Negli ultimi anni la tematica della sicurezza nelle aziende ha acquisito sempre più importanza. Si è capito che i gesti scaramantici non bastano: il problema esiste, deve essere affrontato con serietà e in modo integrato a tutti gli altri problemi aziendali. Molte imprese, inoltre, hanno compreso che per gestire bene questa problematica bisogna saper integrare la sicurezza fisica e la sicurezza logica e proteggere correttamente le infrastrutture critiche.
“Nelle aziende, acquisire competenze di security management, disciplina che comprende tematiche quali la gestione dei rischi, il contrastare iniziative aggressive, il ripristinare i danni derivati da azioni illecite è ritenuto sempre più strategico”, ha detto Alessandro Lega, senior security consultant, CPP ASIS International in un convegno organizzato nel corso del recente Security Summit. “Si è capito che chi gestisce la sicurezza è importante quanto chi si occupa di marketing, deve avere doti di leadeship, essere innovatore e trascinatore all’interno dei progetti da lui gestiti”.
Secondo Lega, fino a non molto tempo fa nelle aziende le funzioni correlate a sicurezza fisica e logica erano separate, vinceva chi si occupava di Ict. “Oggi”, ha proseguito il senior security consultant, “si è capito che per una buona gestione della sicurezza le competenze devono convergere a livello manageriale, deve essere dato spazio a una visione più ampia del problema security all’interno di una organizzazione. Proprio per far convergere questi problemi è nata la figura del chief security officer, che contribuisce alla congiunzione delle responsabilità in ambito sicurezza”.
La parola alle imprese
Ma in concreto, come si organizzano le aziende in materia di sicurezza ? “Negli ultimi anni non solo abbiamo cercato di dotarci di un management di sicurezza, ma ci siamo impegnati per strutturarci in modo più completo”, ha dichiarato Paolo Campobasso, chief security officer di Unicredit Group. “Ci siamo interrogati sul ruolo che la sicurezza deve avere all’interno del gruppo, per capire come un’adeguata organizzazione possa contribuire alla gestione delle attività specifiche”. In Unicredit il chief security officer si confronta con il responsabile dell’Ict e altre figure manageriali per affrontare il problema della sicurezza e organizzare la strategia del gruppo. In una realtà come quella bancaria, integrare sicurezza fisica e sicurezza logica è importantissimo, per impedire frodi anche di milioni di euro.
In Terna, azienda attiva nel settore dell’energia, come ha spiegato Giancarlo Caroti, responsabile sicurezza logica, direzione sicurezza aziendale della società, inizialmente la security non era adeguatamente gestita; non erano presi correttamente in considerazione i problemi legati all’evoluzione delle minacce e delle tecnologie. Per affrontare meglio il problema, il direttore sicurezza aziendale ha coinvolto persone provenienti dalle diverse direzioni della società, con cui organizzare una infrastruttura di sicurezza che considerasse tutte le funzionalità aziendali. Si è scelto un approccio integrato di risk analysis; si è voluto realizzare un progetto antintrusione con un’unica regia e un unico approccio tecnologico. “Oggi questo progetto è sempre più realtà”, ha affermato Caroti. “Abbiamo creato un Soc (Security Operation Center) fisico-logico per svolgere attività estese di monitoraggio. Vogliamo fare attività di sicurezza a 360 gradi, che coinvolga persone, materiali, informazioni e processi. Affrontare la sicurezza in questo modo ha contribuito anche a creare più integrazione a livello aziendale”.
Secondo Raffaele Panico, fraud manager di Poste Italiane, in molte aziende il problema della sicurezza per troppo tempo è stato demandato agli specialisti; anche in Poste Italiane era così. In seguito si sono create varie aree di security legate a tematiche quali sicurezza fisica, logica, fraud management, analisi e valutazione dei rischi. Successivamente è sorta l’esigenza di far confluire tutti questi aspetti, anche per stare al passo con l’evoluzione delle attività di Poste Italiane.
Si sono create unità organizzative spazio-temporali e quindi una Security Room per dare un supporto superiore alle funzioni di business. Grazie alla Security Room sono gestiti gli eventi illeciti, è gestita sia la sicurezza fisica sia quella informatica. “Questa organizzazione ha favorito lo sviluppo di sinergie tra le diverse funzioni”, ha detto Panico. “Nel nostro modello convergono sicurezza fisica, logica, videosorveglianza, business security intelligence e safety”.
Molteplici sono i problemi di sicurezza per una realtà come Ferrovie dello Stato. Si va da problemi fisici come il rischio di furti e rapine, ad atti di terrorismo, di investimento di persone alle frodi informatiche. Per gestire meglio la sicurezza, Ferrovie dello Stato ha creato il sistema Enterprise Risk Assessment & Security Management per gestire ed elaborare le informazioni del Gruppo. Sono analizzati tutti gli asset di Ferrovie dello Stato, sono individuati i rischi che nel tempo si sono verificati, è realizzato un legame tra eventi e asset e sono elaborati differenti profili di rischio. Da questa analisi è elaborato un indice del rischio, sono individuati i momenti di maggiore criticità in rapporto anche ai vari luoghi. Risorse di carattere informatico, sistemi di videosorveglianza sono strategici. Anche Ferrovie dello Stato, come ha spiegato Alfredo Sabeone della direzione Protezione Aziendale, responsabile area tecnica e segretario dell’organo centrale di sicurezza di FS Holding, ha puntato sulla realizzazione di una Security Room, per affrontare i problemi della sicurezza in modo completo.
“Il settore della security è cambiato negli ultimi anni”, ha evidenziato Damiano Toselli, responsabile sicurezza di Telecom Italia. “Oggi moltissime aziende hanno un responsabile di security a supporto delle proprie attività di business. C’è necessità di gestire attività complesse, di cogliere i segnali deboli a cui dare una risposta adeguata”. Secondo Toselli sui cambiamenti che si sono verificati in ambito Ict security ha giocato anche la necessità di essere conformi alle normative.
Gestire la sicurezza è un aspetto importante anche per Domenico Vulpiani, direttore del Servizio Polizia Postale e delle Comunicazioni. Minacce informatiche, attacchi a infrastrutture critiche, uso del Web per finalità terroristiche sono problemi che possono essere affrontati grazie a sinergie tra i diversi operatori. Fondamentale, per risolvere molti problemi, è stata la creazione di una rete con le diverse polizie del mondo.
“La sicurezza è un aspetto sempre più strategico, che non può essere più gestito da una sola persona ma deve essere distribuito in tutta l’azienda”, ha concluso Lega. Importante è che il security manager sappia porre le proprie competenze al servizio del top management, creando sinergie tra le varie aree aziendali per concretizzare quanto è stato pianificato in materia di sicurezza.