giovedì, 18 ottobre 2018

Articoli

Enterprise Security Risk Management: dalla reazione al governo di un processo

17/01/2017

di Alessandro Lega, CPP www.asisonline.eu

Alcuni interventi della Conferenza ASIS International ad Orlando (pag. 144) sembravano anticipare quelli che verranno trattati alla conferenza ASIS Europe (Milano, 29-31 marzo 2017), con focus “From Risk to Resilience”. A partire dalla scelta dei titoli fatta dai relatori: una sequenza logica dove ogni intervento preparava il terreno al secondo.  

La prima sessione di cui parleremo, dal titolo How Enterprise Security Risk Management Engages Executive Support for Security Programs (come la ESRM impegna il supporto di alto livello di management per i programmi di Security) era affidata a Brian Allen, e Rachelle Loyear, entrambi della Time Warner Cable, colosso americano delle telecomunicazioni. Dopo aver ribadito cosa si intenda per ESRM, ossia l’applicazione dei fondamentali principi su cui si basa il risk management e che permette la gestione di tutti i rischi di security in modo onnicomprensivo e olistico, incluse le information, i rischi cyber, la physical security, l’asset management e la business continuity, i relatori hanno introdotto il ciclo del processo di ESRM anticipando punti che verranno approfondititi in una loro prossima pubblicazione, che uscirà in coincidenza con la Conferenza ASIS 2107 di Milano. Questo passaggio è importante perché colloca l’ESRM nell’ambito dei processi di security. Come l’ISO 31000 ci ricorda sempre, il processo di security deve seguire ciò che è scandito dal ciclo di Deming PDCA: Plan, Do, Check, Act. Nel caso dell’ESRM ciò consiste nell’identificare e assegnare la priorità relativa agli asset, identificare e fissare la priorità dei rischi, mitigare i rischi individuati e assicurare il miglioramento continuo tramite un monitoraggio costante. Questo approccio è di supporto all’intera organizzazione che comprende il CSO, i manager delle varie funzioni aziendali, il senior management e il consiglio di amministrazione. Un concetto più volte ribadito dai due relatori è che questa sinergia fra le varie funzioni aziendali nei confronti della gestione dei rischi porta, in modo quasi automatico, ad un allineamento dei ruoli, pur mantenendo le loro peculiari responsabilità, nella gestione e mitigazione di tutti i rischi che incombono sull’intera organizzazione. La trattazione è continuata indicando i ruoli che le diverse funzioni aziendali devono avere nella gestione dei rischi, ribadendo che il CSO mantiene il ruolo di regista del processo di ESRM, senza però togliere agli attori comprimari i loro ruoli, altrettanto determinanti per il completo ed efficace funzionamento del processo. Tra i benefici dell’adozione di un modello ESRM, visti dal consiglio di amministrazione di un’organizzazione, si annoverano l’individuazione, da parte del senior management, degli aspetti di risk management su cui concentrarsi, degli impegni e della priorità con la quale richiedere che essi siano affrontati dal CSO, del tipo di misurazioni e report da adottare, dei risultati che si devono pretendere dall’organizzazione di security. Si può quindi comprendere che lo shift di approccio che l’ESRM introduce fa muovere il processo da: “come reagire in caso di accadimento di un incidente” a “come governare il processo per prevenire, mitigare, contrastare il rischio mantenendosi preparati a ripristinare le condizioni di normalità”. Tutte questioni propedeutiche alla nascita di una cultura aziendale improntata alla Resilienza Organizzativa, argomento trattato nella seconda sessione. La quale portava anch’essa un titolo emblematico: Improve Organizational Resilience through Enterprise Security Risk Management (far crescere la Resilienza Organizzativa attraverso l’ESRM). I relatori erano John Petruzzi e ancora Rachelle Loyear, peraltro collega di lavoro. Si può quindi ben capire perché queste due sessioni siano da considerarsi il clou dell’intero programma della Conferenza. Non solo i due argomenti possono essere fortemente concatenati, ma anche il fatto che i tre relatori appartengono alla stessa organizzazione fa capire che ci sia una visione omogenea di un aspetto essenziale del Corporate Security Management. La seconda sessione ha fatto riferimento a quanto era stato trattato per l’ESRM, arrivando velocemente ai perché della necessità di un allineamento fra ESRM e Organizational Resilience precisando che in questo modo coloro che si occupano di security divengono immediatamente parte delle soluzioni a sostegno del business, ma anche che il trattamento dei rischi di security può contribuire a fornire benefici all’intera organizzazione e che l’attività di preparazione e di mitigazione dei rischi tattici fa aumentare la flessibilità nel rispondere alle minacce. Questi punti, messi insieme ad alcune considerazioni del tipo: ESRM è una metodologia di lavoro che permette a tutti i team coinvolti in aspetti di risk management di lavorare insieme, indipendentemente dal fatto che siano coinvolti in aspetti fisici o logici. Di conseguenza l’ESRM garantisce ai leader delle varie linee di business, di un’organizzazione, che la stessa venga gestita tramite il sano principio di un processo end-to-end. Questo vale per gli aspetti di security awareness, di cyber security, di business continuity, di crisis management e di tutto ciò che compone il Corporate Security Management. Rimane solo da aggiungere che i tre relatori sopra citati saranno presenti all’ASIS Europe 2017.

LA CONVERGENCE IN CONFERENCE

Per completare lo scenario di come stia evolvendo il mondo della Corporate Security Management, vale la pena segnalare anche una presentazione fatta in modo congiunto da due Italo-Americani, Robert Raffaele e Nicholas Santillo, entrambi impegnati a far convergere le strutture di security di American Water Corporation, azienda con sede nel New Jersey che si occupa di produzione e di distribuzione di acqua potabile nei principali Stati dell’Unione. Con il titolo Convergence Success hanno portato esempi di estremo interesse di Security Convergence, intesa come unica piattaforma di security dove physical security, ICT security e Cyber Security sono ricondotti sotto un’unica organizzazione aziendale. La presentazione ha introdotto in modo particolarmente convincente la necessità di far convergere le relazioni, le persone, i processi e le tecnologie che convivono all’interno di un’organizzazione. Argomento di particolare attualità, di cui certamente sentiremo parlare anche a Milano dal 29 al 31 marzo presso la struttura del MICO di Milano. L’evento intende segnare un cambiamento negli eventi di Security in Europa: già il sito web che lo annuncia è un’innovazione (http://www.asisonline.eu). Il call for paper è stato lanciato da tempo e siete tutti invitati a prendervi parte. L’intero team del chapter ASIS Italy, che sta lavorando in cooperazione con l’ufficio ASIS Europe di Bruxelles, è pronto a darvi il benvenuto. 



pagina precedente