Convergenza: un case history

di Goran Oparnica, Managing Director Insig2 e membro dell'ASIS International European Security Convergence committee

Implementare un processo di Security all'interno di un'impresa non è cosa semplice, specie se il progetto che si intende attuare è complesso e di grandi dimensioni. Non solo è indispensabile avere il supporto dei dirigenti, ma è anche necessario che tutte le persone e gli uffici coinvolti parlino lo stesso linguaggio. In altri termini, servono coesione e condivisione di valori e obiettivi. Nell'esempio proposto in questo articolo, il processo di convergenza – che ha interessato una società finanziaria con un migliaio di dipendenti – ha richiesto la risoluzione di numerosi problemi tecnico-organizzativi e la capacità di coinvolgere efficacemente il management. Ma i benefici ottenuti hanno dimostrato che, come si usa dire, il gioco valeva la candela.

Il committente del progetto di cui si tratta è un'importante istituzione finanziaria croata che conta un migliaio di dipendenti. Poiché il valore delle informazioni legate agli assett logici e fisici è assai elevato, eventuali "fughe" o perdite causerebbero gravi danni alla compagnia. Anche se di entità ridotta, gli incidenti verificatisi in passato hanno messo in luce l'esigenza di un approccio integrato alla security fisica e logica, al fine di garantire una protezione più efficace a livello corporate. Questa consapevolezza ha convinto l'azienda a chiedere la collaborazione della società che mi onoro di amministrare per avviare un processo di convergenza sul piano organizzativo e tecnologico. Obiettivo principale del nostro cliente era creare un sistema di sicurezza unificato che potesse essere gestito e mantenuto in modo relativamente semplice ed efficace.

Il primo passo è consistito quindi nell'adozione, da parte dei dirigenti, di una politica di security a 360 gradi. In secondo luogo, sono state uniformate le procedure organizzative previste per concedere e revocare i privilegi di accesso fisico e logico: per raggiungere questo risultato dovevamo primariamente instaurare un buon livello di comunicazione e lavorare a stretto contatto con la Direzione Risorse Umane. L'idea era infatti quella di mettere a punto una lista generale di accesso fisico e logico per ogni singola posizione interna all'azienda. In terzo luogo, si voleva utilizzare l'infrastruttura LAN esistente per i diversi componenti della security fisica e disporre di un'unica applicazione web based che tenesse traccia di tutti gli eventi relativi al sistema di sicurezza. L'ultimo obiettivo principale consisteva nel disporre di tre diverse smart card: una per l'identificazione, una criptata per l'accesso logico e una contactless per l'accesso fisico. Le ultime due dovevano integrare delle tecnologie biometriche di riconoscimento delle impronte digitali e dell'iride.

Date le premesse, è chiaro che quasi tutti gli uffici necessitavano di essere coinvolti nel progetto: in particolare Risorse Umane, IT, Security fisica, Sicurezza Legale e Ufficio Legale. Date le dimensioni del progetto, alcune iniziative hanno al principio incontrato delle difficoltà: lo stallo è stato superato soltanto dopo la creazione di un ufficio di Corporate Security e la nomina di un Chief Security Officer (CSO) direttamente responsabile nei confronti del Comitato Direttivo. I cambiamenti organizzativi promossi dal CSO hanno permesso di far ripartire il progetto in questi termini: è finalmente stato creato un unico ufficio responsabile per l'attuazione del progetto; si è ottenuto il pieno supporto del comitato direttivo; le analisi BCM (Business Continuity Management), BIA (Business Impact Analysis) e dei rischi illustravano con chiarezza i processi e le risorse che, per la loro criticità, richiedevano la maggiore attenzione. Altri problemi sono sorti con l'ufficio Risorse Umane, che ha sì fornito il proprio supporto, ma non ha raggiunto il grado di coinvolgimento da noi auspicato. Ancora: gli addetti alla Security fisica non parlavano lo stesso linguaggio degli addetti alla Security logica, e avevano pertanto una visione assai differente degli obiettivi da raggiungere.

Un'altra sfida è stata quella di illustrare all'Ufficio Legale il proprio ruolo in un progetto così complesso, e le regole e direttive da approvare. Impegnativo anche il project management, che ha reso necessaria l'individuazione di un responsabile con qualità interpersonali molto forti. Non bisogna poi dimenticare che il progetto è partito alcuni anni fa, quando la tecnologia era assai meno orientata alla convergenza. Basti pensare che la committenza impediva a chiunque di accedere al sistema informatico dall'esterno, e questo ha condizionato considerevolmente la scelta della tecnologia e l'approccio al progetto. Per fortuna, abbiamo potuto beneficiare delle raccomandazioni e degli standard introdotti congiuntamente da ASIS International, ISSA e ISACA. In ogni caso, finché il sostegno del management non è stato visibile anche a livello organizzativo, il progetto non ha preso il via al 100%.

Il CSO incaricato aveva un'esperienza nel settore IT e questo ha aiutato molto a raggiungere gli obiettivi. Tra i numerosi benefici ottenuti, ricordo questi: molti dei rischi che sussistevano prima del progetto sono stati adeguatamente affrontati; rispetto alla situazione precedente, il processo di convergenza non ha reso necessario dover innalzare ulteriormente il livello complessivo di security; i costi associati al numero di addetti alla sorveglianza sono stati ridotti; il TCO (Total Cost of Ownership) del sistema di sicurezza (che permette di valutare i costi legati al ciclo di vita di un'apparecchiatura informatica IT) è più basso; la disciplina dei dipendenti in materia di sicurezza è decisamente migliorata.