lunedì, 17 dicembre 2018

Articoli

L’approccio olistico alla security secondo ASIS International

06/06/2017

ne parliamo con Thomas J. Langer, CPP – ASIS International President

A fine marzo si è tenuta a Milano l’annuale ASIS Conference. Tante le tematiche sul piatto, ma in particolare una, lanciata dal Presidente di ASIS International Thomas J. Langer: pensare in modo diverso, uscire dalla propria comfort zone, abbracciare nuove prospettive, avere un approccio olistico. In due parole: think different.

Dall’osservatorio ASIS, a quali aspetti dovrebbe fare più attenzione l’industria?

È fondamentale che la disciplina della sicurezza si faccia parte integrante del lavoro di progettazione e dell’innovazione del prodotto già a partire dal front end; diversamente diventa molto costoso trovare soluzioni ai problemi della committenza e recuperare poi la fiducia dell’utente aggiungendo tecnologie che sappiamo essere state corrotte.

In termini di protezione degli asset, delle persone e delle informazioni, quali trend ravvisa?

Innanzitutto che sono tutti e tre egualmente importanti. Certo abbiamo degli obblighi in termini di protezione fisica dei nostri impiegati ma, poiché ormai le aziende non hanno più veri confini fisici, le informazioni si estendono oggi a tutti gli addetti, ovunque essi si trovino. Dobbiamo quindi progettare piattaforme che permettano loro di lavorare in tutta sicurezza anziché progettare la sicurezza in modo artificioso, finendo poi di fatto per indurli ad aggirarla. I professionisti della sicurezza non devono progettare soluzioni che siano per loro rassicuranti se poi il business non ne beneficia.

Cosa si dovrebbe imparare dagli attacchi di cybersecurity e quali altre minacce ci attendono?

Il tema cyber è onnipresente: ovunque siano le nostre informazioni, lì ci saranno beni da proteggere. Ed il primo pericolo risiede nelle nostre reti. Occorre ad esempio scegliere con attenzione il cloud: consegnare i propri dati ad un provider cloud sbagliato può mettere a serio repentaglio le informazioni e, visti i progressi nella portabilità dei dati e nella loro disponibilità, non possiamo avere idea di dove finiranno in futuro. Una secondo fonte di preoccupazione è la necessità di mettere in campo adeguati programmi formativi man mano che si introducono nuovi dipendenti: tutti devono capire cosa devono tenere al sicuro e come.

Quale sarà la locomotiva alle aziende sicurezza? IoT e big data?

Occorre primariamente capire come le aziende utilizzeranno i big data, e per farlo occorre sedersi al tavolo decisionale e condividere con i vertici le decisioni su come mettere al sicuro la piattaforma, anticipandone per quanto possibile le vulnerabilità. E’ essenziale che l’industria guardi un dispositivo chiedendosi anche come verrà usato, perché innovare senza mettere al sicuro la propria innovazione è un errore che può rivelarsi fatale, dato che prima o poi l’utente finale farà scelte basate sulla sicurezza, di questo sono convinto. Attraverso l’Enterprise Security Risk Management (ESRM), come ASIS cerchiamo di diffondere il pensiero che la gestione del rischio aziendale richiede una visione olistica per comprendere le vulnerabilità di un’organizzazione nel suo complesso, nelle linee funzionali e di business. Molti di noi già lo fanno, ma credo sarebbe utile dare un nome a questo approccio e creare una disciplina che stimoli la community a pensare in modo olistico. Il CSO, chief security officer, con la giusta rete di rapporti, può infatti aumentare la consapevolezza generale sul rischio, far sì che tutti i manager comprendano minacce e conseguenze e possano scegliere di assumersi il rischio come team manageriale.

Se la risposta dev’essere olistica, anche il rischio può ormai considerarsi olistico?

La convergenza tra rischio fisico e cyber sta cambiando le aspettative della funzione corporate della security e le competenze dei professionisti della security stanno evolvendo di conseguenza, come pure le carriere. Mentre la gestione della sicurezza un tempo era una “seconda professione” che attingeva da persone con un passato in ambito militare o nelle forze dell’ordine, i nuovi arrivati cominciano la professione direttamente dall’università o giungono alla sicurezza da altre funzioni aziendali. ASIS International si sta adattando alle necessità in cambiamento dei soci, dai nuovi arrivati ai senior executive, e dei loro dipendenti.

Cos’ha ASIS da offrire?

Una community, innanzitutto. Ci sono tanti liberi professionisti in questo ambito che non sanno a chi rivolgersi: noi offriamo un gruppo di pari che li possano aiutare ad affrontare i problemi facendo crowd-sourcing di soluzioni e vogliamo dar vita ad una comunità sempre più grande. Il Chapter è piccolo, ma l’organizzazione si espande nelle varie regioni di tutto il mondo: al momento esistono 241 Chapter a livello globale e 34 Council. Possiamo dire di rappresentare il settore.

Due parole sul Chapter italiano?

E’ estremamente attivo e svolge un lavoro formidabile: bastava vedere le 700 persone richiamate a Milano per toccare con mano il loro impegno. L’importante presenza del CEO di Microsoft Italia ha dimostrato la trasformazione di questa Associazione, che vuole portare grandi leader del pensiero davanti a professionisti della security e non vuole solo far dialogare soggetti del settore con altri soggetti del settore. L’obiettivo è far uscire i nostri operatori fuori dalla comfort zone ed aiutarli a pensare in modo diverso.

Quali sono le opportunità mancate o le soluzioni necessarie secondo i membri di ASIS?

Un’opportunità mancata avviene ogni volta che lasciamo i soci soli mentre cercano di risolvere un problema. Vogliamo creare reti locali o regionali a cui un membro si possa rivolgere per ricevere assistenza. Dal momento che la tecnologia cambia rapidamente e ci espone a vulnerabilità prima inimmaginabili, vogliamo che ASIS sia una risorsa a cui gli associati possono rivolgersi sempre.



pagina precedente