venerdì, 29 marzo 2024

Articoli

Security Manager e DPO: un’unica professionalità?

09/11/2018

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, Chief Security Officer e Data Protection Officer, Giovanni Villarosa è anche Vice Presidente di SECURTEC (Associazione culturale, composta da security manager certificati, che si occupa di tematiche legate al mondo - logica e fisica - per la protezione di infrastrutture complesse e critiche).

La sicurezza del patrimonio aziendale è un fattore sempre più critico per imprese ed enti pubblici, costantemente impegnati ad agire su più fronti del problema (tecnologico, organizzativo e formativo). Parallelamente la tutela del patrimonio informativo, al pari di quello aziendale, si occuperà delle misure per fronteggiare le minacce, tese a costruire uno schema di governance funzionale alla compliance diretta ai processi ICT e nel trattamento dei dati e delle informazioni. Ciò significa che l’identificazione delle aree critiche, la gestione dei rischi nei sistemi e nella rete, delle vulnerabilità e degli incidenti, il controllo degli accessi, la protezione fisica, la gestione del trattamento dei dati, la misurazione dei danni, etc, rappresentano tutte tematiche comuni a due ambiti aziendali ben distinti ma contigui.

Queste tematiche, che rappresentano le due facce di una stessa medaglia, sono diventate di estrema attualità, tanto che diverse grandi organizzazioni (private e pubbliche) hanno deciso di inserire all’interno dei propri organigramma specifiche risorse umane funzionali alla delicata gestione del security management (frodi, furti, perdita dati, etc). Una tematica che, nella sua complessità, richiede due figure professionali dall’elevato profilo e un background consolidato: un manager della sicurezza aziendale e un manager della protezione dei dati. Specialità apparentemente disomogenee, ma con obiettivi comuni e fortemente convergenti.

L’ASSETTO NORMATIVO

L’attuale assetto normativo prevede, all’interno di strutture organizzate complesse, diverse figure professionali (alcune su base volontaria, talune rese obbligatorie) per consentire lo svolgimento di diversificate attività legate all’area sicurezza. Il Security Manager (SM previsto su base volontaria, in tre profili normati dalla UNI 10459:2017, ma imposti dalla UNI 10891:2000 e dal DM 269/2010 per gli Istituti di vigilanza privata), il Responsabile del Servizio di Protezione e Prevenzione (RSPP D.Lgs 81/2008 obbligatorio), il Responsabile della Protezione dei Dati (RPD o DPO, GDPR UE 2016/679 obbligatorio e normato dalla UNI 11697/2017). Nei moderni contesti organizzati, la Corporate Security assume una rilevanza strategica a causa di fenomeni di terrorismo (es. primavere arabe), criminalità organizzata e transnazionale, necessità di inviare i dipendenti in missione o temporaneamente distaccati fuori confine (travel security e data protection fuori area), anche in ambito di infrastrutture pubbliche. Il possibile pericolo di arrecare danni ai dipendenti (safety), agli asset tangibili (security) e intangibili (data protection), deriva principalmente da due fattori: il valore della minaccia e la vulnerabilità dell’organizzazione. Ogni impresa organizzata in processi e attività contiene delle vulnerabilità intrinseche, sfruttabili illecitamente da qualunque soggetto antagonista, sia esso interno che esterno, e finalizzate ad arrecare danni al patrimonio aziendale (brevetti, policy, dati personali, asset fisici, etc). Un professionista della security aziendale deve possedere alcune competenze indispensabili: conoscenze tecniche, giuridiche e criminologiche, competenze in materia di crimini informatici e tutela delle informazioni sia convenzionali che classificate, tutela dei dati personali, protezione di marchi e brevetti, nozioni sul rischio e sulla protezione aziendale.

