Cosa deve saper fare un system integrator?

di Luca Algeri - Business Development Manager SKP Technology, Gruppo SKP

Che lavoro fa il system integrator? O piuttosto: cosa dovrebbe fare un system integrator serio per mettere in sicurezza un’azienda in modo efficace, efficiente, sostenibile e con una prospettiva temporale utile, in un mondo che cambia alla velo- cità della luce? Questo percorso approfondisce le principali tematiche tecnologiche procedurali e di compliance che deve affrontare il professionista della sicurezza. Con un obiettivo: garantire sicurezza, interessi e reputazione dell’azienda.

Fase 1

• Risk Assesment: prima di compiere qualsiasi valutazione sul sistema di sicurezza è necessariocollocare il sito da proteggere in una dimensione e/o posizione sul mercato. Una prima analisi riguarda il core business aziendale: è necessario per capire quali sono i rischi a cui l’azienda potrebbe essere esposta. Una seconda analisi riguarda il posizionamento dell’azienda rispetto al mercato di interesse: tale posizionamento può incidere, infatti, sulla maggiore o minore possibilità che qual- cuno prenda di mira il sito per svariati motivi, siano essi direttamente riconducibili al bene prodotto – rischi diretti - oppure capaci di incidere sulla credibilità dell’azienda in senso commerciale – rischi indiretti. Una terza analisi riguarda le criticità rilevabili attraverso casistiche di accadimenti reali su aziende con analogo core business. Una quarta analisi riguarda le criticità riscontrate nel passato all’interno della azienda, le reazioni alle stesse e i risultati ottenuti, con lo scopo di rilevarne le cause e valutarne le procedure di risposta.

• AS IS, stato dell’arte: fatta questa prime analisi, è necessario procedere con l’AS IS aziendale in modo da cristallizzare lo “stato dell’arte” raggiunto dall’azienda attraverso i suoi sistemi di difesa: attivi (videosorveglianza, controllo accessi, antintrusione ecc), passivi (porte blindate, grate alle finestre, recinzioni esterne ecc); procedurali (regole di condotta, disposizioni interne, direttive ecc); assicurativi. Servono poi dei documenti atti a delineare la struttura aziendale ed il sentiment dei dipendenti, come l’organigramma (per capire l’organizzazione aziendale e individuare eventuali punti di criticità), il codice etico (se presente, vuol dire che l’azienda sta “alzando l’asticella compor- tamentale” dei dipendenti, per cui alcune misure di physical security potrebbero essere necessarie per rilevare i comportamenti non conformi), e ancora: GDPR e modelli 231/01 (tesi a prevenire la commissione di reati dei dipendenti che potrebbero rendere l’azienda responsabile oggettivamen- te). La comparazione di tutte queste analisi ed i relativi documenti e/o interviste, consente di deri- vare, attraverso un grafico, lo stato di sicurezza aziendale “fotografato” mediante l’attribuzione di un numero, risultato di una formula matematica. L’implementazione o l’aggiornamento dei sistemi di sicurezza attivi, passivi e procedurali dovrebbe elevare tale numero.

Fase 2

Progettazione: la convergenza fisica-logica porta la sicurezza a non essere più percepita per silos e con un approccio azione-reazione, ma come un unico “ambiente” che consenta la supervisione di tutto, nell’ottica di quello che oggi viene chiamata “Allerta Immediata”. Il system integrator deve progettare in modo minuzioso tutto il sistema, ossia: fissare le best practice; progettare in modosistemico con ferree regole architetturali procedurali, normative e tecnologiche; dare valore e qualità, certificare e controllare tutta la filiera (dalla risk analysis alla progettazione, dalla scelta dei prodotti hardware e software alla loro installazione, collaudo e manutenzione, dai test periodici degli impianti alle procedure operative e di intervento); attivare tutti i piani e le procedure che consentano un elevato livello di protezione, prevenzione e mitigazione dei rischi di attacco (penetration test, back up, virtualizzazione, resilienza); utilizzare nuove tecnologie di centralizzazione, comando e controllo.

Fase 3

Formazione: essenziale per essere allineati sulle innovazioni tecniche e non solo (vedi formazione del lavoratore ex Dlgs.81/08, formazione mirata in relazione alla valutazione derivante dal Risk Assesment di ogni appalto preso in gestione, oppure formazione degli addetti alla vigilanza (che deve spaziare dalle verifiche nel campo dell’edilizia, all’analisi di particolari in siti sensibili, fino alla verifica visiva di corrispondenza sospetta e molte altre situazioni).

