Attualità // Il Dazebao della Security

Cristhian Re: ricomincio da tre. Passato, presente e futuro: evoluzione di un profilo

Condividi

Chi ha dimestichezza con la psicanalisi, magari anche solo per esservi ricorso almeno una volta nella propria esistenza, sa che l’immaginario è quella sfera dell’immaginazione quale si costituisce e si può riconoscere attraverso i miti, la produzione letteraria e cinematografica, la pubblicità. La locuzione immaginario collettivo, poi, indica un insieme di simboli e concetti presenti nella memoria e nell'immaginazione di una molteplicità di individui appartenenti a una certa comunità e che dà forma alla memoria collettiva.

In questa era ipertecnologica dove la stragrande maggioranza delle persone risulta (inter)connessa, le informazioni condivise in rete e il libero accesso ad esse misurato in nanosecondi, assistiamo alla riproduzione di un immaginario quantomeno fuorviante. La Security, infatti, nonostante sia trascorso oltre mezzo secolo dalla sua comparsa in azienda, è ancora oggi identificata con il guardiano al cancello della fabbrica (ultime vestigia degli Anni ’70). Nelle menti dei più giovani, invece, con gli energumeni anabolizzati in t-shirt nera e auricolare piazzati all’ingresso di discoteche, locali esclusivi o eventi in genere. Più spesso confusa con la Safety (la 626/94 prima e il TU 81/08, se da un lato hanno regolamentato una volta per tutte la salute e sicurezza sui luoghi di lavoro, dall’altro si è imposta così prepotentemente nell’immaginario collettivo da eclissare la Security). I simboli più utilizzati associati al concetto di Security circolanti in rete e pubblicati sulle riviste di settore sono ancora lucchetto e scudo. Se interroghiamo internet, l’uomo della strada, i nostri parenti, gli amici più stretti e persino le consorti, tutti senza distinzione di sorta, indicheranno senza esitazione le immagini appena descritte.

C’è confusione. C’è disinformazione. Così non va. Il nostro non è un Paese arretrato. È un Paese in una condizione strategica privilegiata. L’Italia al centro del Mediterraneo – luogo dove transitano cospicua parte dei traffici mondiali – è tornata nuovamente al centro dell’universo, ma anche di questo non si è accorta. Siamo una potenza industriale che non esprime potenza e questo, dicono gli esperti di geopolitica, per difetto di chiare definizioni. In sostanza non sappiamo chi siamo. Almeno per quanto concerne il nostro ambito professionale diamo un’occhiata alla normativa e cerchiamo di abbozzare una soluzione a questo sconcio.

Chi scrive lavora in azienda da una ventina di anni, un tempo di osservazione sufficientemente congruo per poter affermare che è evidente un marcato divario tra le aziende strutturate di grandi dimensioni (meno dello 0 ,1% del totale delle imprese italiane) e le restanti PMI (99,9%) in termini non solo di presenza della figura professionale, ma anche di attribuzione di compiti e responsabilità. Nella quasi totalità delle PMI che occupano circa 13 milioni di lavoratori è assente la figura del Security Manager poiché fondamentalmente non se ne avverte la necessità. Nelle aziende di grandi dimensioni, che occupano circa 4 milioni di lavoratori, è talvolta presente, ma con perimetri di responsabilità i più disparati e una collocazione in organigramma la più creativa. Dunque, non vi è omogeneità di applicazione della norma tecnica UNI 10459 “Professionista della Security”, nonostante la sua intrinseca vocazione ecumenica e l’enumerazione al § 4 delle diverse attività (dal Crisis Management alla Business Continuity passando per le investigazioni, l’antifrode, la Business/Competitive Intelligence, tutela del know how, rapporti con le Forze di Polizia e le Forze Armate, ecc. ecc.). Siamo sufficientemente realistici, tuttavia, per sapere che la perimetrazione di tali responsabilità e la relativa struttura organizzativa dipendono da una serie di fattori quali: il settore di business, le dimensioni dell’azienda, la sua mission, l’estensione spaziale e operativa e, non ultima, la sensibilità del Top Management, quasi sempre il vero ago della bilancia.

Pertanto, come risulta concettualmente sbagliato pensare a un identico modello organizzativo da replicare sic et simpliciter all’interno delle 4.017 imprese italiane di grandi dimensioni (oltre 250 dipendenti), parimenti bisogna fuggire l’anarchia interpretativa tipica del Decisore che tende all'autoreferenzialità. Ottima è la misura, sentenzierebbe anche oggi Cleobulo. Ci auspicheremmo una interpretazione universalmente condivisa e una omogeneità di fondo riguardante ruolo e responsabilità del Security Manager.

