Sicurezza 2.0: è tempo di convergenza tra sicurezza fisica e logica

Fino a non molto tempo fa si poteva osservare come Sicurezza tradizionale e Sicurezza ICT all'interno delle aziende fossero funzioni separate, gestite da figure profondamente diverse percultura e professionalità, dove ogni Unit definiva un propriopiano di Risk Management ed un proprio modello di Governance. Oggi questo stato di fatto sta mutando velocemente: ilgruppo ItSecPro, la più numerosa ed attiva community LinkedIn italiana dedicata alla Security, contribuisce attivamentea questa inedita confluenza di esperienze, professionalità estrumenti, e guarda con grande interesse alla progressiva affermazione di un'unica visione coordinata delle problematichedi sicurezza, contribuendo al dibattito in corso tramite attivitàdi awareness e momenti di riflessione aperti ai professionistidi entrambe le aree di provenienza.
La parola ad Andrea Zapparoli Manzoni, per il Gruppo ItSecPro.

Convergenza: ragioni, obiettivi, vantaggi
Storicamente, la sicurezza fisica è stata appannaggio di professionisti con un background specifico in tema di protezione di asset fisici e del personale, spesso provenienti da precedenti esperienze nel campo militare o del law enforcement. Tipicamente questi professionisti hanno collaborato con le funzioni aziendali preposte alla gestione del patrimonio immobiliare e delle infrastrutture, più che con l'area ICT. Negli ultimi anni, per motivi operativi, dal momento che gli strumenti utilizzati per raggiungere gli obiettivi della sicurezza fisica sono diventati sempre più tecnologicamente avanzati (si pensi all'identity & access management o alla videosorveglianza), si è realizzata una prima convergenza de facto tra i due mondi, per quanto spesso non accompagnata da esplicite interazioni funzionali ed organizzative. In parallelo, l'ICT Security è diventata una componente fondamentale della strategia di protezione aziendale, dal momento che il valore degli asset tecnologici, dei processi realizzati per loro tramite e dei dati di business è diventato sempre maggiore, fino a rappresentare ormai una quota importante del patrimonio di ogni organizzazione. Inoltre il top management necessita, per ottimizzare i processi strategici di Governance dei rischi e di adeguamento alle normative (p. es. alla normativa privacy, ma non solo), di informazioni integrate ed omogenee in merito al livello di rischio complessivo dell'organizzazione, il che richiede la definizione e l'applicazione di un nuovo modello olistico della sicurezza, molto più articolato e complesso. Infine l'evoluzione delle minacce richiede una stretta collaborazione tra le due aree, necessaria per prevenire e contrastare incidenti ed attacchi che abbiano contemporaneamente come bersagli il perimetro fisico e quello logico di un'organizzazione (le così dette blended threats). Oggi si assiste quindi per la prima volta ad una reale convergenza tra le aree della sicurezza fisica e logica, tanto che molte organizzazioni (pubbliche e private) hanno unificato o stanno unificando in un'unica unità organizzativa entrambe le funzioni, oppure stanno adottando processi e strumenti utili al loro coordinamento ed alla loro integrazione operativa. E' opinione diffusa e condivisa tra i membri del Gruppo ItSecPro che il percorso di convergenza in atto sia particolarmente proficuo, e che negli attuali scenari tecnologici ed operativi questa nuova modalità di approccio alla sicurezza sia la migliore possibile per governare efficacemente la complessità insita nella protezione degli asset (fisici ed immateriali) e nella gestione dei rischi relativi, sia da un punto di vista dei risultati in termini di sicurezza che dell'ottimizzazione dei costi e delle risorse impiegate. Per avere una visione più ampia della problematica, abbiamo intervistato Rodolfo Falcone, Amministratore Delegato di Communication Valley Reply (Business Unit di Security Reply, un Managed Service Provider specializzato nella gestione della sicurezza di reti complesse).

Come percepite le richieste di servizi e prodotti in tale ambito da parte dei clienti? Vi è interesse concreto o soltanto curiosità per le nuove tecnologie? Vi sono già budget allocati per questi temi?
Sempre di più i clienti tendono a considerare la sicurezza a 360 ed in particolare prestano attenzione al tema della disponibilità di risorse ed infrastrutture, ovvero,concettualmente, la possibilità di monitorare (system Monitoring) in modo integrato il corretto funzionamentodei sistemi IT, le facility ed i sistemi di sicurezza fisicada uno stesso strumento di controllo a cui aggiungereconfidenzialità ed integrità . In pratica si tratta di correlare tra loro eventi provenienti da ambienti eterogenei(es.: server, controllo accessi, IPS, TVCC, ..ecc.) al finedi individuare in modo integrato azioni malevole o improprie, i cui effetti hanno impatti sul business aziendale. L'interesse è diventato concreto in questi ultimi tempi perché solo ora vi sono effettivamente gli strumenti,le metodologie e le conoscenze, oltre alla tendenza deiclienti di unificare le responsabilità ed i budget di sicurezza fisica e quelli per la sicurezza logica.

