Regent
Sicurezza
 

20/10/2014

Share    

Identikit del security manager

Chi è oggi il responsabile della sicurezza in azienda? Come si rapporta con il business e il management? Quali sono gli ostacoli che incontra e in che modo agisce per superarli? L’abbiamo chiesto a rappresentanti di associazioni e di aziende utenti.

La sicurezza in azienda evolve con l’evolvere delle minacce e in questa continua rincorsa l’approccio tipicamente reattivo – ho un problema, lo risolvo adottando questa determinata soluzione o implementando una nuova attività che sia di supporto a una rispo sta efficace alla nuova minaccia - non basta più. La sicurezza è oggi più che mai prevenzione, ma questo significa soprattutto rendere consapevoli i vari soggetti che vivono in azienda che la sicurezza gioca un ruolo importante, se non addirittura fondamentale, per lo sviluppo del business. È questo il tassello iniziale da cui bisogna partire per costruire una strategia di sicurezza coerente in azienda, mentre è sbagliato pensare che i problemi si risolvono calando dall’alto soluzioni tecnologiche, anche le più sofisticate e complesse, che trovando un contesto non adeguatamente preparato possono fare ben poco. Anzi danno un senso illusorio di protezione che può portare pericolosamente ad abbassare la guardia. Queste non sono certo considerazioni nuove, e i molti esperti di questo mondo le danno ormai per scontate. La realtà delle cose dice però che in molte aziende la sicurezza non è ancora un tema affrontato in modo organico: è spesso sottovalutata e ci si accorge della sua importanza spesso quando il danno è stato fatto. Questo prima di tutto perché di sicurezze ce ne sono diverse - tre per la precisione: protezione di beni, persone e informazioni - e queste stanno generalmente in ambiti aziendali diversi che spesso non si parlano tra loro; ma poi soprattutto perché in molte realtà si affronta la sicurezza in modo meramente tecnico, o solo per adempiere a degli obblighi di legge. Una reale strategia di protezione può essere invece immaginata, progettata e implementata solo se si cambia totalmente approccio, ed è questo oggi il compito che quotidianamente deve portare avanti all’interno della sua realtà il responsabile della sicurezza, il chief security officer o il security manager che dir si voglia. E quindi quali sono le politiche che deve mettere in atto un security manager per fare in modo che la sua realtà viva il tema sicurezza in modo corretto e concreto? Abbiamo posto questa domanda a tre esperti che fanno riferimento ad altrettante associazioni e a due importanti aziende utenti.


Più evangelist che manager
“Quando le tre sicurezze – dei beni, delle persone e delle informazioni - rimangono divise e sono magari attribuite all’interno dell’azienda a funzioni diverse, ricoprono esclusivamente dei ruoli tecnici che non portano valore aggiunto all’organizzazione e tanto meno al business”, dichiara Giuseppe Mastromattei, european region south ovest security responsible presso H&M Hennes & Mauritz, associato A.RI.MA.S. (Academic Risk Management Association). “Quando invece le tre sicurezze dipendono da un manager che si relaziona con i vertici aziendali, questo ha la possibilità di interagire e di portare con successo la sicurezza all’interno dei processi aziendali: allora sì che esercitiamo un ruolo strategico che può essere realmente di supporto al business”. Per far diventare la sicurezza un elemento strategico per il business la strada è però complessa e richiede molto impegno: “Bisogna mettere da parte la ‘divisa’ che si indossa metaforicamen te, e che molti colleghi ci vedono disegnata addosso, per diventare dei veri e propri ‘sales manager’ interni. È necessario quindi studiare molto per capire realmente i processi aziendali e bisogna andare ben oltre all’immagine della sicurezza che ‘chiude le porte’. Dobbiamo invece vendere la sicurezza e quindi avere doti comunica- tive per radicare il concetto che la sicurezza riesce a esprimersi al meglio, quando questa è partecipata e condivisa da tutte le altre funzioni aziendali”. Condividere la sicurezza è il primo passo di una strategia che ha l’obiettivo di incrementare la consapevolezza che la migliore protezione si ottiene quando le persone, in ogni cosa che fanno, pensano subito al fattore sicurezza come elemento abilitante: “E questo si può ottenere solo se non si spaventano le persone. Il security manager deve quindi partecipare alle riunioni strategiche, portando un messaggio ottimista, deve dare soluzioni e non porre problemi al business e se vede dei rischi, questo d’altra parte è il suo lavoro, deve saperli illustrare e condividere senza generare panico... Anzichè manager a volte penso che il nostro sia un ruolo più da evangelist della sicurezza”.


