Convergenza: possiamo ancora permetterci di ignorarla?

di Christoph Teuber, UBS AG, Zurigo, Svizzera e Membro dell'ASIS International European Security Convergence Committee.

Per illustrare il tema della security convergence l'autore ha scelto alcuni esempi di attività legate alla security che interessano le organizzazioni finanziarie: sistemi di controllo accessi, sistemi d'allarme e operazioni di pagamento. Ciò che si fa oggi all'interno di queste aree di attività non è molto diverso rispetto al passato; ad essere completamente cambiato è il modo in cui queste attività sono svolte. Mettere a confronto passato e presente è quindi un'ottima opportunità per cogliere i cambiamenti intervenuti negli ultimi decenni e per formulare qualche previsione sugli sviluppi futuri.

Il controllo accessi era inizialmente affidato all'utilizzo di semplici chiavi. In un secondo tempo sono state introdotte prima chiavi meccatroniche, che impiegavano soluzioni IT standalone, poi carte di identificazione connesse ad una rete IT. Oggi sono i sistemi biometrici ad essere sempre più spesso utilizzati. Si è così passati da strumenti puramente meccanici a soluzioni tecnologicamente complesse e avanzate, che richiedono l'impiego di computer e reti sempre più sofisticati. Consideriamo ora i sistemi di allarme. Un tempo erano distinti rispetto alla funzione richiesta (antifurto o antincendio, ad esempio) e si avvalevano pertanto di network separati. Oggi, invece, queste funzioni sono integrate in un unico sistema che utilizza internet per trasmettere il segnale d'allarme. Negli edifici di più recente costruzione la gestione degli allarmi è semplicemente un aspetto della building automation, che utilizza reti IT per la connessione in remoto a centri di controllo che possono trovarsi ovunque nel mondo. Anche il modo in cui gli istituti di credito gestiscono le operazioni di pagamento è mutato radicalmente.

Una volta i pagamenti erano eseguiti manualmente, attraverso processi che comportavano solitamente il trasferimento di contante. La crescente centralizzazione di questi processi e la sempre più ampia diffusione della moneta elettronica hanno portato alla situazione attuale, dove i pagamenti sono del tutto automatizzati e virtuali. Ancora una volta, però, il presupposto per il corretto svolgimento di queste operazioni è l'impiego di sistemi IT potenti e di network capillari. Questi esempi mostrano il passaggio rivoluzionario da processi meccanici e manuali a processi elettronici ed automatizzati. La security non è rimasta immune a questi cambiamenti, che hanno reso sempre più labile la distinzione fra sicurezza fisica e IT security. Alla luce di questi sviluppi, non possiamo concederci il lusso di ignorare la questione della convergenza. Abbiamo bisogno di un approccio integrato, e dobbiamo mettere in discussione il nostro modo ordinario di vedere le cose. Soprattutto, dobbiamo domandarci quali sarebbero i rischi da affrontare nel caso in cui decidessimo di ignorare i mutamenti in corso.

Rischio di un mondo senza convergenza

Se continuassimo a portare avanti una visione tradizionale della security, che distingue e separa la sicurezza fisica da quella IT, finiremmo non solo per ignorare i rischi legati all'interazione fra questi due mondi, ma anche per essere ciechi di fronte a nuovi potenziali pericoli. Non bisogna infatti dimenticare che chi "attacca" i sistemi di sicurezza pensa già in modo integrato, e possiede specifiche conoscenze in tutte le aree chiave. Ancora, la mancanza di una visione convergente potrebbe portarci a valutare i rischi con approcci e metodi completamente diversi, rendendo poi difficile sia fare confronti, sia maturare una visione olistica dei problemi da risolvere. Tutto ciò porterebbe a un approccio poco coerente e focalizzato, e alla concreta possibilità di concentrarsi sui rischi meno importanti trascurando quelli critici. Senza convergenza potremmo giudicare in modo errato l'effettiva complessità del mondo attuale, contraddistinto dalla moltiplicazione dei sistemi integrati (basti pensare all'Information and Communication Technology). E potremmo individuare una nuova minaccia quando è ormai troppo tardi per intervenire. Per riassumere: in un mondo in cui l'IT, i network e le tecnologie della security si stanno progressivamente integrando la convergenza non è più un'opzione: è una necessità. Ignorare questo fatto è un rischio che non possiamo permetterci.

Il minimo che si possa fare

Il mio consiglio è di considerare soprattutto due aspetti. In primo luogo, dovremmo accordarci su una metodologia e una terminologia comuni da utilizzare nelle procedure di risk assessment allo scopo di comparare le diverse tipologie di rischio. Questo tenendo sempre presente che la gestione integrata dei rischi è la base per un investimento efficace nella riduzione delle minacce. In secondo luogo, il Chief Security Officer dovrebbe essere responsabile per la sicurezza fisica come per quella IT. Qualora le persone investite di questo incarico fossero due, sarebbe comunque necessario un continuo confronto e scambio di informazioni. In questo scenario di sviluppo, è lecito tornare alla domanda iniziale: possiamo permetterci di ignorare la convergenza in atto? Io credo di no. E voi?