Sappiamo bene ormai che ogni impresa, nel perseguire la propria mission, deve tutelare il proprio patrimonio aziendale, cioè il valore economico costituito dall’insieme di capitale intellettuale (know-how capace di generare vantaggio competitivo) e di asset tangibili.
L’azienda è chiamata, dunque, a risolvere un problema tecnico: la salvaguardia dei propri beni, in particolare quelli che ritiene meritevoli di protezione.
Si tratta di un problema comune a tutte le aziende, da quelle di servizi a quelle manifatturiere, che prescinde dalla tipologia di ciò che si offre o si produce.
Come riconoscere i beni meritevoli di tutela è l’interrogativo più ricorrente. La corretta individuazione di tali beni deve necessariamente passare attraverso un’attività di classificazione caratterizzata da uno schema tassonomico in cui sono fissati i criteri di gerarchizzazione degli elementi del sistema.
Un giorno un amico veterinario, parlandomi appassionatamente di tori e delle loro qualità, mi regalò inconsapevolmente immagini così efficaci che ancora oggi utilizzo per i miei paralleli di natura zoologica. Se assimilassimo, infatti, il patrimonio aziendale a una mandria di tori il buon mandriano si preoccuperebbe di proteggere i vari capi da eventuali ladri di bestiame, bestie feroci, malattie infettive, ecc. Si domanderebbe se sono sufficienti un marchio a fuoco, un recinto, un generico controllo veterinario, un micro chip sotto pelle, un buttero armato a guardia dell’armento, uno specifico vaccino, ecc. ovvero tutte queste misure insieme. Si chiederebbe, inoltre, se tutti i tori sono uguali o se alcuni sono più pregiati di altri in base alla sottospecie, età, peso, altezza al garrese, possanza della muscolatura, lunghezza delle corna, ecc. Si interrogherebbe, poi, se tali criteri sono sufficienti per determinare l’importanza di ciascun capo o se sono necessari altri parametri meno immediati rispetto ai precedenti ma più rilevanti come, ad esempio, la quantità di liquido seminale prodotto. Infine, passerebbe alle priorità, modalità di intervento e relativa tempistica.
Fuor di metafora, si torna ancora una volta alla figura dell’analista di security cha ha l’ingrato compito di sciogliere ogni grandezza negli elementi di cui si compone, una riduzione ai minimi termini in chiave semplificativa, la polverizzazione di un sito industriale nelle sue componenti (uffici, locali produzione, CED, archivi, laboratori, centri stampa, parcheggio, magazzino, infermeria, ecc. ecc.). Un professionista, il nostro analista, che oltre a non essere avulso dal contesto economico-finanziario aziendale (deve conoscerne strategia e business) non lo deve essere nemmeno da quello geo-politico nazionale e internazionale.
La lettura del Paradiso dantesco, allegoricamente parlando, è impresa piuttosto impegnativa. Tuttavia, risulterà più agile se si conoscono le due cantiche precedenti, le idee politiche dell’autore, la cosmologia medievale, la chiave di lettura allegorica del poema, la cronaca fiorentina del ‘200-‘300, ecc. Inoltre, se si pensasse al Paradiso non come una vasta e monolitica Cantica, ma ai singoli canti, 33 in totale, composti ognuno da circa 145 versi, il lettore ne sarebbe meno turbato. Se poi si scorgessero all’interno di ciascun canto delle ulteriori partizioni narrative, pari al numero delle anime incontrate da Dante, il lavoro potrebbe finanche trasformarsi in un esercizio ludico e in vivificante palestra di autostima.
Torniamo nuovamente a noi, il censimento del patrimonio aziendale è propedeutico a una sistematica attività di classificazione del medesimo. Essenziali elementi di carattere generale per un efficace censimento saranno: ubicazione e tipologia del sito, numero di dipendenti, stato degli immobili, valore dei fabbricati, dei macchinari, dei beni mobili, eventi criminosi subiti, incidenti accaduti, valori assicurati, ecc. Tali elementi potranno poi essere integrati con altri meno immediati e di più difficile elaborazione quali: contributo di ogni componente al raggiungimento del successo/competitività dell’azienda, il suo posizionamento rispetto alla mission aziendale, incidenza su produzione, EBIT, EBITDA, fatturato, margine sulle vendite e backlog. In fase di classificazione tali elementi potranno trasformarsi in specifici indicatori connotati da un determinato peso. Verranno definite delle soglie; ad ogni soglia sarà assegnato un valore espresso secondo una scala pre-definita.
La criticità di un sito sarà quindi il prodotto dei parametri utilizzati nel processo di classificazione. Sarà pertanto possibile, in presenza di più siti, procedere ad un ordinamento e alla relativa gerarchizzazione.
di Cristhian Re, Responsabile Security Cross Processes and Projects A2A e Comitato Scientifico S News