Il livello di protezione dei sistemi di sicurezza

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, Chief Security Officer e Data Protection Officer, Giovanni Villarosa è anche Vice Presidente di SECURTEC (Associazione culturale, composta da security manager certificati, che si occupa di tematiche legate al mondo - logica e fisica - per la protezione di infrastrutture complesse e critiche).

Nessuna organizzazione è esente da rischi per la sicurezza, intesa come security e safety, ossia come rischi per i beni aziendali, ma anche per l’incolumità del personale. Tali rischi assumono diverse connotazioni in funzione della loro natura: la loro mitigazione, in termini di rischio accettabile, richiede quindi un’attenta pianificazione e piena comprensione delle esigenze legate alla sicurezza, le condizioni, le minacce e le vulnerabilità. Come? Mediante l’utilizzo di stratificate misure di protezione fisica. Prevenire accessi non autorizzati, intrusioni, furti, danneggiamenti o distruzione della proprietà sono aspetti fondamentali della protezione fisica. Ma l’uso di questi controlli fisici di protezione presenta anche un aspetto puramente safety, perché l’utilizzo di simili strumenti è funzionale anche alla protezione delle persone e delle informazioni aziendali. Altre tipologie di misure logiche di protezione, oltre a quelle fisiche, sono impiegate per proteggere le persone e le informazioni: parliamo della sicurezza logica.

Le misure della physical security sono utilizzate nelle aziende per garantire che solo le persone autorizzate possano avere accesso alla struttura ed alla proprietà: le misure adottate devono essere appropriate per ogni ambiente rispetto alla singola autorizzazione personale (controllo spazio/ temporale). Ad esempio, un impianto di produzione industriale ha misure, funzioni e controlli di security che differiranno, sostanzialmente, da quelli usati in negli uffici dello stesso sito. Nella stessa misura impianti di produzione in diverse zone di un Paese o in Paesi diversi generalmente richiedono diverse misure di sicurezza. Nessun sistema, tuttavia, è mai totalmente sicuro, giacché qualsiasi sistema realizzato può essere attaccato; in altre parole, può essere progettato per eliminare la maggior parte delle minacce, ma avrà comunque i suoi punti deboli, o meglio sarà esposto ad un rischio residuo, non eliminabile, ma trasferibile. E se un sistema non può proteggere in maniera assoluta un qualsiasi sito dalle possibili minacce, deve però assicurare un’accettabile protezione, almeno sufficiente per ritardare la minaccia, attuando nel contempo le giuste contromisure (reazione della security aziendale, reazione delle forze dell’ordine). Barriere fisiche, sistemi antintrusione, controllo accessi, videosorveglianza, guardie giurate e tutti gli altri componenti di un sistema di security, se applicati singolarmente non raggiungeranno mai un livello concreto e accettabile di security. Devono essere combinati nel giusto dimensionamento.

CLASSIFICARE UN SISTEMA

Come classificare un sistema di security? Non esistendo alcuno standard universalmente accettato secondo il quale si possa stabilire se un sistema di security può essere di minima, media o massima protezione, la riposta può essere complessa. Per ovviare a questa lacuna negli standard, i responsabili possono prendere spunto sull’argomento da un interessante testo, giunto alla sua quinta edizione: Effective Physical Security 5th Edition/2017, autore Lawrence J. Fennelly(1). L’autore pone un accento particolare ai livelli di security, classificandone ben 5 tipologie divisi in livelli: livello 1 - minimo; livello 2 - basso; livello 3 - medio; livello 4 - alto; livello 5 - massimo. Vediamoli.

LIVELLO 1

Livelli di sicurezza fisica che potrebbero variare dalla semplice intrusione, fino all’attacco armato. In virtù di questa definizione, un sistema di livello minimo consisterebbe in semplicistiche barriere fisiche come porte e finestre regolarmente attrezzate con serrature ordinarie.

LIVELLO 2

Un sistema progettato per impedire e rilevare alcune attività esterne non autorizzate. Una volta che sono presenti semplici barriere fisiche e serrature, queste possono essere integrate con altre barriere come porte rinforzate, sbarre per finestre e griglie, serrature di alta sicurezza, un semplice sistema di illuminazione e un sistema di allarme di base. Piccoli negozi e magazzini di stoccaggio sono esempi di siti che potrebbero essere protetti da sistemi di sicurezza di basso livello.

