggior dialogo tra IT (che va considerato come un elemento da specificare nel contratto) e la fabbrica.
Infatti, è proprio nella direzione di un maggior coordinamento con il reparto produttivo che sta lavorando Brunetti: occorre l’allineamento con la divisione tecnologica nel momento in cui la fabbrica decide l’acquisto, in modo che il CIO possa verificare le opzioni di integrazione e valutare le eventuali complessità.
“Se i colleghi dell’OT non mi informano sull’acquisto del robot, può accadere che io mi ritrovi senza il software che serve per salvare i programmi sul repository di rete o per altre integrazioni”, spiega la direttrice IT di F-Filippi. “Io cerco di spingere i colleghi a coinvolgermi subito: questo permetterebbe di spendere meno rispetto a intervenire dopo”.
Un altro ambito su cui Brunetti agisce è quello del coordinamento con l’AD per il budget. La manager sta proponendo dei software specifici per l’armonizzazione della parte OT, anche se al momento non sono nei piani di acquisto, per via del costo (però il costo della non integrazione è superiore, fa notare la manager). Per ora Brunetti ha disegnato delle WLAN specifiche per la parte di fabbrica, grazie ad apparati per l’isolamento delle reti in cui l’azienda ha investito.
OT sempre più pervasiva
Pur mancando una standardizzazione dei sistemi dei fornitori, Luciano Ragazzi, Responsabile Direzione Information Technology di EAV (Ente Autonomo Volturno), evidenzia come il settore delle ferrovie sia agevolato dal fatto di seguire una norma uniforme nelle implementazioni OT, ovvero la specifica tecnica CLC/TS 50701, che aiuta a garantire livelli elevati di cybersicurezza sugli impianti tramite la segregazione tra le reti IT e OT. Inoltre, a livello UE, un gruppo di enti, come UNIFE, CER, EIM, UITP Europe e ERTMS, lavora a una proposta condivisa per ottenere un’ulteriore standardizzazione nel settore.
“In Italia per le aziende del TPL se ne occupa Asstra”, spiega Ragazzi. “L’obiettivo è fornire indicazioni al legislatore europeo sull’applicazione del Cybersecurity Act e del Cyber Resilience Act (CRA) nel settore ferroviario. Questo è un passaggio cruciale per i CIO nella gestione dell’OT. Anzi, adesso non si parla più di OT in senso stretto, ma di prodotti con elementi digitali, come previsto dal CRA. Il draft chiede che i produttori si occupino, tra l’altro, dell’aggiornamento dei firmware dei sistemi, garantendo un ciclo di vita sicuro”.
EAV adotta diversi sistemi IT (come SAP Hana, che gestisce la manutenzione dei rotabili, o la piattaforma di mobilità Moova) in cui confluiscono i dati raccolti dalla tecnologia OT. Si tratta di informazioni cruciali, per esempio, l’orario di partenza e di arrivo dei treni e la loro posizione in tempo reale. L’OT nel mondo ferroviario è ovunque: dai sensori sui binari ai sistemi che gestiscono gli scambi fino alle sottostazioni elettriche e agli impianti anti-incendio. In EAV si contano almeno 10 mila elementi totali.
Inoltre, i dati dei treni e degli altri “prodotti con elementi digitali” confluiscono non solo nell’IT di EAV, ma anche nei sistemi della Regione Campania per esigenze come il controllo della qualità del servizio pubblico. In questo scenario, la segregazione delle reti diventa essenziale per una trasmissione sicura e per evitare eventuali contagi di malware tra una rete e l’altra.
L’approccio alla cybersicurezza
L’evoluzione dell’OT è, infatti, strettamente legata alla cybersicurezza. Segmentazione della rete, aggiornamenti software tempestivi e monitoraggio continuo sono le regole base anche di Casati di Quanta System.
Inoltre, i CIO ribadiscono quanto sia fondamentale l’approccio mentale dei colleghi della fabbrica relativamente all’integrazione con l’IT. Se la parte operation non tiene in conto la priorità della cybersicurezza, l’IT si ritrova a imporre le tecnologie dopo che le macchine sono state installate, anziché in simultanea con la loro installazione, perdendo di efficacia nella sua azione.
“Trovo fondamentale la formazione, perché molti attacchi sfruttano l’ingegneria sociale”, sottolinea Casati. “Occorre senza dubbio mettere in sicurezza la LAN, ma bisogna anche lavorare sulle persone. A volte persino una telefonata può far partire un incidente cibernetico. La cyber cultura è molto importante e include IT, OT e analisi dei dati”.
Casati si occupa personalmente, insieme all’HR, di organizzare la formazione aziendale sui temi della sicurezza OT-IT, con corsi “in aula e non online”, precisa il manager, tenuti da formatori esperti.
