L
’uomo al centro: non c’è security management che non abbia
in qualche modo attinenza con il comportamento umano, che
non dipenda dalla conoscenza delle dinamiche che regolano e
influenzano i comportamenti delle persone. Ne discende che le
competenze tecniche sono condizione necessaria ma non suffi-
ciente per sviluppare sistemi di sicurezza.
Secondo Gartner, dal 2015 i team dedicati alla sicurezza del 25%
delle organizzazioni più grandi al mondo disporranno di collabo-
ratori capaci di utilizzare tecniche derivate dalle scienze sociali il
cui impatto consentirà di varare innovativi programmi di sicu-
rezza. Procedure e tecnologie, infatti, non bastano se non ac-
compagnate da comportamenti individuali e di gruppo consoni
alle attese e ai requisiti stabiliti e condivisi.
Non c’è dubbio, infatti, che il comportamento umano rappre-
senti l’anello debole nei sistemi di sicurezza, la vulnerabilità più
difficile da comprendere e contenere. Capire come gli individui
reagiscono ai rischi e ai controlli attivati per mi-
tigarne gli effetti rappresenterà in futuro la
chiave per migliorare i sistemi già disponibili e
quelli in fase di progettazione e installazione.
Il ruolo delle relazioni personali nel
security e risk management
Lo sviluppo della sicurezza e delle relative di-
scipline di governo è funzione, complessa,
dell’evoluzione della tecnologia. In epoca di
mainframe, agli albori dell’informatica, pro-
gettare e gestire la sicurezza era mansione re-
lativamente semplice, concentrata per lo più
sul controllo degli accessi. L’ingresso dei Pc
nel mercato ha costretto a rileggere i para-
digmi delle origini, orientando verso la prote-
zione da attacchi virali, attraverso la
combinazione di tecnologie appropriate e pro-
cedure specifiche. Infine, la crescita vertigi-
nosa degli utenti Internet ha costretto a rileggere ancora una
volta i capisaldi della sicurezza, introducendo tecnologie spe-
cifiche di controllo, accompagnate da formazione adeguata
degli utenti finali.
L’età della compliance, propiziata dalle direttive europee sulla
protezione dei dati e dalla Sox negli Stati Uniti, si è concretiz-
zata nel crescente focus sulla sicurezza dei processi operativi,
con la simultanea creazione di nuovi prodotti. Così, a partire
dall’inizio del nuovo secolo, il management della sicurezza si è
progressivamente concentrato sul management del rischio,
coinvolgendo comportamenti, attitudini, capacità e cultura dei
soggetti coinvolti.
Proprio questa natura complessa, sempre più articolata, fa sì che
non esista un’unica strategia o un’unica tattica capace di mi-
gliorare l’allineamento col business; piuttosto c’è un ampio ven-
taglio di azioni interconnesse. La sincronizzazione sicurezza
/business con la tecnologia resta però materia complessa. L’IT
influenza il business e viceversa; al tempo stesso la sicurezza
deve soddisfare tanto le attese dell’uno che i requisiti dell’altro.
A disposizione dei tecnici ci sono oggi numerose buone prati-
che, caratterizzate da una stretta interconnessione con le metri-
che della produzione. Da queste considerazioni emerge una
certezza, la centralità delle relazioni personali, che diventano
tema comune di analisi e discussione dei tecnici. In quest’ottica,
security e risk management acquisiscono un valore aggiunto fi-
nora sconosciuto; la sfida ora è individuare metodi e algoritmi di
calcolo che permettano di dare peso oggettivo a variabili in ap-
parenza solo soggettive.
La centralità dell’uomo, dei comportamenti, delle emozioni nelle strategie
di cambiamento aziendale destinate allo sviluppo integrato della sicurezza
TOM SCHOLTZ*
Fonte: Gartner
luglio-agosto 2011
47
