ASIS International riceve l’approvazione di ANSI per lo standard di Physical Asset Protection

di Brian Sims, Media Solutions Manager di www.info4security.com – UBM Live (l’articolo è disponibile in lingua inglese a questo link: http://www.info4security.com/story.asp?sectioncode=9&storycode=4129144&c=1)

ANSI (American National Standards Institute) e ASIS International hanno annunciato il primo standard dedicato alla Physical Asset Protection che fa esplicito riferimento al tema della convergenza. Lo standard, scaricabile sul sito di ASIS International, offre alcune linee guida operative in tema di Physical Security Management, disciplina che include sia la protezione degli asset materiali presenti all’interno delle organizzazioni, sia di quelli immateriali. Sul tema, Brian Sims ha elaborato un interessante articolo, che riprendiamo per gentile concessione di autore ed editore. 

ASIS International ha pubblicato un nuovo standard sulla Physical Asset Protection, il primo in assoluto a fare esplicito riferimento alla convergenza. Messo a punto da un comitato tecnico composto da più di 80 membri appartenenti a 17 paesi (fra cui anche l’Italia), il documento fornisce un approccio gestionale ampio e dettagliato che supporta l’identificazione, l’applicazione e la gestione delle misure necessarie a salvaguardare gli asset fondamentali di un’organizzazione. Il nuovo standard offre infatti un quadro di riferimento per scegliere, implementare, gestire, monitorare, riesaminare, mantenere e migliorare i sistemi di Physical Protection. Quest’ultima, conosciuta anche come Physical Security Management, include la protezione degli asset sia tangibili (come persone e infrastrutture), sia intangibili (come il marchio, la reputazione e le informazioni). “Tutte le organizzazioni devono affrontare dei rischi”, ha detto Allison Wylde, co-presidente del comitato tecnico e course leader del Master in Project Management presso la London Business School. “La sfida consiste nello stabilire un livello di rischio accettabile e nel gestirlo con la massima efficienza per raggiungere gli obiettivi strategici e operativi prefissati: lo standard da noi messo a punto aiuterà a trovare il giusto equilibrio fra queste diverse esigenze”.

Lo sviluppo del nuovo standard

Il lavoro di elaborazione dello standard ha avuto inizio nel 2010, quando alcuni membri di ASIS chapter UK – guidati dalla dottoressa Wylde – hanno elaborato una prima bozza sulla protezione degli asset. La bozza, poi utilizzata come punto di partenza per la discussione del comitato, si basava sulla struttura del sistema manageriale descritto nello standard ANSI/ASIS SPC.1-2009, intitolato “Resilienza organizzativa: sistemi di gestione della security, della preparazione e della continuità operativa - requisiti con guida per l’uso” (ISBN 978-1-887056-92-2). Ciò ha reso possibile un’integrazione senza soluzione di continuità fra protezione degli asset e resilienza organizzativa, consentendo alle aziende di costruire un sistema gestionale ad ampio raggio. Come ha dichiarato Marc Siegel, co-presidente del comitato tecnico e commissario dell’ASIS Global Standards Initiative, “le organizzazioni hanno bisogno di gestire i rischi legati a eventi indesiderati e perturbatori: un approccio come quello da noi scelto offre uno strumento di management che protegge gli asset coerentemente con gli obiettivi da raggiungere”.

Integrare la security e la relative funzioni

Il Physical Asset Protection Standard aiuta a integrare la security di un’organizzazione e le relative funzioni (come la gestione del rischio, la safety e il controllo di qualità e conformità) all’interno di un sistema completo e proattivo. Tale sistema dovrebbe: garantire la leadership e l’impegno del top management rispetto a una politica di protezione degli asset; creare un programma completo di gestione del rischio che identifichi, analizzi e valuti i rischi per gli asset tangibili e intangibili; definire gli asset, quindi disegnare e implementare un sistema di physical protection efficiente ed efficace; integrare persone, procedure, tecnologie e attrezzature per conseguire gli obiettivi stabiliti; controllare, misurare e riesaminare con continuità le prestazioni del sistema gestionale.

L’attenzione alla convergenza

Nelle parole di Bernard D. Greenawalt, vicepresidente di Securitas Security Services USA, “il Physical Asset Protection Standard rappresenta una guida efficace per i security manager: utilizzato unitamente alle linee guida ASIS International per la protezione degli asset e le misure di sicurezza fisica delle strutture, questo nuovo standard aiuterà i professionisti a definire sia un appropriato livello di rischio accettabile, sia l’investimento richiesto per gestirlo”. Mike Bluestone e Azeem Aleem, rispettivamente presidente e direttore del Security Institute, hanno entrambi partecipato al team sulla convergenza e al comitato tecnico.

Se si considera che lo sviluppo dello standard ha raccolto suggerimenti e indicazioni anche da molti leader nel campo dell’information security, è indubbio che il lavoro della commissione sia stato condotto secondo una prospettiva convergente – tanto che lo standard stesso prevede una sezione espressamente dedicata alla convergenza. In questo ambito, le raccomandazioni formulate riguardano diverse strategie olistiche e integrate, e si afferma con chiarezza che l’applicazione della security convergence dovrebbe instaurare “una disciplina e una struttura trasversali di valutazione e gestione dei rischi che identifichino, analizzino, valutino e trattino tutti i rischi legati alla security nell’ambito di un unico processo”.

(*) Lo standard è scaricabile (gratuitamente per i soli soci ASIS) sul sito www.asisonline.org a questo link: http://www.asisonline.org/guidelines/published.htm