Ragazzi di EAV conferma a sua volta: “Abbiamo svolto un grande lavoro sulla NIS2 abbiamo adottato il modello di cybersecurity previsto dalla norma. Sono soddisfatto dei risultati ottenuti, ma occorre continuare a sensibilizzare al massimo le persone, perché l’elemento umano resta il perimetro più vulnerabile”.
Un esempio concreto: la Commissione Cyber
In linea con la NIS2, EAV ha definito una catena di comando e assegnato le responsabilità alle figure previste, a partire dall’AD, che ha nominato il Direttore IT come capo della cybersicurezza. A sua volta, Ragazzi ha delegato i compiti ai responsabili delle singole aree aziendali. Il manager definisce le linee guida e i responsabili di area adottano tecnologie compatibili con queste indicazioni: di conseguenza, ogni acquisto tecnologico, inclusi quelli dei dispositivi OT, deve tenere in conto delle norme cyber.
“È difficile portare le persone ad agire in questo nuovo modo, perché sono state abituate a decidere in autonomia”, evidenzia Ragazzi. “Adesso, invece, ogni direttore deve passare per la Commissione Cyber, che verifica la compatibilità delle tecnologie OT con i sistemi IT in uso”.
La Commissione Cyber, in questo, rafforza il lavoro del CIO su integrazione e sicurezza e lo aiuta nell’acquisto di tecnologie OT in grado di dialogare con l’IT.
Le sfide della convergenza IT/OT e qualche suggerimento per superarle
L’asset management: per Ragazzi la prima sfida dell’OT sta nell’asset inventory e nell’asset management. Negli anni le tecnologie si stratificano e questo rende complesso farne l’inventario: occorre chiedere a ogni area aziendale identificando l’asset owner, ovvero il responsabile di quegli asset. EAV gestisce un asset inventory federato, in cui i dati sono a disposizione solo dell’asset owner e solamente il CIO ha la visione completa degli asset, su cui conduce le necessarie valutazioni di sicurezza.
“La gestione degli asset e la loro integrazione è la parte della gestione dell’OT più faticosa per il CIO, perché occorre far capire alle persone che il dato prodotto è un bene pubblico, ovvero di tutta l’azienda, e non appannaggio della singola direzione. Anzi, in una Pubblica Amministrazione come la nostra, il dato è dei cittadini. Le singole direzioni, invece, tendono a far coincidere il loro potere con l’esclusiva sui dati, un approccio che dobbiamo superare”, osserva Ragazzi.
Anche Forrester, nel suo studio “The Forrester Wave [in inglese]: Operational Technology Security Solutions, Q2 2024”, ha sottolineato come le principali sfide per i CIO siano la visibilità limitata sugli asset OT e sui protocolli industriali, l’assenza di ownership chiara della sicurezza OT (tra CISO, CIO e Operations) e la mancanza di standardizzazione nelle policy di accesso remoto ai sistemi industriali. Le migliori pratiche suggerite sono, perciò, la segmentazione di rete, l’inventory automatizzato degli asset OT e il monitoraggio passivo dei dispositivi industriali.
La cybersicurezza: se l’asset management è faticoso e complesso, la cybersicurezza resta la criticità numero uno nell’integrazione tra IT e OT. “Basta che un dipendente inserisca una chiavetta Usb infetta in un sistema non protetto e si vanifica ogni sforzo di cyber difesa”, osserva Ragazzi. “Ho bloccato l’uso delle chiavette nei PC, ma è chiaro che l’elemento umano della sicurezza è e resterà sempre quello a cui prestare la massima attenzione”.
“Fare della sicurezza una priorità: le violazioni della sicurezza informatica sono un pericolo costante e strategie di convergenza IT/OT mal eseguite possono consentire agli hacker di infiltrarsi in un’organizzazione attraverso le sue risorse OT”, ha scritto Capgemini nel suo report “Strategies to Enable IT/OT Convergence [in inglese]” (2022). “I dispositivi OT tradizionalmente non si sono trovati esposti a queste minacce e quindi non sono stati rafforzati dal punto di vista della cybersicurezza. I professionisti IT conoscono bene le sfide e le soluzioni per la sicurezza, ma è importante che le aziende adottino una visione olistica della cybersecurity, che includa i clienti che utilizzano i suoi prodotti”.
I costi: un altro elemento della tecnologia OT che molti CIO fanno notare è il suo costo, sia in termini economici che di risorse umane. Nel caso di EAV, si tratta di avere addetti che si recano nelle stazioni e negli uffici perché alcuni elementi digitali vanno geolocalizzati o staccati dalla rete fisicamente, non da remoto. Il personale serve anche per effettuare le analisi dei rischi.