Implementare la ‘buona sicurezza’
A questo punto la domanda fondamentale diventa: come si relazionano le tre sicurezze tra loro e con le altre realtà dell’azienda? Esiste un modello a cui fare riferimento per implementare queste relazioni in un disegno di ‘buona sicurezza’? “Non esiste oggi un modello generale e ogni azienda ha un suo approccio che deriva dalle sue specificità e dalla sua storia – afferma Mauro Masic, vicepresidente AIPSA (Associazione Italiana Professionisti Security Aziendale), e security manager presso Magneti Marelli. Quando si parla di sicurezza industriale si parla comunque di un argomento traversale che deve riguardare tutte le funzioni di business, e i diversi aspetti della sicurezza (fisica, IT, safety) quindi devono interagire tra di loro ed essere proattivi verso gli obiettivi aziendali. “Nelle grandi aziende, per quanto attiene alla sicurezza, sono normalmente presenti comitati - gruppi di lavoro che coinvolgono, oltre al Security Manager, i responsabili del Risk Management, dell’IT, del Manufacturing, delle Risorse Umane, della Safety, che si rivolgono allo/agli executive dell’azienda stessa. Caso per caso le soluzioni si trovano insieme e vengono condivise tra tutti. Definita una necessità si imposta un progetto che viene guidato da un responsabile e le soluzioni normalmente sono assolutamente condivise; l’impegno inoltre è naturalmente quello di fare in modo che le diverse soluzioni messe in campo si parlino tra di loro”. Un percorso di condivisione che si concretizza con tecnologie che utilizzano standard comuni: “Questo però non significa cercare l’integrazione delle diverse sicurezze su piattaforme tecnologiche predefinite, e non significa assolutamente che tutto stia diventando sicurezza informatica. Anzi, questa rimane in un ambito ben focalizzato sulla protezione delle informazioni, dei sistemi e delle reti; la sicurezza informatica da sola non fa la sicurezza dell’azienda, il suo ambito rimane quello delle reti e dei dati, ovvio che questo ambito è in continua evoluzione sia per lo sviluppo delle tecnologie sia per i cambiamenti aziendali legati alla mobility. Ma anche al diverso ruolo dei fornitori, dei consulenti, alla necessità di aperture verso l’esterno aziendale, per cui i dati stanno andando ben oltre i loro confini tradizionali. È vero, invece, che la pervasività delle tecnologie informatiche sta abbassando le barriere tra sicurezza logica e sicurezza fisica”.
È necessario approcciare la sicurezza in modo globale ma: “Le diverse sicurezze devono essere seguite dagli specialisti dei diversi ambiti e l’informatica da sola non riesce, e non riuscirà mai a dare una risposta a tutto”. Il security manager è una figura che vive di continui cambiamenti per la complessità sempre crescente dei temi che deve affrontare: “Deve aumentare competenze e conoscenze e mantenere una visione aperta, per capire gli effetti dei fatti che avvengono, anche lontani, e che possono provocare un impatto negativo sull’azienda. La visione della realtà deve crescere con il crescere dell’azienda. Per esempio, il security manager di una realtà multinazionale, anche verso le istituzioni deve abbandonare l’approccio italiano-centrico, perché oggi, con molta probabilità, per esempio nel travel security, si trova a dover proteggere e tutelare i lavoratori della sua azienda che vanno in giro per il mondo e che generalmente non sono solo italiani, ma anche cinesi, brasiliani, indiani, tedeschi... Per ogni nazionalità ci sono interlocutori, regole, metodi e processi da attivare con le autorità dei Paesi d’origine diverse”.
Un modello per implementare la buona sicurezza non esiste, “così come non esiste la sicurezza assoluta, e ammesso che esista verrebbe a costare tantissimo”. Ciò non toglie che non sia doveroso lavorare a ‘standard’ comuni: “Ne abbiamo bisogno e infatti oggi AIPSA è impegnata con UNI a riscrivere la norma che riguarda il security manager... L’ultimo aggiornamento risale al 1995”.


