Sicurezza Aziendale: un approccio “globale” (PARTE PRIMA)
Sviluppo “sostenibile†e tutela del business aziendale
I contesti economici e sociali che stiamo vivendo ed i recenti attacchi informatici portati verso entità commerciali, infrastrutturali e di governo ci aiutano a correlare, comprendere ed assimilare quanto è accaduto, fornendo anche una visibilità sui nuovi trend che dovremo essere in grado di gestire adeguando, in modo preventivo, i nostri sistemi e le nostre organizzazioni a tutela delle informazioni necessarie al business d’impresa.
Le Imprese non sono più degli organismi monolitici/statici ma sono sempre più organismi fluidi, nei quali le informazioni aziendali sono pervasive, distribuite e disponibili ovunque: all’interno delle strutture e dei processi aziendali, i quali a volte sono chiamati ad integrare entità esterne all’Impresa e nei quali, dunque, le informazioni vengono a trovarsi al di fuori dell’Impresa stessa Ciò comporta nuove ed importanti sfide per proteggere in modo adeguato queste informazioni, i servizi che su queste si basano e, alla fine, mission e business dell’Impresa.
Fusioni, acquisizioni, downsizing, esternalizzazioni, logistica distribuita, interdipendenza ed interconnettività rappresentano elementi che, pur nella loro oggettiva necessità , generano una frammentazione estesa dell’organizzazione che deve seguire la propria informazione all’interno di tale sistema per garantirne, in ogni punto di questo “networkâ€, il corretto livello di protezione.
L’informazione rappresenta il valore dell’Impresa, che ha sempre più la necessità di essere condiviso e distribuito in rete. E ciò che ha valore per l’Azienda rappresenta anche un grande incentivo per i cyber-criminali.
Lo sviluppo e la convergenza di nuove piattaforme applicative su Web e su mobile, le nuove tecnologie come il Mobile e Cloud Computing ed i nuovi sistemi di social networking hanno cambiato il concetto di “physical boundary†delle Imprese rendendo possibile l’attuazione di un modello “Extended Enterpriseâ€. Tale modello rende ovviamente disponibili moltissime interessanti nuove opportunità , ma anche notevoli nuovi rischi per il business poiché tali strumenti innovativi introducono anche vettori innovativi di attacco.
La comprensione di quale possa essere la strategia difensiva che l’Impresa deve adottare passa dunque attraverso una conoscenza approfondita dei contesti interni e di come essi debbano adeguarsi ai possibili scenari esterni.
L’imperativo è avere un approccio duale, fortemente improntato alla qualità delle analisi e dei piani da predisporre, e teso alla prevenzione delle situazioni di rischio e contrasto degli incidenti ed al ripristino delle normali operazioni aziendali. Tutto ciò realizzato avendo cura di analizzare e valutare la protezione delle informazioni dal punto di vista fisico, logico ed organizzativo.
Essendo le informazioni distribuite in tutta l’Impresa, è fondamentale instaurare un approccio olistico, che tenga conto di soluzioni consistenti, integrate nei processi aziendali, e globali, cioè in grado di proteggere le informazioni critiche in ogni punto della catena del valore aziendale.
Le attività traversali della Security dovranno essere poste in essere mediante interventi organici e con il contributo di personale identificato all’interno delle singole funzioni aziendali, opportunamente formato sulle seguenti tematiche:
• Information Security: l’insieme delle misure finalizzate a tutelare il patrimonio informativo dell’Impresa, su qualunque supporto risiedano le informazioni sensibili (informatico, trasmissivo, cartaceo), ed a proteggere i sistemi elaborativi complessi da attacchi di criminalità informatica.
• Risk Management: i criteri di identificazione ed analisi del rischio per gli asset tradizionali e non, anche in relazione a tendenze massimaliste.
• Auditing: la definizione e la verifica del corretto utilizzo delle procedure e delle norme di Security all’interno dell’Impresa ed all’esterno su direttive aziendali, con correzione di situazioni anomale.
• Human Resources: la promozione dell’intelligence interna, l’individuazione di comportamenti anti-aziendali, la predisposizione di politiche combinate su fenomeni di disagio, l’analisi di possibili minacce terroristiche e di conflitti violenti a sfondo contestativo-eversivo.
• Safety: l’integrazione di gestione del rischio ed emergenze.
• Finanza: la collaborazione con attività di intelligence per l’individuazione di fenomeni di inquinamento di circuiti finanziari.
• Servizi Generali: il contributo alla scelta ed al controllo dei fornitori, delle imprese di manutenzione e del personale di vigilanza e custodia (sia interno che in outsourcing); selezione, utilizzo e gestione dei servizi di sicurezza in outsourcing.
Dalla complessità delle operazioni richieste alla funzione di Security, qui sinteticamente delineate, e dalle conseguenti macroscopiche implicazioni, emerge con chiarezza l’esigenza, non più differibile, di adeguare ed estendere l’interpretazione della Security, già significativamente recepita in molti settori industriali nei quali la “parcellizzazione†delle attività di sicurezza e la conseguente mancata unitarietà hanno evidenziato gravi manchevolezze. Tale sviluppo andrà di pari passo con la crescita della consapevolezza del valore acquisito e del ritorno di investimento e di immagine legato alla maggiore protezione dell’Impresa; il processo potrà inoltre essere ulteriormente potenziato attraverso il perfezionamento degli strumenti già adottati e lo sviluppo di nuove metodologie, con specifica attenzione alla tutela delle performance e dei processi aziendali (business, partnership, opportunità , know-how, immagine, buon nome, etc.).
di Claudio Pantaleo, Consulente Aziendale, Security & Safety – CSO, MdL
