La Convergenza si mette sotto esame

di Marc Rowe, Executive Editor di Professional Security Magazine, www.professionalsecurity.co.uk

Un’indagine condotta da ASIS e ISAF dimostra che le imprese si stanno muovendo verso la Convergenza, e che lo stanno facendo soprattutto in risposta a minacce variegate e al graduale avvicinamento fra sicurezza fisica e IT security. La necessità di andare in questa direzione è emersa anche nel corso dell’ultima ASIS European Security Conference: occorre abbattere le barriere interne, favorire la comunicazione, fare della sicurezza una funzione aziendale in grado di offrire un contributo tangibile all’intera organizzazione. Ma per raggiungere questi obiettivi serve una leadership più forte e autorevole. Riprendiamo, per gentile concessione di autore ed editore, l'articolo di Marc Rowe apparso su Professional Security Magazine di Giugno 2012 (pp. 56-57).

L’Information Security Awareness Forum (ISAF) e l’ASIS European Security Convergence sub-committee hanno condotto fra i soci un’indagine sulla Convergenza nella sicurezza in Europa. Il co-autore della ricerca James Willison, vice-chairman dell’ASIS European Security Convergence committee e fondatore della Unified Security Ltd, ha spiegato che “dall’analisi di 216 imprese è emerso come, in media, il 60% dei dipendenti di ogni azienda stia lavorando a progetti di sicurezza convergenti: in particolare, il 39% opera all’interno dello stesso dipartimento o fa riferimento a un medesimo direttore esecutivo, mentre il restante 21% collabora su molteplici aspetti legati alla sicurezza”. Secondo Willison, le aziende avvertono una  sempre maggiore necessità di sviluppare un approccio personale alle strategie di sicurezza, e al crescere delle minacce di tipo cyber e si fa sempre più forte l’esigenza di un approccio olistico alla security. La condivisione dei report, i progressi della tecnologia e la crescente fiducia riposta nei sistemi di networking, ha concluso Willison, “condurranno inevitabilmente allo sviluppo di soluzioni convergenti”.

Le ragioni della convergenza

Un altro co-autore dello studio, il presidente dell’ISACA GRA Sub-Committee Sarb Sembhi, ha precisato che “uno degli obiettivi prioritari della ricerca era comprendere le ragioni che spingono una qualsiasi organizzazione ad adottare un approccio convergente alla sicurezza”. Secondo il 57% degli intervistati, il fattore chiave in questione è rappresentato dalla necessità di fronteggiare minacce composite. “Le ragioni di questa risposta sono abbastanza evidenti: non solo la stampa parla sempre più spesso di problemi del genere, ma le stesse organizzazioni si trovano a doverli fronteggiare direttamente nella realtà quotidiana”. Secondo il chairman dell’ISAF David King, “la convergenza è diventata un argomento di interesse significativo nel corso degli ultimi anni – e ciò nel campo della sicurezza tradizionale come in quello dell’information security.

La prevalenza di minacce composite e il graduale avvicinamento fra sicurezza fisica e IT security hanno accresciuto il bisogno di una risposta di questo tipo. Anche se è difficile stimare in modo preciso la diffusione della convergenza – ha concluso King – è indubbio che molte organizzazioni la stiano adottando, seppure a livelli diversificati”. Alessandro Lega, chairman del Convergence Security Committee di ASIS Europe, ha poi osservato che questa è stata “la prima vera ricerca condotta sul tema in Europa”, sottolineando i rischi legati alla complessità dell’argomento: “Non potevamo prevedere – ha aggiunto – se le corporation sarebbero state disposte a condividere con noi le informazioni in loro possesso o meno”.

Un lavoro da specialisti

L’indagine è stata commissionata a tre specialisti, tra cui il professor Paul Dorey, chairman emerito dell’Institute of Information Security Professionals (IISP). “E’ da lungo tempo che siamo interessati ad un’efficace integrazione e alla Convergenza fra diverse funzioni e capacità della security”, ha osservato Dorey. “Questo interesse nasce sia dall’esperienza che abbiamo maturato alla guida di un team dedicato all’integrazione fra sicurezza fisica e IT, sia dal lavoro svolto insieme a vari team che hanno fatto la stessa cosa in altre aziende”. Nella realizzazione dell’inchiesta, continua Dorey, “eravamo interessati a ottenere dati più recenti su quello che le aziende stavano realmente facendo – e a verificare sul campo le dichiarazioni di coloro che sostengono di essere indotti a seguire un approccio olistico a causa delle azioni di attacco subite”.

Fuori dai compartimenti stagni

Il tema della Convergenza è stato affrontato anche nel corso dell’ultima edizione dell’ASIS European Security Conference, svoltasi lo scorso aprile a Londra. Martin Smith, fondatore della società di consulenza The Security Company, ha ricordato quanto sia importante essere sempre avanti rispetto agli aggressori effettivi e potenziali dei nostri sistemi di sicurezza. “Chi ci attacca passa tutto il tempo a fare questo lavoro, e rispetto a noi ha molte più probabilità di diventare più smart e avere successo”, ha spiegato Smith. Per adottare contromisure efficaci serve, naturalmente, un certo grado di Convergenza. “Se lavoriamo a compartimenti stagni”, ha aggiunto Smith, “si duplicano gli sforzi, si genera inefficienza e si perdono informazioni importanti – una cosa che vediamo tutti i giorni”. Abbattere le barriere interne può essere semplice, e dà risultati “incredibili”.

