La Convergenza si mette sotto esame

Di Marc Rowe, Executive Editor di Professional Security Magazine

Un’indagine condotta da ASIS e ISAF dimostra che le imprese si stanno muovendo verso la Convergenza, e che lo stanno facendo soprattutto in risposta a minacce variegate e al graduale avvicinamento fra sicurezza fisica e IT security. La necessità di andare in questa direzione è emersa anche nel corso dell’ultima ASIS European Security Conference: occorre abbattere le barriere interne, favorire la comunicazione, fare della sicurezza una funzione aziendale in grado di offrire un contributo tangibile all’intera organizzazione. Ma per raggiungere questi obiettivi serve una leadership più forte e autorevole. Riportiamo, per gentile concessione di autore ed editore, una sintesi dell’articolo apparso su Professional Security Magazine di Giugno 2012 (pp. 56-57). Per scaricare la versione integrale – che ci sentiremmo di consigliare a Marchionne e Draghi – accostate il vostro smartphone a questo Qr Code e godetevi un’avvincente lettura densa di spunti organizzativi e gestionali.

L’Information Security Awareness Forum (ISAF) e l’ASIS European Security Convergence subcommittee hanno condotto fra i soci un’indagine sulla Convergenza nella sicurezza in Europa. Il co-autore della ricerca James Willison, vice-chairman dell’ASIS European Security Convergence committee e fondatore della Unified Security Ltd, ha spiegato che “dall’analisi di 216 imprese è emerso come, in media, il 60% dei dipendenti di ogni azienda stia lavorando a progetti di sicurezza convergenti: in particolare, il 39% opera all’interno dello stesso dipartimento o fa riferimento a un medesimo direttore esecutivo, mentre il restante 21% collabora su molteplici aspetti legati alla sicurezza”. Secondo Willison, le aziende avvertono una sempre maggiore necessità di sviluppare un approccio personale alle strategie di sicurezza, e al crescere delle minacce di tipo cyber si fa sempre più forte l’esigenza di un approccio olistico alla security. La condivisione dei report, i progressi della tecnologia e la crescente fiducia riposta nei sistemi di networking condurranno inevitabilmente allo sviluppo di soluzioni convergenti”.

Un altro co-autore dello studio, il presidente dell’ISACA GRA Sub-Committee Sarb Sembhi, ha precisato che “secondo il 57% degli intervistati, il fattore chiave che spinge un’organizzazione ad adottare un approccio convergente alla sicurezza è la necessità di fronteggiare minacce composite”. Secondo il chairman dell’ISAF David King, del resto, “la prevalenza di minacce composite e il graduale avvicinamento fra sicurezza fisica e IT security hanno accresciuto il bisogno di una risposta di sicurezza olistica”. L’indagine è stata commissionata a tre specialisti, tra cui il professor Paul Dorey, chairman emerito dell’Institute of Information Security Professionals (IISP). Il tema della Convergenza è stato affrontato anche nell’ultima edizione dell’ASIS European Security Conference, svoltasi lo scorso aprile a Londra. Martin Smith, fondatore della società di consulenza The Security Company, ha ricordato quanto sia importante essere avanti rispetto agli aggressori effettivi e potenziali dei sistemi di sicurezza: “lavorando a compartimenti stagni si duplicano gli sforzi, si genera inefficienza e si perdono informazioni importanti”. Ma cosa si può fare, in concreto, se mancano le risorse per intervenire?

 “Riunite tutto il possibile in un unico ufficio sotto la responsabilità di una sola persona, prevedendo un alto livello di supporto: anche se fate ciò solo virtualmente – attivando un certo livello di cooperazione – potete ottenere un grande miglioramento”- ri sponde Smith. E’ però importante che una decisione del genere sia presa da chi sta al vertice dell’organizzazione e sia in grado di esercitare un’ampia influenza a tutti i livelli. Del resto, oggi anche la security deve dimostrare di valere realmente le risorse che le vengono assegnate: “la Convergenza può portare a un miglioramento dell’efficienza operativa, a un maggior contenimento dei rischi, all’allineamento dei processi, a una migliore conformità, ad un più efficace audit aziendale” - afferma Smith, puntualizzando che le imprese hanno tutto l’interesse a condividere le informazioni. “Se la sicurezza ostacola questo processo, come può ottenere il supporto e la credibilità necessari? I manager della security devono accettare il fatto che altre priorità possano avere la precedenza”.

Secondo Volker Wagner, vicepresidente della divisione sicurezza del gruppo Deutsche Telekom, “Convergenza” significa prima di tutto avere la capacità di individuare le minacce in anticipo. Per far ciò è necessario essere in contatto con le altre multinazionali che operano nelle nostre stesse aree. Wagner suggerisce quindi di creare una “casa della prevenzione” che includa l’IT security e la sicurezza fisica, le campagne di sensibilizzazione, la gestione degli incidenti, le procedure CERN (computer emergency response) e l’impiego degli standard di information security management 27001, necessari per poter parlare la stessa lingua. Infine, i controlli periodici sono essenziali per individuare eventuali punti deboli perché nulla può sicuro per sempre. Martin Smith ha concluso con una provocazione. “Dal momento che siamo ancora così fortemente radicati nei nostri ‘silos’ a livello aziendale, avremmo forse bisogno di essere assoggettati alla guida di un leader esterno al nostro settore. E’ così terribile da dire?”