La sicurezza dei sistemi aziendali
“In business we plan for success, but in security we have to plan for failure”
Una massima, usata anche in campo ICT, che tutte le organizzazioni – pubbliche o private – esposte a rischi di security e safety connessi alle vulnerabilità legate ai propri assets, dovrebbero osservare come un punto fermo e imprescindibile.
In una moderna (globalizzata) organizzazione, la sicurezza e la difesa del patrimonio aziendale sono di vitale importanza, e vanno preservare in ogni aspetto:
- infrastrutture;
- beni tangibili e intangibili;
- informazioni e dati;
- capitale umano e know how;
- proprietà intellettuale e brevetti.
La Sicurezza Aziendale è una attività che richiede un costante impegno, soprattutto economico, e specifiche competenze professionali relative a tematiche e normative in continua evoluzione.
Un’efficace protezione del patrimonio deve essere affrontata sempre attraverso una stretta interdisciplinarietà, data la natura della materia e l’oggetto della tutela.
Un’azienda, quale articolazione dei beni organizzati, rappresenta un insieme di ricchezze, materiali, immateriali e capitale umano, la cui protezione richiede una vision ad ampio spettro, metodologicamente efficace: mai partire dalla probabile fonte della minaccia, ma piuttosto dal bene che si intende garantire.
Banalmente: se dovrò proteggere una tela preziosa, il mio obiettivo non sarà solo quello di concentrarmi, esclusivamente, su un impianto integrato di security (allarme, videosorveglianza, etc), ma dovrò pormi anche il problema di altre possibili minacce esogene, tanto antropiche (dolose e colpose), quanto naturali (inondazioni, incendi, terremoti, etc), perché servirà a poco proteggere la tela da un furto, se questa poi sarà irrimediabilmente danneggiata, e dunque, privata del suo reale valore economico.
D’altronde, per converso, sarà del tutto inutile qualsiasi sottoscrizione di leale fedeltà da parte del management aziendale se, poi, i dati e le informazioni strategiche non sono adeguatamente protetti, ma alla portata di tutti!
Quindi, rifacendoci a questo ultimo esempio, il management dell’area security attiverà tutta una serie diversificata di procedure (furto dati, spionaggio industriale, attacchi al patrimonio informativo, etc), tanto per l’identificazione quanto per il trattamento, sia dei dati che delle informazioni aziendali; lo farà considerando un adeguato sistema tecnologico di sicurezza cyber, di information security, il cd perimetro logico, implementato da un robusto sistema di gestione delle informazioni, che racchiuda in sé gli aspetti di sicurezza logica, fisica e organizzativa (es. ISO 27001).
Diversamente, voglio tutelare l’immagine e la reputazione aziendale? E allora focalizzerò l’attenzione, ad esempio, sull’uso interno dei social network, seguendo una strategia diametralmente opposta, attuando preliminarmente uno screening sistematico e continuo delle attività che i dipendenti compiono sui social, anticipando parallelamente le difese e le contromisure più idonee; tuttavia, tali controlli dovranno essere sempre condotti nel pieno rispetto dei diritti costituzionalmente garantiti (segretezza delle comunicazioni, libertà di pensiero, etc.) e sorvegliati dall’Autorità Garante della privacy, in maniera tale da non violare la libertà e la dignità personale degli interessati.
Perciò, nel contesto di una globalizzazione dove i mercati diventano sempre più complessi, la conoscenza, lo studio, l’innovazione, la tecnologia rappresentano gli strumenti strategici per esercitare una leadership competitiva; mentre la vision, l’excution e, in particolar modo, la compliance, caratterizzano i punti di forza dell’organizzazione aziendale che si misura sui mercati.
Security Compliance, certamente; un obbligo per l’organizzazione, tenuta a considerare tutte le esigenze di protezione, valutandole attentamente nella fase di Risk Analysis, rispettando tutte le prescrizioni definite nelle policy aziendali di security, e approvate come documentazione di security compliant.
E qui entriamo nella sfera del Risk Management (Risk Assessment, Risk Reporting, Risk Treatment, Risk Monitoring, etc), strumento indispensabile al raggiungimento delle performance aziendali; un’area dove l’analisi dei rischi sarà ampia e approfondita, considerando tutti i possibili scenari di rischio che potrebbero danneggiare il perimetro aziendale, minandone le capacità operative, la posizione di mercato, la reputazione aziendale, la solidità economica.
Nelle attività di gestione del rischio bisogna sempre ricercare il giusto equilibrio al compromesso tra l’eliminazione (prevenzione, protezione) e la riduzione del rischio (compensazione), considerando sempre il trasferimento del rischio (assicurazione, terzi, etc), un elemento residuale del processo.
Peraltro, negli ultimi anni, la gestione del rischio è stata integrata all’interno del nuovo sistema di qualità ISO 9001 (presente anche all’interno dei modelli organizzativi delineati dai D.Lgs 231/2001 e 81/2008).
Nei modelli di gestione del rischio, un altro aspetto fondamentale è dettato dalla business continuity; i piani di continuità operativa (business continuity plan) rappresentano la chiave primaria nel processo di resilienza dell’organizzazione.
Una delle professionalità cardini riservate alla gestione della sicurezza e alla tutela del patrimonio, è quella del Security Manager (UNI 10459:2017 ); uno specialista in grado di leggere l’evoluzione dei contesti strategici, nazionali e internazionali, e analizzandone gli scenari, individuerà, misurandoli, i rischi applicabili alla propria organizzazione, proponendo azioni mirate (security e safety), volte alla loro mitigazione e/o riduzione.
Assistiamo frequentemente a un’espansione dimensionale e insidiosa del rischio, soprattutto nel perimetro cibernetico, laddove proprio la criminalità organizzata e le organizzazioni terroristiche viaggiano con maggior velocità rispetto alla resilienza dei sistemi.
Oggi un professionista della Security deve possedere una preparazione trasversale unica: crisis management, emergency planning, risk analysis, data protection, loss prevention, asset protection, physical security, personnel security, travel security, intelligence, investigations, legal aspects.
Questo perché diversi sono i campi operativi e le competenze che questo manager deve possedere: le fonti della minaccia si sono diversificate e moltiplicate, per effetto della crescita esponenziale delle tecnologie e del mutato quadro internazionale.
Ma nuove sfide aspettano il mondo della security aziendale. In questi ultimi mesi abbiamo assistito all’emergere di una nuova vulnerabilità con la quale le organizzazioni, d’ora in poi, si dovranno confrontare: la medical security, un pericolo conseguente all’epidemia del Coronavirus nCoV2019.
Travel, personnel e medical security saranno parte integrante dei processi e analisi di rischio che le aziende affronteranno quando invieranno i propri dipendenti oltre confine. Un vero processo di medical intelligence che dovrà essere attivato ogni qualvolta verrà messa in discussione l’incolumità del patrimonio umano aziendale, in trasferte classificate come ad alto rischio sanitario.
Articolo a cura di Giovanni Villarosa
Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.