Home » News » Attualità

Security a 380°: an effective and pragmatic approach

Security a 380°: an effective and pragmatic approach

In occasione dell’ADI Expo 2012 tenutosi nell'elegante cornice di Villa San Carlo Borromeo a Senago, Claudio Pantaleo, Security Manager e docente della Scuola Etica e Sicurezza, ha presentato un interessante approfondimento sulla “Security a 380°”. Qui di seguito il report dell’intervento di Pantaleo.

Nella protezione dagli incidenti di sicurezza, immancabilmente sono individuabili 3 distinti momenti: prima, durante e dopo il verificarsi dell’incidente.
Prima che gli eventi negativi accadano, è di fondamentale importanza individuare gli asset aziendali da proteggere. Le principali famiglie di asset aziendali sono rappresentabili:
– nelle “persone” ossia qualunque individuo, dipendente o meno dell’Azienda, che partecipa e fornisce il suo contributo ai risultati aziendali (anche, semplicemente, nella gestione della mensa aziendale);
– nei “beni”, ossia tutto ciò che costituisce patrimonio tangibile dell’Azienda (dai server di rete ai PC collegati da remoto);
– nelle “informazioni”, certamente quelle sensibili protette da norme quali la Data Privacy, ma anche – in forma più allargata – tutte le informazioni di business che possono avere una grande rilevanza per il raggiungimento dei risultati aziendali, poiché necessarie per rimanere competitivi nel mercato e per crescere nel tempo;
– nei “clienti”, senza i quali – è bene rammentare – non esiste l’Azienda.
Una volta individuati gli asset, in funzione delle direzioni strategiche aziendali andranno poi individuate le minacce alle quali essi vengono esposti. A causa di tali minacce, il rischio che un task aziendale possa non essere completato comporterà il mancato raggiungimento degli obiettivi stabiliti e, di conseguenza, il mancato rispetto del commitment e dunque danni per l’Azienda.
Il materializzarsi di un rischio andrà misurato e valutato in termini di probabilità di accadimento e di impatto (sia dal punto di vista temporale, di momento in cui si presenta l’evento dannoso, che spaziale, in termini di estensione e valutazione del danno). La probabilità di accadimento e l’impatto potranno essere valutati solo dopo avere individuato le difese e le protezioni miranti alla mitigazione o alla massima riduzione del rischio.
Il rischio valutato potrà infine essere trasferito dall’Azienda ad altri (ad esempio, attraverso una
copertura assicurativa), annullato (ad esempio, rinunciando al progetto che presenta così elevati rischi), accettato (imparando a convivere con il rischio medesimo), ovvero mitigato nel suo impatto o nella sua probabilità di accadimento.
Solo dopo queste analisi sarà davvero possibile decidere quale strada seguire con opportuni piani di contingency o piani di recovery.
Una volta predisposti e testati, i piani di recovery o contingency potranno essere usati nella fase del “durante”, ossia di risposta agli incidenti.
Maggiore sarà l’accuratezza delle fasi di analisi dei rischi e di preparazione delle contromisure da adottare in caso di evento negativo, più immediata e puntuale sarà la risposta all’incidente, con conseguente adeguato controllo dell’evolversi dell’incidente e con appropriato coinvolgimento delle strutture aziendali in fase di normalizzazione della situazione.
La fase di normalizzazione non comporta tassativamente il ritorno alle condizioni che precedono l’incidente, le quali potrebbero in realtà mostrarsi precarie per l’Azienda o per lo specifico processo e/o progetto.
Dopo ogni incidente, andrà effettuato il c.d. “post incident review”, che permetterà all’Azienda di valutare la bontà del suo grado di preparazione nel prevenire ed affrontare gli incidenti, in particolare l’efficienza dei suoi processi di Risk Analysis, l’efficacia nella predisposizione dei Piani di Contingency e Business Continuity e, infine, la prontezza nel reagire del processo di gestione dello specifico incidente.
In ogni caso, dunque, l’imperativo è quello di avere un approccio duale, fortemente improntato da una parte alla qualità delle analisi e dei piani da predisporre, dall’altra teso alla prevenzione delle situazioni di rischio e contrasto degli incidenti ed al ripristino delle normali operazioni aziendali. Tutto ciò realizzato avendo cura
di analizzare e valutare la protezione degli asset dal punto di vista fisico, logico ed organizzativo.
Ovvio che essendo gli asset distribuiti in tutta l’Azienda, è fondamentale instaurare un approccio olistico, che tenga conto di soluzioni consistenti, integrate nei processi aziendali, e globali, cioè in grado di proteggere in ogni punto della catena del valore aziendale.
Tutte le Imprese hanno in comune l’esigenza di proteggere il proprio business e gli asset vitali, indispensabili per l’espletamento delle attività produttive e per il raggiungimento degli obiettivi di business. Il fine economico ed il mantenimento del vantaggio competitivo rappresentano quindi per l’Impresa elementi bisognosi di tutela, quest’ultima raggiungibile solo attraverso una omogenea e funzionale architettura di Security, pur se connotata da diversificazioni legate allo specifico settore industriale.
La mission della Security è la protezione dell’Impresa e del suo business, nelle sue componenti organizzativa, produttiva e di marketing, in accordo con l’evoluzione tecnologica e con le mutate esigenze di mercato.
La funzione di Security, piuttosto atipica, rispetto ad altre componenti dell’impresa, rappresenta un processo operativo ed organizzativo trasversale alle varie strutture organizzative, qualunque sia il relativo settore di appartenenza (industriale, commerciale, finanziario, etc.). Lo skill professionale e la trasversalità del processo assicurano infatti il mantenimento del vantaggio competitivo, il potenziamento della capacità produttiva, la riduzione dei rischi connessi a minacce e/o debolezze insite nei processi Aziendali.
Il processo di Security Risk Management è uno dei processi aziendali ed avrà i suoi sottoprocessi, le sue policy ed i suoi misuratori (KPI, KPO).
Nell’ambito delle misure a protezione del patrimonio aziendale, andranno individuate tecnologie idonee ad aumentarne l’efficacia, affiancate tuttavia a policy e procedure di gestione delle stesse tecnologie e delle risposte contingenti.
Tale scenario deve essere ampliato sino a ricomprendere un’adeguata struttura preposta sia alle azioni preventive e di difesa, sia alle adeguate risposte ad eventuali incidenti di sicurezza.
Lo scenario si completa infine con l’impostazione di controlli sulle operazioni e sui comportamenti di gestori ed utilizzatori del patrimonio aziendale.
In tal senso, la Security Aziendale rappresenta l’anello di congiunzione tra il Business e l’Azienda, pensando, attuando e verificando tutte le attività necessarie a protezione degli asset aziendali e diventando il fulcro di un’azione efficace per l’aumento, nel tempo, del valore aziendale sul mercato.

di Claudio Pantaleo
 

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.