Security Convergence: sviluppi in Italia e in Europa

di James Willison, Vice chairman dell’ ASIS European Security Convergence sub committee

Con il termine “Security Convergence” facciamo riferimento a un insieme di processi che avvicinano le diverse sfere della sicurezza rivolte alla protezione di persone, informazioni e beni materiali. In molte realtà la physical security e l’information security sono ancora gestite da uffici separati. Il movimento europeo che promuove la convergenza è tuttavia consapevole del fatto che le organizzazioni sono sempre più vulnerabili a minacce di tipo “combinato” nei confronti di persone, informazioni e cose. Ed è per questo che enfatizza l’importanza di saper dare ai rischi la giusta priorità e di rispondere ai cyber attacchi in modo tempestivo ed efficace. La consapevolezza che le persone sono capaci di sfruttare la tecnologia a proprio vantaggio (e a scapito di altri) ha portato i leader dell’Information Security a unire le proprie forze con i professionisti della sicurezza più “tradizionale” per sviluppare strategie in grado di contrastare questi attacchi: ecco un esempio concreto di ciò che intendiamo per “convergenza”.

I benefici che si possono ottenere grazie a un approccio olistico nella gestione della sicurezza sono numerosi. Si va dai significativi risparmi legati all’impiego di una propria infrastruttura IT (rispetto all’esternalizzazione) a una risposta più rapida in situazioni di emergenza per mezzo di un sistema di comunicazione realmente efficace. Altri vantaggi sono stati evidenziati da un gruppo di lavoro guidato dall’Information Security Awareness Forum nell’aprile 2010. Nel Libro Bianco intitolato “Convergence of Security Risks: Addressing the Security Dilemma in today’s age of blended threats” fummo tutti d’accordo sul fatto che “esiste un immenso valore nella gestione integrata di tutti gli aspetti della security. La figura responsabile di questa gestione può occuparsi delle risorse sia tangibili sia intangibili, impegnandosi formalmente nei confronti dei comitati deputati alla valutazione del rischio. Il fatto che la stessa persona sia poi tenuta a riferire del proprio operato direttamente al Chief Operating Officer (COO) dovrebbe garantire che i problemi emersi siano indirizzati e compresi al livello più alto dell’organizzazione. È infatti importante assicurarsi che i vertici aziendali, a livello di gestione e di controllo, abbiano un quadro chiaro ed esauriente dei diversi rischi ai quali l’organizzazione è esposta. Perché questo è l’unico modo per pianificare azioni coerenti ed efficaci. Per farsi un quadro complessivo della situazione, al COO dovrebbe essere sufficiente l’incontro con una singola persona.

Ciò potrebbe addirittura dimezzare le riunioni con il dipartimento di sicurezza, garantendo al contempo che tutti gli aspetti della security siano gestiti in modo più efficace rispetto al passato. Grazie alla definizione di una linea comune nelle attività di reporting, gli esperti di ogni area potrebbero esaminare insieme i vari punti di vulnerabilità, garantendo che tutti gli incidenti e i problemi ricevano l’attenzione che meritano. E alla fine sarebbe sufficiente produrre un unico report. Il che permetterebbe di dare priorità ai rischi più rilevanti attraverso una visione unitaria delle minacce chiave e dei punti deboli.” La gestione “convergente” della security avvantaggia le aziende anche nella realizzazione di nuovi progetti. Sempre più frequentemente, infatti, le organizzazioni installano sistemi per il controllo accessi e TVCC IP per la videosorveglianza. Questa dipendenza dalle infrastrutture IT rende tutto più veloce, ma allo stesso tempo genera vulnerabilità che non sempre i manager della physical security sono in grado di identificare. È per questo che ogni area dedicata alla sicurezza deve lavorare a stretto contatto con tutte le altre, mantenendo questo rapporto per l’intero ciclo di vita del sistema. Un adeguato sviluppo dei sistemi di sicurezza può essere raggiunto solo attraverso un approccio convergente del processo di security management.

Dal 2007 a oggi l’Information Security Awareness Forum ha riunito diverse organizzazioni del Regno Unito con il preciso obiettivo di aiutare le aziende e i singoli a riconoscere e contrastare le crescenti minacce alle quali sono esposti. In questo senso, si è trattato di un ottimo esempio di come gli operatori del nostro settore possano collaborare attivamente per rispondere ai rischi emergenti. Alessandro Lega, chairman dell’ASIS Security Convergence sub committee, sta cercando il modo di collegare fra loro organizzazioni simili in Italia, e ha riscontrato un notevole interesse al riguardo. Sono infatti numerose le associazioni e le aziende leader del settore che hanno accolto con favore questo nuovo approccio. L’ASIS Security Convergence sub committee comprende diversi operatori leader del settore che stanno lavorando per rendere possibile una maggiore convergenza nel campo dell’information e physical security. Tutti condividono la convinzione che solo attraverso un approccio più unitario e coerente alla sicurezza saremo in grado di proteggere efficacemente le nostre persone, le nostre informazioni e le nostre proprietà.