IL SECURITY MANAGER

Sulla base di quanto detto sin ora, la figura del security manager rappresenta concretamente l’interfaccia della sicurezza interna, che valuta e gestisce ogni possibile criticità assieme agli organismi istituzionali quali l’Autorità Giudiziaria (Polizia Giudiziaria) e quelli della Pubblica Sicurezza (Questore, Prefetto), per garantire costantemente alti standard di sicurezza dell’organizzazione.

IL DPO

All’esperto di protezione aziendale dalle minacce esterne e interne si affianca un’altra figura di tutela e garanzia, che la normativa europea istituisce obbligatoriamente come parte attiva nella compliance della data protection. E’ il DPO e risponde ad esigenze diverse, operando tuttavia con metodi e finalità molto simili a quelli del security manager, e svolgendo in effetti un’attività di security, in particolare quando si trattano determinate categorie di informazioni classificate e dati personali particolari. La preparazione del DPO spazia fra competenze legali, tecnico-informatiche, organizzative e gestionali e di cyber security. Tra i suoi compiti: sorvegliare l’osservanza del Regolamento, valutare i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e della finalità; collaborare con il titolare/responsabile nel condurre una valutazione di impatto sulla protezione dei dati (DPIA art. 35 GDPR), informando e sensibilizzando il titolare e/o il responsabile del trattamento, nonché il personale dipendente, riguardo agli obblighi derivanti dal Regolamento (es. la tenuta del registro delle attività di trattamento) e da altre disposizioni in materia di protezione dei dati; infine cooperare con il Garante, fungendo da trait-d’union tra lo stesso e gli interessati del trattamento.

DUE FIGURE PER UNA PROFESSIONE?

Peraltro, in ambito di security aziendale, tra le diverse normative da rispettare si annovera senza dubbio la tutela della privacy, o meglio (come recita la nuova normativa) la protezione del trattamento dei dati personali, acquisiti e gestiti dall’organizzazione nella sua attività d’impresa. I dati contenuti all’interno di un’azienda, sia essa privata o istituzionale, rappresentano un patrimonio inestimabile, perché riguardano le persone fisiche e/o i dati che afferiscono al core business. Di questo dev’essere investito anche il Security Manager. Ecco perché le aziende hanno preso sempre più coscienza del bisogno di proteggersi da un eventuale rischio, esterno o interno, attraverso un’adeguata ripartizione di compiti tra più figure (il Security Manager per l’aspetto security e il DPO). Mentre a livello statuale ci si interessava a normare esclusivamente i settori della safety e della privacy (il GDPR arriva poi come normativa di istituzione europea), per la security aziendale (tecniche, modelli organizzativi, prassi, processi, metodologie, etc) non si è mai concretamente intervenuti, considerandola una prerogativa soggettiva e autonoma delle imprese, esercitata a titolo individuale. E tutto ciò, nonostante le relazioni di qualificate aree istituzionali (https://www.senato.it/service/PDF/PDFServer/BGT/698282.pdf), che sollecitavano il legislatore a porre un rimedio ad una questione considerata come una prerogativa strategica, tanto per le organizzazioni private quanto per quelle pubbliche (http://dati.camera.it/ocd/aic.rdf/aic4_03389_17). Ma è la convergenza finale sostanzialmente a non cambiare, perché sia l’una che l’altra figura occupano gli stessi ambiti operativi, affrontano le stesse problematiche, che trattano con le stesse policy aziendali, le stesse procedure di sicurezza, le stesse metodologie analitiche, le medesime tecnologie di protezione e misure di sicurezza. In ultima analisi, il dilemma su cui ragionare è: posto che queste due figure, il SM e il DPO, sono strategiche per la sicurezza delle organizzazioni private e delle infrastrutture pubbliche, potrebbero forse coagularsi in un unico professionista? Sarebbe conveniente sul lato operativo, ancor prima che su quello meramente economico? Leggendo i contenuti delle due normative di riferimento, si riscontrano molteplici punti di contatto: una trasversalità unica nel suo genere, che indirizzerebbe verso una figura unica. Ma è un pensiero personale: i lettori che idea si sono fatti? 



Tutti gli articoli