L’evoluzione del profilo del Security Manager negli ultimi 20 anni non si può negare sia stato significativo. Mutuando le evocative espressioni di Giuseppe Femia, siamo passati da un modello “castle-based” (di marca medievale, percepito come un costo puro) – caratterizzato da un focus su patrimonio tangibile, sicurezza perimetrale, operatività fondata prevalentemente sulla reazione, attenzione agli shareholders, limitate interazioni con altre funzioni, protezione del Top Management, ecc. – a uno più recente “business oriented” – connotato da un focus sul patrimonio intangibile e continuità del business, operatività fondata su prevenzione e controllo, attenzione agli stakeholders, ecc. – per poi attestarsi all’attuale “total risk management” – contraddistinto da focus su continuità del servizio, rischi delle revenues, protezione del brand e reputazione, forte interazione con tutte le funzioni aziendali, attenzione a tutti i rischi e le minacce, presidio dei processi critici, cooperazione attiva con terze parti/partner strategici, coinvolgimento diretto durante le fasi di merge e acquisition, ecc.

Tale trasformazione è avvenuta, però, laddove la figura del Security Manager era già presente nelle aziende con una storia consolidata di sicurezza alle spalle. Nelle altre si registra un vuoto o, nella migliore delle ipotesi, una forbice che si allarga con ritmo esponenziale all’avanzare della tecnologia. Oggi, quindi, assistiamo a un evidente scollamento tra le aziende più virtuose e moderne, capaci di sostenere tali costi di struttura attuando l’optimum, e quelle legate a un modello anacronistico o votate alla razionalizzazione dei costi. Ma quale optimum, verrebbe da dire? Dal 1995 l’Ente Italiano di Normazione (UNI) ha cercato di mettere ordine con una norma specifica (10459, appunto) delineando funzioni e profilo del professionista della Security aziendale. Grande lo sforzo di codificazione di una professione che fino ad allora non era stata mai ben tratteggiata. Una norma che, purtroppo, era poco nota anche all’interno del settore medesimo sino al 2010, anno del “Decreto Maroni” (n. 269/2010). In quel decreto ministeriale (Allegato B) si richiama la UNI.  Come noto, sebbene l’applicazione delle norme tecniche sia volontaria, quando queste vengono richiamate in provvedimenti legislativi interviene un livello di cogenza delimitato dal contesto di riferimento. Nella fattispecie, il decreto impone l’obbligo per i titolari di licenza, institori e direttori tecnici degli istituti di vigilanza (di livello dimensionale 4 e ambito territoriale di applicazione 4 e 5) di essere certificati in base ai requisiti previsti dalla norma tecnica UNI 10459. Fino al 2009 le certificazioni come professionista della Security rilasciate dagli Organismi accreditati da Accredia erano poche decine (nel 2006, ad esempio, lo scrivente era il n. 11 del registro dei Security Manager. Oggi sono oltre 800 [Fonte Accredia]. Un numero che, stando ai dati raccolti, si è decuplicato del 1.400%!

Alla diffusione di un codice linguistico comune per gli addetti ai lavori non è seguita, però, in ambito aziendale una chiara e univoca cultura di Security. Le ragioni sono dettate tanto dall’opportunità quanto dalle circostanze storiche, ma soprattutto dalla vision dei vertici aziendali. Il nodo dei nodi continua ad essere la sicurezza delle informazioni (Information Security – ISO 27001) e a chi spetta. Anche in questo caso la norma italiana parla chiaro (§ 4, punto 17 e 20): è responsabilità del professionista della Security “la gestione delle informazioni, incluso il coordinamento e supporto alle attività relative alla sicurezza delle informazioni […] la tutela del know-how, segreto industriale e delle risorse immateriali”. Sappiamo altrettanto bene, tuttavia, che la Funzione (o un presidio) IT è, a differenza della Security, presente nella stragrande maggioranza delle aziende e risolve problemi di sicurezza delle informazioni da sempre (si pensi a contromisure di natura logica quali firewall, IPS/IDS, proxy, antivirus, anti spamming, web filtering, Vlan, VPN, ACL, back-up dati, sistemi di cifratura, monitoraggio e gestione dei log, vulnerability assessment ecc. ecc.). Alla costante presenza che - come sappiamo - premia sempre, si somma un ulteriore vantaggio: la famiglia IT è riuscita nel corso del tempo a codificare e cristallizzare grazie agli standard UNI 11506, UNI 11621 e CWA 16458 ben 23 profili tecnico-professionali tra cui – queste le figure che interessano a noi – il Chief Information Officer, l’ICT Security Manager e l’ICT Security Specialist.