Fase 4 - Procedure Operatori per la gestione degli Alert in Centrale Operativa

Dal punto di vista architetturale l’accentramento/centralizzazione della funzione Security per l’o- peratore di centrale può essere scomposta in due macro-elementi tra loro interconnessi: la gestione del personale in termini di formazione e standardizzazione del modus operandi e la funzionalità tecnico-operativa, intesa come gestione della tecnologia e delle risorse tecniche deputate ad imple- mentarla/manutenerla (concetti di business continuity/disaster recovery).

Al fine di giungere ad una reale ottimizzazione dei due fattori è necessario proporre una struttura di sicurezza centralizzata a servizio della funzione aziendale di Security composta da due elementi:

• elemento di comando tramite Centrali Operative Geografiche con logica Master/Slave, di pari capacità tecnologiche, con una gestione del personale unitaria e razionale, con procedure operati- ve standard (previste dalla norma UNI EN 50518:2014) e un’elevata attenzione alle esigenze del cliente. Il tutto senza perdere l’aderenza territoriale (attività facilitata da sistemi geografici integrati per la centralizzazione e la gestione delle pattuglie);

• elemento di controllo con un’intensa e periodica attività di auditing effettuata da Security Manager certificati ex UNI 10459:2015 per verificare l’efficienza e l’efficacia dei servizi erogati.

Questo schema consente un rapido sviluppo di nuove funzionalità e verticalizzazioni, riducendo i costi indotti e i rischi aziendali mantenendo però una capacità di espansione o riduzione delle risorse dedicate a seconda dell’andamento del mercato.

Per quanto attiene le relazioni di Comando e Controllo, la soluzione organizzativa può prevedere un organigramma su tre livelli direzionali/gestionali che identificano tre differenti capacità/livelli decisionali/responsabilità:

• 1° livello “Direzionale” con capacità di pianificazione direzione ed allocazione delle risorse per l’implementazione delle misure di sicurezza;

• 2° livello “Esecutivo centrale” con capacità di coordinamento e controllo;

• 3° livello “Esecutivo locale” con capacità di esecuzione delle disposizioni impartite.

La Centrale Operativa sarà utilizzata quale asset.

Fase 5 - Attenzione al corretto trattamento del dato

Fase 6 - Monitoraggio attivo del sistema e servizio di manutenzione

Per abbassare il rischio di fermo attività è importante un’attività manutentiva program- mata che assicuri la miglior efficienza nel tempo degli impianti. Manutenzione che diventa fondamentale e obbligatoria, per esempio, negli impianti di rilevazione incendio in rispetto della normativa UNI 11224 che prevede una visita di controllo semestrale con personale qualificato e che abbia svolto appropriati corsi di abilitazione. Ma ai tempi d’oggi è fondamentale un monitoraggio proattivo in grado di tenere sotto controllo in tempo reale ogni singolo dispositivo all’interno dell’infrastruttura, intercettando i segnali che anticipa- no una potenziale anomalia, diminuendo i tempi di inattività imprevisti o non pianificati, permettendo quindi un intervento tempestivo prima che i problemi si possano verificare e abbassandone di molto il tempo medio di risoluzione. Ritorniamo al concetto di “Allerta immediata”, ma con una filiera più articolata e che prevede:

• monitoraggio dei sistemi, sensori, data base, informazioni on line, …

• intercettazione di allarmi, informazioni, anomalie, …

• correlazione geografica, nel tempo e tra sistemi diversi…

• interpretazione delle informazioni ricevute per dare un significato univoco e leggibile

• intervento con attivazione delle procedure pianificate

• contenimento per minimizzare i danni potenziali o già verificati

• ripristino di ciò che è stato interrotto e/o danneggiato

• apprendimento, ossia fare esperienza di quanto accaduto, comprendendone le cause e le dinamiche

• implementazione di tutte le azioni correttive (operative e tecnologiche) e trasferimento delle stesse.

Conclusioni

In un’era di tecnologie sempre più spinte e dedicate, il focus e la specializzazione sono e saranno un valore fondamentale. Risulterà importante la valorizzazione delle competenze specifiche e, al tempo stesso, la capacità di confronto, di problem solving, l a comunicazione e quindi la relazione al fine di raggiungere l’obiettivo finale. Un buon system integrator diventerà un gestore di competenze differenti, in grado di analizzare le necessità e fare una sintesi tra le possibili risposte per raggiungere la soluzione più efficace ed efficiente. Ma serve anche avere la mente aperta: non esiste infatti una soluzione “standard” a tutti i problemi, ma soluzioni che realizzano il miglior compromesso tra tutte le esigenze in campo. È la soluzione che deve adattarsi alle necessità del cliente, e mai il contrario.