Può raccontarci un'esperienza di progetto su un vostro cliente?
Per un nostro cliente abbiamo impostato un progetto dimonitoraggio che consente di avere sotto controllo, da un unico ambiente, il corretto funzionamento sia degli apparati IT (server,firewall, applicazioni, ecc.) che degli apparati altrettanto critici che sovraintendono le facilitye la sicurezza fisica della propria organizzazione (es.: impianto Energia, condizionamento, TVCC, antintrusione,antincendio, ecc.). Per un altro cliente invece, il progettoha riguardato il controllo della corrispondenza tra gli accessi fisici e quelli logici (login) a determinati ambienti.

In quali settori vedete maggiore interesse e prospettive?
Sicuramente in quello finance, nasciamo proprio da questo settore ma questo per noi è un vantaggio. Essere ireferenti in ambito sicurezza per organizzazioni, come lebanche, che di fatto devono essere organizzazione piùche sicure, ci consente di poter erogare servizi di qualità anche per settori diversi quali industria più tradizionatà anche per settori diversi quali industria più tradizionale, le Multiutility/Telco, in quello della distribuzione, dei fornitori di servizi di videosorveglianza, e nella Pubblica Amministrazione Locale.

A che punto è l'offerta di tecnologie? Utilizzate prodotti realizzati ad hoc o avete a disposizione un'offerta già idonea a soddisfare la maggior parte delle esigenze? Potete citare alcuni vendor che utilizzate o che ritenete abbiano un'offerta di prodotti per la convergenza sicurezza Fisica-Logica?
L'offerta di tecnologie attualmente disponibile sul mercato è oggi idonea a soddisfare la maggior parte delle esigenze dei clienti; certo da sola la tecnologia nonbasta se non si mette a disposizione anche un elevato livello di expertise in termini di system integration e personalizzazione. Una marcia in più ce l'ha chi vanta una expertise da "analista di sicurezza", ovvero chi è in grado non solo di integrare sistemi, ma anche di dare loro le logiche (regole) finalizzate alla convergenza della sicurezza. Le principali soluzioni tecnologiche sono quelle di PSIEM (Physical Security Information and Event Management) che complementano le tradizionali soluzioni SIEM diffuse in ambito IT, come quelle offerte ad esempio da: EMC, ArcSight, Cisco, CheckPoint….

Cosa ci dite sulle competenze? Solitamente osserviamo una separazione piuttosto netta fra gli esperti di sicurezza It e di sicurezza fisica-elettronica. Pensate che sia in corso un'evoluzione e che possiamo già pensare ad esperti con competenze trasversali? Voi cosa state facendo per colmare questo divario?
Ad oggi le competenze sono per lo più separate, almeno per la parte tecnica, mentre stanno convergendo per la parte di governo (CSO) e di analisi. Communication Valley Reply si posiziona proprio nella governance del processo di convergenza tra sicurezza fisica e logica estendendo i servizi erogati in continuità H24x365 dal nostro Security Operation Center (SOC). Partiamo dal presupposto che per la definizione di sicurezza, le tematiche, i processi sottesi e gli obiettivi da perseguire sono comuni.

Andrea Zapparoli Manzoni
Per Italian Security Professional, Gruppo ItSecPro.

ItSecPro = Italian Security Professional Italian Security Professional (ItSecPro) è attualmente la più numerosa ed attiva community LinkedIn italiana dedicata alla Security, contando oltre 1600 iscritti. Il gruppo raccoglie professionisti di differente estrazione (consulenti, auditors, tecnici, managers ecc.) e si propone di favorire le relazioni, il confronto e gli scambi di informazioni tra i principali esperti italiani del settore. Per quanto il focus di ItSecPro sia principalmente sulle tematiche di ICT Security, fin da subito la community è stata promotrice della convergenza tra i due mondi della sicurezza logica e della sicurezza fisica, favorendo lo scambio di idee e di esperienze e la creazione di relazioni tra professionisti appartenenti ad entrambe le aree.