In altri settori, i CIO evidenziano che l’OT ha un alto costo intrinseco (pensiamo a un robot di fabbrica) ed è proprio per questo che i fornitori escludono i firmware o i software di integrazione nella loro offerta (e quindi tengono fuori la parte IT dai contratti): altrimenti, il prezzo degli apparecchi salirebbe ulteriormente.
Il firmware: è il quarto grande problema del mondo OT. In particolare, la nota dolente per i CIO è l’aggiornamento dei firmware dei prodotti connessi, perché – come nota Ragazzi – “riavviare lo SCADA vuol dire bloccare la ferrovia. Inoltre, se modifico un elemento dell’impianto, devo certificare di nuovo ogni elemento dell’impianto stesso, con costi e tempi non indifferenti”.
Anche in questo caso i CIO invocano un maggior impegno da parte dei fornitori a garantire l’aggiornamento.
“Servono regole uniformi e certe: il nostro settore lo sta proponendo, anche in Italia con Asstra e Ansfisa; io stesso lavoro per sensibilizzare sul tema. Sono sicuro che la stessa certezza di standard e regole aiuterebbe i CIO delle altre industrie”, conclude Ragazzi.
La scalabilità: il citato report di Capgemini mette in guardia contro questo ostacolo. Quando si fanno convergere IT e OT, molte aziende si bloccano nella fase di proof-of-concept, spiegano gli analisti. Spesso questo accade perché i reparti hanno lanciato iniziative ad hoc con tecnologie incompatibili: una strategia di integrazione IT/OT deve includere l’acquisto di tecnologie che garantiscano la convergenza a livello globale.
Le competenze: un’altra sfida è quella di spezzare i silos tra dipartimenti e creare, invece, team incentrati sul prodotto che riuniscano professionisti IT e OT.
Nell’integrazione IT-OT servono skill ibridi, ovvero personale IT formato su protocolli OT e safety, figure con background operativo nel team di cybersecurity e conoscenza delle questioni IT tra il personale operativo. La governance unificata IT/OT deve includere ruoli congiunti di CIO e responsabili di produzione per la sicurezza e la resilienza operativa.
I dati e l’AI: i CIO possono cogliere grandi opportunità nel superamento dei silos tra IT e OT. I dati dei dispositivi connessi uniti a tecnologie di Analytics e AI, soprattutto all’edge, migliorano manutenzione predittiva, uptime e process optimization. Ma occorre raggiungere una maggiore Data & AI maturity.
Secondo il citato Osservatorio del Politecnico di Milano, il 55% delle grandi imprese e il 33% delle medie che hanno avviato progetti IoT desiderano integrare l’intelligenza artificiale in queste iniziative. Tuttavia, affinché i dati raccolti dagli oggetti connessi possano generare valore, devono essere adeguatamente elaborati e gestiti; invece, meno della metà (48%) delle grandi aziende utilizza i dati raccolti dai dispositivi IoT, in forma grezza o rielaborata, per abilitare nuovi servizi.
Le raccomandazioni per i CIO sono: partire da un’integrazione a valore visibile (per esempio, gli Analytics per gli impianti), adottare un data layer comune (data fabric) e, ancora una volta, creare team ibridi IT/OT, che includano i data scientist.
Il sostegno della C-suite: infine, il sostegno dei vertici è fondamentale: qualsiasi trasformazione necessita di un promotore nella C-suite. La convergenza IT/OT sconvolge il modo tradizionale di fare le cose, quindi spetta agli executive guidare il processo.
Il CIO come “Integrator of trust”
McKinsey (“Converge IT and OT to Turbocharge Business Operations [in inglese]”, 2022) ha suggerito tre modelli di governance della convergenza IT-OT: centralizzato, in cui il CIO controlla sia IT che OT; federato, in cui OT e IT si coordinano sotto l’ombrello di un comitato congiunto; e collaborativo, dove l’integrazione avviene focalizzandosi su progetti condivisi (AI, edge, predictive maintenance).
In ogni caso, come ha scritto IDC (“Worldwide IT/OT Convergence Survey 2024 [in inglese]”), il CIO deve diventare “Integrator of trust”, ovvero orchestrare IT, Pperation e sicurezza portando queste aree tradizionalmente separate a convergere con un senso di fiducia l’una nell’altra: le differenze culturali tra IT e OT possono pesare quanto gli hardware legacy e i software non aggiornabili nel boicottare questa integrazione.
Read More from This Article: Digitalizzazione: le sfide del CIO nell’integrazione IT-OT e le strategie per superarle
Source: News