La continua crescita della complessità
“I confini della sicurezza informatica non cambiano – è anche questa l’opinione di Gigi Tagliapietra, presidente CLUSIT – oggi la mobilità nei contesti aziendali amplifica in modo rilevante il tema della sicurezza informatica, ma questa non è diversa dal passato: bisogna sempre proteggere reti e dati”. Semmai la novità sta nella dimensione e nell’espansione del problema che è una conseguenza dell’evoluzione tecnologica e che a ogni passo aumenta la complessità in senso esponenziale: “La diffusione della rete IP trasforma le cose che tocca. Pensiamo per esempio alle nuove automobili che sempre più saranno anch’esse soggetti collegati a internet... Non è un paradosso dire che l’automobile di ultima generazione non è più un semplice autoveicolo, ma semmai è un computer con le ruote”.
Si va quindi verso uno scenario di complessità in crescita costante e l’approccio non può più essere quello di risolvere i problemi contingenti quando questi si presentano in azienda. “È difficile percepire il rischio di un bene intangibile, come l’informazione, che non si vede fisicamente. Ci sono aziende che oggi affidano in cloud informazioni critiche a terzi, senza sapere dove sono e come sono fatti i data center del fornitore. Ma oggi nessuno si sognerebbe di affidare i libri contabili ‘cartacei’ dell’azienda a un corriere che li porta in un magazzino che non si sa dov’è e come è protetto... La sicurezza quindi è sempre sottovalutata quando non si ha una reale percezione ‘fisica’ del pericolo”.
Il ‘retaggio antropologico’ di non percepire il rischio perché non si vede fisicamente il bene può essere però superato attribuendo un valore reale all’informazione. “Fatto questo importante passo implementando in modo corretto le soluzioni di sicurezza informatica che vanno a proteggere le informazioni critiche, allora la sicurezza diventa un processo di coerenza che segue queste informazioni nelle varie forme e utilizzi che prenderanno nel percorso di evoluzione dell’azienda. Più le mie scelte saranno coerenti alla mia strategia di sicurezza e più il security manager avrà la probabilità di reagire in modo giusto alle cose che prima o poi succederanno”. Certo perché nonostante tutto l’impegno c’è sempre una vecchia regola da tener ben presente: “La sicurezza non esiste. L’obiettivo del security manager è semmai un altro: farsi il meno male possibile. Ovvero, quando si verificherà un problema sul fronte della sicurezza, deve essere pronto a far ripartire l’azienda il più in fretta possibile”.
La coerenza della sicurezza è un processo di miglioramento continuo e non può che essere guidato da una personalità poliedrica, aperta e curiosa, fatta salva la necessità di avere, vista la complessità, un team di due o tre esperti a supporto del security manager: “È necessario sviluppare un pensiero non lineare, divergente, creativo; come dopotutto dimostrano di avere gli hacker. Bisogna avere una visione sistemica, capire quali sono gli effetti di un atto sull’ecosistema allargato dell’azienda... Per questo credo che nel team del security manager ci debba anche essere un biologo marino”.
La curiosità serve per capire i fenomeni del presente, e la curiosità è la base per costruire quella consapevolezza che bisogna diffondere in azienda: “Non si può fare finta che Facebook o Twitter non esistano e quindi pensare che con un divieto generalizzato le cose si risolvono da sole... Un dipendente a casa la sera sui social network ci va, e magari non è sempre attento a non divulgare informazioni sull’azienda, sui colleghi e sui clienti”. La sicurezza non può essere più vista come una cosa a parte: “È talmente integrata nella vita delle aziende e dei loro sistemi informativi che non può non essere sempre presa in considerazione”.

 

TORNA INDIETRO >>