Security Convergence: ma cos’è?

di Alessandro Lega

Periodicamente ci sono nuovi termini che vengono introdotti nel mondo del business. Uno di questi, ormai diffuso in ambito organizzativo, è il termine "convergence". In Italiano la parola convergenza può richiamare diverse cose: dalla verifica dell'inclinazione delle ruote anteriori di un'autovettura al pensiero quasi filosofico introdotto nella politica degli anni '60-'70, con il famoso binomio "convergenze parallele". Nel mondo Anglosassone, invece, si è passati velocemente dal "convergence of security risk" al semplice security convergence, usato ormai sempre più spesso senza necessità delle virgolette. Cosa è avvenuto, in buona sostanza?

Nel tempo la sicurezza fisica è diventata fortemente dipendente da sistemi informatici importando i relativi benefici e sfide, acquisendo però allo stesso tempo anche le vulnerabilità che sono associate. La maggior parte delle soluzioni di Physical Security opera oggi tramite una network aziendale ed è governata da sistemi informatici, gestiti da diverse funzioni aziendali. Questo fa sì che siano state introdotte alcune vulnerabilità per sistemi di intrusion detection, sistemi di sorveglianza, sistemi di allarme e di building automation. Questi sistemi computerizzati possono quindi diventare il punto debole attraverso i quali mettere in atto degli attacchi per ottenere alcune informazioni critiche di un'organizzazione. Anche se Security Convergence non è ancora completamente definita negli attuali standard di riferimento, la sua adozione viene fortemente suggerita come risposta strategica alle problematiche sopra esposte e sta diventando sempre più una best practise raccomandata dai leader della Security Industry che operano in ambito di converged security threats.

Un po' di definizioni

La Security Convergence può essere definita quindi come un insieme di processi che mettono assieme tutti quelli che sono dedicati alla protezione degli asset aziendali od organizzativi. Nella maggior parte dei casi le Physical Security ed Information Security vengono gestite da funzioni diverse. L'individuazione delle interdipendenze che esistono fra funzioni di business ed i relativi processi ha portato allo sviluppo di un approccio più olistico del security management. E' diventato vitale per le organizzazioni adottare un approccio allargato ed una visione ampia di corporate security, operando con una strategia allargata che includa tutte le aree di rischio. Esiste un grande vantaggio nell'avere un punto singolo di ownership per tutti gli aspetti di security di un'organizzazione. Con questa soluzione organizzativa una stessa funzione assume la responsabilità sia per la protezione degli asset fisici che per quelli intangibili, così come per la crescente complessità degli aspetti di compliance. Sono importanti anche altri aspetti organizzativi, fra cui avere una dotted line con i comitati corporate audit & risk management, ed una linea diretta di riporto con l'Executive responsabile delle Operations al fine di garantire che le issue di security siano comprese ed indirizzate al più alto livello. E' importante assicurare che il Board e le operazione di business abbiano una completa visione dei rischi di security che un'organizzazione può realmente incontrare e che abbia dei piani per affrontarli. Così facendo l'Executive responsabile delle operazioni riuscirà ad avere il polso della situazione dei rischi dialogando con una sola funzione, evitando di dover incontrare le diverse funzioni aziendali che affrontano i diversi aspetti legati ai rischi. Una linea di riporto unica per ogni tipo di rischio fa sì che le vulnerabilità di ciascuna area security vengano esaminate in modo comune e che i relativi incidenti siano gestiti con lo stesso livello di attenzione. Conseguentemente sarà necessario un solo report, che renderà più facile la scelta delle priorità in base all'importanza dei rischi, ottenendo una visione unica delle relative minacce.

Cambiamento organizzativo

In alcuni casi potrebbe essere difficile realizzare un cambiamento organizzativo così radicale. L'alternativa in risposta alla necessità di realizzare una Converged Security potrà passare anche attraverso una collaborazione da adottare per far convergere i processi che la governano. I casi in cui i Comitati Rischi incoraggiano attivamente verso progetti congiunti per nuovi sistemi security e che sviluppano efficaci strategie di Enterprise Security Risk Management (ESRM) sono già degli ottimi esempi di una risposta "converged" alle minacce di security convergenti. La recente decisione presa da parte di ASIS International, in Europa, di costituire un European Convergence Subcommittee è una delle iniziative a supporto dell'adozione di questo modello organizzativo. Dell'argomento si è parlato al Security Summit lo scorso marzo e durante la decima ASIS International European Conference a Vienna ai primi di aprile.