Dare valore aggiunto alla security pensando convergente

di Sylvan Ravinet, CPP, CISSP, CBCI, PSP, Associate Director Gambade Group, azienda di consulenza e formazione. Ex presidente di ASIS France, filiale francese di ASIS International.

Comincerei con qualche definizione, che in questo campo non sono mai di troppo. Con l'espressione "Security Convergence" ci riferiamo alla progressiva integrazione di processi, strumenti e risorse per garantire migliori standard di sicurezza a livello aziendale e di business. Questo obiettivo richiede il coinvolgimento di tutti coloro che partecipano all'attività d'impresa (dirigenti, esperti di security, membri dello staff, contractor), eliminando definitivamente l'era in cui l'esperto di sicurezza fisica difendeva il proprio orticello dalle "indebite incursioni" del consulente per la sicurezza dei dati e le altre funzioni (come il facility management nella predisposizione e manutenzione delle sedi o le risorse umane per l'assunzione e i licenziamenti) difendevano con le unghie e coi denti le loro prerogative.

Anche la security comincia ad aprirsi e sta diventando più trasparente, smettendo di essere una "scatola nera" all'interno dell'azienda. E i benefici della security convergence diventano evidenti per qualsiasi business, a prescindere dalle dimensioni e dalla tipologia di attività. Economie di scala ottenute grazie alla gestione di un unico budget per tutte le iniziative legate alla sicurezza, maggiori controlli sui rischi delle scelte compiute a tutti i livelli di responsabilità, persone più motivate: tutto questo crea un valore aggiunto tangibile. Ma come si innescano questi processi? Nello svolgere la nostra attività di consulenza abbiamo notato che si parte solitamente da una decisione adottata ai vertici dell'organizzazione – decisione spesso generata da fattori esterni come una violazione, una nuova politica degli azionisti o una questione di budget. La risposta a questa scelta non è facile e non si esaurisce individuando un "corporate security officer" (figura peraltro assai rara sul mercato del lavoro). La decisione deve essere piuttosto sviluppata attraverso veri e propri "action plan", portati avanti da gruppi di lavoro ed esperti di security secondo una logica trasversale a tutta l'impresa.

Ciò richiede l'adozione di un lessico comune, perché è indispensabile che tutte le persone coinvolte nel progetto attribuiscano a parole chiave come "rischio" e "sicurezza" il medesimo significato. Lo stesso discorso vale per la metodologia adottata per il security risk management, che deve essere comune e condivisa. La security deve in sostanza diventare parte integrante della responsabilità di ogni individuo che opera in azienda, e ciò richiede senso pratico ed un comune senso del business. Il dipartimento responsabile per la sicurezza potrebbe essere chiamato a rivedere almeno in parte la propria struttura nell'ottica di raggiungere diversi obiettivi: offrire un singolo canale di contatto e un elenco preciso dei servizi offerti, adottare un sistema di qualità (come l'ISO 9001), ridefinire i propri processi e guidarne altri di particolare rilevanza (compresi la Business Impact Analysis e l'asset management, il Business Continuity Management e l'Identity Access Management), rendere il business più resiliente rispetto a minacce e incidenti. E questo potrebbe richiedere una specifica formazione, resa più efficace da esercitazioni comuni volte a portare tutti allo stesso livello di consapevolezza e competenza.

Ma parliamo di processi che richiedono tempo. In Francia questa consapevolezza non è ancora del tutto omogenea e assume varie forme. Al momento, le iniziative finalizzate a promuovere la convergenza sono più diffuse nei "quartier generali" delle aziende piuttosto che nelle sedi periferiche, al centro invece che nelle periferie. In un'importante banca, ad esempio, la prevenzione delle frodi ha portato ad attribuire maggiore peso alla gestione dell'IT security, come nel caso dei progetti di Identity Access Management (IAM). In un altro istituto di credito, la convergenza si sta affermando come processo guidato dalla dirigenza. Nel caso di un grande operatore del settore energetico il processo è stato affidato alla funzione di corporate security, che definisce le politiche e le linee guida, mentre la loro esecuzione è stata lasciata alle filiali e alle funzioni di supporto. In un'altra impresa dello stesso settore, la corporate e la IT security sono guidate da due manager che comunicano fra loro in modo molto regolare, riportando i risultati raggiunti a una commissione comune. In altri settori, invece, la gestione della security è ancora tutt'altro che trasparente, e assieme alla IT security tende a essere percepita come un ostacolo (più che un aiuto) alla gestione del business. Stati Uniti, Gran Bretagna e Svizzera sembrano invece muoversi verso una convergenza più omogenea. Anche in Italia solo un'élite di security manager "pensa convergente".

Tuttavia i tempi sono decisamente maturi. Qualsiasi azienda (piccola o grande) che aspiri a diventare leader del mercato adotterà rapidamente questo approccio, ridisegnando i propri processi. E i manager che si formeranno sul tema – magari conseguendo certificazioni internazionali quali la CPP di ASIS International, la CISM di ISACA o il BCI Certificate del Business Continuity Institute – potranno distinguersi sul mercato del lavoro. Penso che molto presto queste certificazioni diventeranno degli standard de facto riconosciuti a livello internazionale. Del resto, la crisi ci insegna che è essenziale seguire programmi efficienti di corporate e IT security: ogni budget deve essere giustificato, e ogni spesa deve essere motivata...o eliminata. In questo scenario, anche la security deve offrire un adeguato ritorno dell'investimento, deve aprirsi e far vedere come funziona. Tutto questo si tradurrà in una posizione di minor rischio per l'azienda e la convergenza diventerà un processo naturale anche per i piccoli business e le start up, mentre nelle grandi aziende saranno sempre più numerosi i manager ai quali si chiederanno specifiche competenze. Mi sento di dire che, nella maggior parte delle imprese che hanno adottato un programma pilota, i primi risultati si potranno vedere già entro un anno.