LIVELLO 3

Un sistema di questo tipo sarebbe progettato per impedire, rilevare e valutare la maggior parte delle attività esterne non autorizzate e talune attività interne non autorizzate. Queste attività potrebbero andare dal semplice taccheggio alla cospirazione per commettere un sabotaggio. Quando un sistema è aggiornato al livello medio, le misure precedentemente incorporate (vedi livelli 1 e 2) sono potenziate con capacità di rilevamento e impedimento, così come capacità di valutazione. Per raggiungere il livello medio di security, sarebbe necessario incorporare un sistema avanzato di allarme anti-intrusione monitorato a distanza; stabilire un perimetro oltre i confini dell’area protetta e fornire barriere fisiche ad alta sicurezza come recinzioni resistenti alle penetrazioni alte almeno 2,5 metri sormontate da concertina lungo il perimetro. Importante è poi utilizzare una GpG dotata di mezzi di comunicazione di base. Le strutture di media sicurezza potrebbero includere magazzini, impianti di grande produzione industriale e alcuni grandi punti vendita al dettaglio.

LIVELLO 4

Un sistema di questo tipo sarebbe progettato per impedire, rilevare e valutare la maggior parte delle attività non autorizzate esterne ed interne. Dopo che le misure precedentemente menzionate sono state incorporate nel sistema, la sicurezza di alto livello può essere realizzata con • l’aggiunta di apparecchiature all’avanguardia installate; • sistema di videosorveglianza; • sistema di allarme perimetrale monitorato a distanza, posizionato sulle barriere o vicino alle barriere fisiche di sicurezza; • illuminazione ad alta sicurezza, intorno all’intera struttura; • controlli progettati per limitare l’accesso a o all’interno di una struttura a personale autorizzato, usando ad esempio sistemi di controllo degli accessi e/o la biometria; • piani formali preparati con la conoscenza e cooperazione della polizia che si occupa delle loro risposta e assistenza in caso di specifici imprevisti sul sito protetto; • diversi livelli di coordinazione con le forze dell’ordine locali; • security audit condotti annuawlmente. Esempi di siti di security di alto livello includono alcune carceri, aziende farmaceutiche e produttori di elettronica sofisticata.

LIVELLO 5

Un tale sistema è progettato per impedire, rilevare, valutare e neutralizzare tutte le attività esterne ed interne non autorizzate. In aggiunta alle misure già citate, questo è caratterizzato da un sistema di alta sicurezza e ridondato, monitorato da remoto in una o più posizioni protette; una forza di risposta in loco altamente selezionata e persone addestrate e armate, attrezzate per operazioni di emergenza e dedicate a neutralizzare o contenere qualsiasi minaccia contro la struttura protetta fino all’arrivo delle forze dell’ordine. Questo più alto livello di protezione di physical security è operativo negli impianti nucleari, nelle carceri, nelle basi militari, siti governativi e edifici diplomatici.

CONCLUSIONI

In ultima analisi, quando si imposta un piano di security i migliori risultati si ottengono sempre da un attento e dettagliato programma. Quindi si deve partire dalla definizione del contesto in cui si dovrà operare descrivendo le condizioni fisiche, gli elementi ambientali, le operazioni di infrastruttura, le politiche e le procedure, i requisiti normativi e legali, gli obiettivi organizzativi, i dati demografici delle strutture, i servizi forniti, etc.

Nota:
(1) Quest’ultima edizione è un compendio delle migliori pratiche e descrive in dettaglio gli elementi essenziali e gli ultimi sviluppi nella protezione della sicurezza fisica, completamente aggiornata, arricchita di nuovi capitoli accuratamente selezionati dal lavoro dell’autore che ne definisce lo standard. Il testo contiene un’importante copertura della progettazione ambientale, delle indagini di sicurezza, un capitolo speciale sulle serrature, sull’illuminazione e la TVCC, antintrusione e controllo accessi; affronta i più recenti standard ISO per la valutazione e la gestione dei rischi, la pianificazione della sicurezza fisica, l’infrastruttura dei sistemi di rete e la progettazione ambientale.