Cosa si può fare, in concreto, se non ci sono neppure (come spesso succede in questo periodo) le risorse necessarie per intervenire? A questa domanda Smith dà sempre la stessa risposta: “Riunite tutto il possibile in un unico ufficio sotto la responsabilità di una sola persona, prevedendo un alto livello di supporto: anche se fate ciò solo virtualmente – attivando un certo livello di cooperazione – potete ottenere un grande miglioramento”. E’ però importante che una decisione del genere sia presa da chi sta al vertice dell’organizzazione e sia è in grado di esercitare un’ampia influenza a tutti i livelli. Se un’iniziativa gode dell’appoggio del senior management, molti altri finiranno per seguire la stessa direzione.

“E’ tutta questione di focus e leadership – ha ricordato Smith – e come settore non siamo ancora molto bravi nella leadership… La security non dovrebbe essere vista come una barriera o un centro di costo, ma come una funzione aziendale in grado di offrire un significativo contributo all’intera organizzazione”. In altre parole, dice Smith, la security dovrebbe essere in grado di ascoltare e capire di cosa l’organizzazione ha realmente bisogno, “invece di dire a quest’ultima cosa sia e cosa ha intenzione di offrirle”. Ciò significa, senza dubbio, cambiare radicalmente il nostro atteggiamento. Ma è una cosa che deve essere fatta.

Comunicazione efficace

In una prospettiva convergente, continua Smith, una comunicazione efficace che coinvolga anche i dipendenti estranei alla security diventa essenziale. “Per troppo tempo abbiamo dato per scontato il fatto di poter contare su un certo budget solo perché ‘alla sicurezza non si può rinunciare’. Oggi le cose sono cambiate, e la security deve dimostrare di valere realmente le risorse che le vengono assegnate”. Questo valore sarà molto più elevato se si combinano insieme i molteplici aspetti che la interessano: “La Convergenza può portare a un miglioramento dell’efficienza operativa, a un maggior contenimento dei rischi, all’allineamento dei processi, a una migliore conformità, a un più efficace audit aziendale”. Martin Smith ha inoltre puntualizzato che qualsiasi impresa ha tutto l’interesse a utilizzare e condividere al meglio le informazioni di cui dispone. “Se la sicurezza ostacola questo processo invece di favorirlo, come può mai pensare di ottenere il supporto e la credibilità necessari? I manager della security devono accettare il fatto che altre priorità possano avere la precedenza”.

Cambiare approccio

Assieme a Martin Smith è intervenuto anche Volker Wagner, vicepresidente della divisione sicurezza del gruppo Deutsche Telekom. Wagner ha innanzitutto sottolineato come l’IT abbia profondamente cambiato le nostre vite – “e non c’è dubbio che continuerà a farlo in futuro”, ha detto. Come Smith, anche Wagner sostiene che gli addetti alla security devono assolutamente cambiare approccio. “Dobbiamo agire in modo convergente, e anche se disponiamo dei migliori sistemi di difesa dobbiamo immaginare il peggior scenario possibile e adottare le necessarie contromisure”. Secondo Wagner, “Convergenza” significa prima di tutto avere la capacità di individuare in anticipo i pericoli che ci minacciano. Per fare ciò è necessario essere in contatto con le altre multinazionali che operano nelle nostre stesse regioni.

“Abbiamo bisogno di collaborare a livello nazionale e internazionale, perché quando un operatore di telecomunicazioni subisce un cyber-attacco abbiamo necessità di sapere se la stessa cosa può accadere anche alla nostra organizzazione”. La collaborazione è utile anche perché “talvolta siamo in grado di prevedere una minaccia, ma purtroppo non sappiamo chi ci attaccherà, per quale ragione e con quale impatto effettivo”. Wagner suggerisce quindi di creare una sorta di “casa della prevenzione” che includa l’IT security e la sicurezza fisica, le campagne di sensibilizzazione, la gestione degli incidenti, le procedure CERN (computer emergency response) e l’impiego degli standard di information security management 27001, necessari per poter parlare la stessa lingua. Infine, i controlli periodici sono essenziali per individuare eventuali punti deboli. “Non dovete pensare che un sistema, una volta messo in sicurezza, lo rimanga per sempre”, ha puntualizzato Wagner.

Una provocazione

Martin Smith ha concluso il suo intervento con una provocazione. “Dal momento che siamo così fortemente radicati nei nostri ‘silos’ – ha detto – a livello aziendale avremmo forse bisogno di essere assoggettati alla guida di un leader esterno al nostro settore. Non è una cosa piacevole da dire, ma bisogna ammettere che spesso ci rifiutiamo di lavorare tutti insieme. Vedo ancora organizzazioni dove si ingaggiano lotte per aggiudicarsi il budget, vere e proprie battaglie fra i dipartimenti della sicurezza fisica e dell’IT security… E non è un bello spettacolo. Abbiamo bisogno di una vera leadership, e credo che – almeno per il momento – ci siano maggiori probabilità di trovarla all’esterno del nostro comparto piuttosto che al suo interno. E’ una cosa tanto terribile da dire?”

 ^(*) Executive Editor di Professional Security Magazine www.professionalsecurity.co.uk