Constatato l'oggettivo gradimento della rubrica “I Venerdì di S News”, grazie anche agli approfonditi contenuti presentati nell'intervista da Luigi Romano, CISM – VP & Secretary ASIS Italy, si prosegue oggi con un approfondimento di Claudio Pantaleo, Consulente Aziendale, Security & Safety – CSO, MdL, nonché Componente del Comitato Scientifico di S News, su “La sicurezza Aziendale – Un approccio globale”.
Buona lettura!
Sicurezza aziendale – un approccio “globale”
Summary
Tutte le Imprese hanno in comune l’esigenza di proteggere il proprio business e gli asset vitali (persone, beni, informazioni e clienti/consumatori), indispensabili per l’espletamento delle attività produttive e per il raggiungimento degli obiettivi di business. Il fine economico ed il mantenimento del vantaggio competitivo rappresentano quindi per l’Impresa elementi bisognosi di tutela, quest’ultima raggiungibile solo attraverso una omogenea e funzionale struttura di Security, pur se connotata da diversificazioni legate allo specifico settore industriale.
La mission della Security Aziendale è la protezione dell’Impresa e del suo business, nelle sue componenti organizzativa, produttiva e di marketing, in accordo con l’evoluzione tecnologica e con le mutate esigenze di mercato. Rispetto ad altre componenti, essa rappresenta un processo operativo ed organizzativo trasversale, qualunque sia il settore di appartenenza dell’Impresa (industriale, commerciale, finanziario, etc.).
Lo skill professionale e la trasversalità del processo assicurano il mantenimento del vantaggio competitivo, il potenziamento della capacità produttiva, la riduzione dei rischi connessi a minacce e/o debolezze insite nei processi aziendali. La globalità di tale impostazione, “a tutto campo”, deve essere in grado di superare le tradizionali barriere legate alle tipicità del settore produttivo di appartenenza ed alla frammentazione dei ruoli e delle responsabilità interne in tema di sicurezza (tipicamente: safety, vigilanza delle aree, ICT Security & Protection, R&D, nuove tecnologie, etc.), consentendo così di armonizzare gli interventi individuati come necessari e di elevare il grado di conoscenza e di coinvolgimento del personale nei processi di protezione degli asset aziendali.
Sviluppo “sostenibile” e tutela del business aziendale
I contesti economici e sociali che stiamo vivendo ed i recenti attacchi informatici portati verso entità commerciali, infrastrutturali e di governo ci aiutano a correlare, comprendere ed assimilare quanto è accaduto, fornendo anche una visibilità sui nuovi trend che dovremo essere in grado di gestire adeguando, in modo preventivo, i nostri sistemi e le nostre organizzazioni a tutela delle informazioni necessarie al business d’impresa.
Le Imprese non sono più degli organismi monolitici/statici ma sono sempre più organismi fluidi, nei quali le informazioni aziendali sono pervasive, distribuite e disponibili ovunque: all’interno delle strutture e dei processi aziendali, i quali a volte sono chiamati ad integrare entità esterne all’Impresa e nei quali, dunque, le informazioni vengono a trovarsi al di fuori dell’Impresa stessa Ciò comporta nuove ed importanti sfide per proteggere in modo adeguato queste informazioni, i servizi che su queste si basano e, alla fine, mission e business dell’Impresa.
Fusioni, acquisizioni, downsizing, esternalizzazioni, logistica distribuita, interdipendenza ed interconnettività rappresentano elementi che, pur nella loro oggettiva necessità, generano una frammentazione estesa dell’organizzazione che deve seguire la propria informazione all’interno di tale sistema per garantirne, in ogni punto di questo “network”, il corretto livello di protezione.
L’informazione rappresenta il valore dell’Impresa, che ha sempre più la necessità di essere condiviso e distribuito in rete. E ciò che ha valore per l’Azienda rappresenta anche un grande incentivo per i cyber-criminali.
Lo sviluppo e la convergenza di nuove piattaforme applicative su Web e su mobile, le nuove tecnologie come il Mobile e Cloud Computing ed i nuovi sistemi di social networking hanno cambiato il concetto di “physical boundary” delle Imprese rendendo possibile l’attuazione di un modello “Extended Enterprise”. Tale modello rende ovviamente disponibili moltissime interessanti nuove opportunità, ma anche notevoli nuovi rischi per il business poiché tali strumenti innovativi introducono anche vettori innovativi di attacco.
La comprensione di quale possa essere la strategia difensiva che l’Impresa deve adottare passa dunque attraverso una conoscenza approfondita dei contesti interni e di come essi debbano adeguarsi ai possibili scenari esterni.
L’imperativo è avere un approccio duale, fortemente improntato alla qualità delle analisi e dei piani da predisporre, e teso alla prevenzione delle situazioni di rischio e contrasto degli incidenti ed al ripristino delle normali operazioni aziendali. Tutto ciò realizzato avendo cura di analizzare e valutare la protezione delle informazioni dal punto di vista fisico, logico ed organizzativo.