Come se tutto questo già non bastasse, a ingarbugliare ulteriormente il quadro ci ha pensato la Direttiva NIS sulla sicurezza delle reti e dei sistemi informativi (recepita nel nostro Ordinamento attraverso il D.Lgs n.65/2018). Dal 2016, data della sua emanazione, si è cominciato a parlare di Cyber Security al punto che oggi è il tema di maggiore interesse e il più dibattuto, nonostante le ristrettezze di ambito e applicazione. Esiste, infatti, una netta differenza tra Information Security e Cyber Security, benché vi sia la diffusa tendenza a utilizzarle in modo intercambiabile quanto strumentale. Forse questione di mode e fascinazione semantica. Purtroppo, non è così. “Le parole sono importanti”, urlava Nanni Moretti in Palombella Rossa. L’Information Security si riferisce alla protezione dei dati fisici e digitali da uso, accesso e modifica non autorizzati. La Cyber Security, invece, alla protezione dei soli dati digitali da uso, accesso e modifica non autorizzati. La prima salvaguarda i dati da un accesso illegale di qualsiasi tipo, mentre la seconda protegge i dati dall’accesso digitale illegale. In estrema sintesi, la Cyber Security è un sottoinsieme dell’Information Security, una degli enne di cui. Inoltre, la Direttiva NIS si applica ai soli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Stop. I primi sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. I secondi, invece, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.

In questo caos generale e artatamente disfunzionale, quando mi viene chiesto di spiegare confini e le relative competenze tra strutture organizzative apparentemente in competizione, rispondo telegraficamente così: la Security è una. Un accesso non autorizzato può essere di natura tanto fisica quanto logica. Non rileva la modalità attraverso cui si attua una minaccia, quanto piuttosto la natura della minaccia medesima. Dovrebbe prevalere il principio che vige nella Segregation of Duties (SoD), la separazione dei compiti. Chi fornisce i requirements (i requisiti, le regole) non può mai essere lo stesso soggetto che poi li implementa da un punto di vista tecnologico e, soprattutto, quello che effettua controlli e audit. A questo punto mi scatta un esempio calzante appositamente formulato: non si può chiedere a un carcerato di essere contestualmente agente di custodia penitenziaria, direttore del carcere e costruttore della prigione. Il solo pensarlo sarebbe pura follia, una contraddizione in termini. Eppure…

In sostanza ci si muove tra cortine fumogene e scoppi di indifferenza mentre la minaccia man mano si raffina e si potenzia. È un fantasma quello che in queste nebbie si aggira alla ricerca di senso. La sicurezza è premessa, non corsa affannosa a danno subito. Non può essere la difesa dei singoli perimetri di potere l’ostacolo al prevalere della minaccia che viene da un nemico dell’azienda e non deve venire dal suo interno. L’uomo della Security è collaboratore di tutti, non predatore di competenze; non sottrae poteri, ma aggiunge risorse in un ambito che per gli altri profili professionali è irrimediabilmente oscuro. Peraltro egli è l’unico all’interno dell’Azienda a coltivare e mantenere vaste relazioni istituzionali nell’ambito del “Sistema Globale della Sicurezza”; si relaziona, infatti, con tutte le Forze di Polizia e non solo. E spesso per portato di appartenenza.

Gino Bartali, indomito leone del ciclismo, se fosse ancora vivo propenderebbe istintivamente per un secco “L’è tutto da rifare!”. Ma la mia indole accomodante e conservativa predilige il “Ricomincio da tre” di Troisi: perché ricominciare da zero quando almeno tre cose sono state fatte bene? Si rischierebbe di gettare acqua sporca e bambino. Purché, però, quelle tre cose che si decide di salvare siano coerenti, armoniche e dirette a un fine superiore (e non di parte) in una strategica visione di insieme.

Tra gli uomini della sicurezza che ho avuto l’opportunità di conoscere ho trovato maestri e giovani menti vivacissime. Mi chiedo allora: cosa impedisce che tali cervelli si incontrino per definire correttamente, anche nella sua dimensione etica, l’autentico profilo di questo Manager della nuova era che incombe? Parliamone… ma facciamolo, non aspettiamo ancora.

di Cristhian Re

CRISTHIAN RE 
Attualmente Responsabile Sicurezza e Servizi Generali di Acciai Speciali Terni. Laurea in Scienze Politiche e Lettere Moderne, MA in Intelligence and Security, ufficiale in congedo dell’Arma dei Carabinieri, CBCI, PFSO, Lead Auditor ISO 37001, 9001, 27001, 22301, 20000, autore de “La misura della sicurezza” e “Propedeutica all’analisi del rischio”. Ha maturato la sua esperienza nell’industria della Difesa (Alenia Aeronautica e Finmeccanica), nel settore di produzione dell’Energia (Edipower), delle Multiutilies (A2A). Membro del Comitato Scientifico di S News, è dal 2015 curatore della rubrica Il Dazebao della Security.
 

25.11.2021


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Sunell: telecamera termica bi-spectrum rilevazione incendi e analisivideo

Sunell Italia, dopo la gamma di telecamere termiche ad altissima qualità delle serie...

KTS: Cavi Antincendio ed Evac per resistenza al fuoco CEI 20-105 V2

KTS presenta i cavi antincendio ed Evac, progettati e costruiti per garantire la resistenza...

FUJIFILM SX800: la rivoluzione nella videosorveglianza

FUJIFILM, come sottolineano dagli headquarters milanesi di Fujifilm Italia, con SX800 “ha...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.