Essendo le informazioni distribuite in tutta l’Impresa, è fondamentale instaurare un approccio olistico, che tenga conto di soluzioni consistenti, integrate nei processi aziendali, e globali, cioè in grado di proteggere le informazioni critiche in ogni punto della catena del valore aziendale.
Le attività traversali della Security dovranno essere poste in essere mediante interventi organici e con il contributo di personale identificato all’interno delle singole funzioni aziendali, opportunamente formato sulle seguenti tematiche:
• Information Security: l’insieme delle misure finalizzate a tutelare il patrimonio informativo dell’Impresa, su qualunque supporto risiedano le informazioni sensibili (informatico, trasmissivo, cartaceo), ed a proteggere i sistemi elaborativi complessi da attacchi di criminalità informatica.
• Risk Management: i criteri di identificazione ed analisi del rischio per gli asset tradizionali e non, anche in relazione a tendenze massimaliste.
• Auditing: la definizione e la verifica del corretto utilizzo delle procedure e delle norme di Security all’interno dell’Impresa ed all’esterno su direttive aziendali, con correzione di situazioni anomale.
• Human Resources: la promozione dell’intelligence interna, l’individuazione di comportamenti anti-aziendali, la predisposizione di politiche combinate su fenomeni di disagio, l’analisi di possibili minacce terroristiche e di conflitti violenti a sfondo contestativo-eversivo.
• Safety: l’integrazione di gestione del rischio ed emergenze.
• Finanza: la collaborazione con attività di intelligence per l’individuazione di fenomeni di inquinamento di circuiti finanziari.
• Servizi Generali: il contributo alla scelta ed al controllo dei fornitori, delle imprese di manutenzione e del personale di vigilanza e custodia (sia interno che in outsourcing); selezione, utilizzo e gestione dei servizi di sicurezza in outsourcing.
Dalla complessità delle operazioni richieste alla funzione di Security, qui sinteticamente delineate, e dalle conseguenti macroscopiche implicazioni, emerge con chiarezza l’esigenza, non più differibile, di adeguare ed estendere l’interpretazione della Security, già significativamente recepita in molti settori industriali nei quali la “parcellizzazione” delle attività di sicurezza e la conseguente mancata unitarietà hanno evidenziato gravi manchevolezze. Tale sviluppo andrà di pari passo con la crescita della consapevolezza del valore acquisito e del ritorno di investimento e di immagine legato alla maggiore protezione dell’Impresa; il processo potrà inoltre essere ulteriormente potenziato attraverso il perfezionamento degli strumenti già adottati e lo sviluppo di nuove metodologie, con specifica attenzione alla tutela delle performance e dei processi aziendali (business, partnership, opportunità, know-how, immagine, buon nome, etc.).
Il nuovo contesto in cui operano le Imprese
Obiettivo è dunque quello di fornire, alla luce delle esperienze acquisite e della conoscenza del mercato, un quadro sintetico, ma esaustivo, finalizzato ad indirizzare i principali aspetti, tattici e strategici, necessari ad attivare operativamente il sistema ed il processo “virtuoso” di Security Risk Management, espresso in premessa, necessario allo “sviluppo sostenibile” ed alla tutela del business aziendale.
In tale processo, l’organizzazione della Security aziendale rappresenta uno dei principali fattori abilitanti al servizio del business e della missione istituzionale dell’Impresa.
Una strategia di Security Risk Management è, e diventerà sempre più, un’attenta alchimia di componenti sapientemente combinate tra di loro per modo far sì che l’Impresa agisca in modo coordinato ed univoco, per contrastare le minacce provenienti sia dall’interno che dall’esterno. Per fare ciò deve essere attivato, e mantenuto nel tempo, un continuo processo di crescita culturale che coinvolge l’organizzazione della sicurezza, la quale, in funzione degli obiettivi di business e della valutazione dei rischi, disegna ed implementa la strategia, le risorse umane, le tecnologie ed i processi interni.
L’obiettivo è quello di creare un sistema di sicurezza che attui una modalità operativa di tipo predittivo e proattivo, analizzando i fattori di cambiamento interni (ad esempio, evoluzione del modello di business, evoluzione tecnologica, modifiche organizzative) ed esterni all’Impresa (ad esempio, nuove minacce ed attacchi, nuovi standard o leggi, cambiamenti politici, sociali, economici), che possano evidenziare la necessità di modificare il sistema di sicurezza per garantire una protezione adeguata delle proprie informazioni.
Il sistema, quindi, dovrà disporre di elementi che aiutino nella continua fase di alimentazione di una “knowledge base”, una base di conoscenza distribuita su tutta l’Impresa, che venga alimentata da più fonti (esterne, interne, incidenti, rischi, crisi) che consentano di mantenere alto il livello di attenzione e di migliorare la propria abilità e capacità di adattamento attivo per adottare nuovi “comportamenti/contromisure” necessari per contrastare in modo efficace ed efficiente i nuovi scenari di rischio.
In estrema sintesi, tale approccio consente alla Security Aziendale di giocare un ruolo strategico realmente al servizio del business dell’Azienda.
Claudio Pantaleo, Consulente Aziendale, Security & Safety – CSO, MdL
