lunedì, 25 ottobre 2021

Articoli

Security fisica+logica: la lezione della pandemia

30/09/2021

di Giovanni Villarosa - Esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, Vice Presidente di SECURTEC

Partiamo dalla scena finale del film: quella in cui security e safety viaggiano per mano. Una realtà già sperimentata dai professionisti della sicurezza (security manager, RSPP, amministratori di sistema) fin dall’inizio dell’emergenza pandemica da Covid 19/Sars2, dove tutti i perimetri di protezione sono caduti nello stesso istante e per effetto della stessa causa. Una vulnerabilità sanitaria, comune e concomitante, che nessuna organizzazione ha mai preso nella giusta considerazione, una sorta di nine eleven pandemica - ad oggi ancora classificata come criticità medica di origine naturale, che ha mostrato che sicurezza fisica e logica non possono più essere separati, ma vanno assunti quali cardini dell’intero processo sistemistico della sicurezza, rappresentando le due facce della stessa medaglia.

Sin dall’inizio di questa emergenza virale mi sono tornate in mente le lezioni ascoltate in aula sei anni fa (DIE, master STE-SDI), sugli scenari applicativi per le tecnologie di difesa militare, di difesa e protezione civile, i metodi e le tecnologie di prevenzione e identificazione per la difesa e protezione civile, gli scenari applicativi e metodi per le tecnologie di homeland security, gli attacchi cyber, gli incidenti e le protezioni da eventi chimici, nucleari e batteriologici: i docenti mettevano spesso in risalto come la convergenza nella sicurezza fosse il prodotto di una sola fenomenologia. Lo stesso accadeva durante le lezioni di operation management per scenari di rischio: i due domìni analizzati sempre in stretta coppia e interdipendenti.

Questioni di lessico

Nella lingua italiana il sostantivo sicurezza – nei paesi anglofoni suddivisa in tre sfere (security, safety ed emergency) – è definito “la condizione di ciò che è sicuro, di ciò che consente di prevenire o attenuare quei rischi tipici che si presentano quando una minaccia sfrutta una vulnerabilità, per un fine ultimo di cagionare un danno”. Un’attenta applicazione delle norme di sicurezza generale dovrebbe rendere più difficoltoso il verificarsi di eventi pericolosi, riducendo la distanza tra l’indice reale e quello ideale (irraggiungibile per sua natura, non esistendo un rischio zero). 

Convergenza... nella pratica

Abbiamo già articolazioni istituzionali che operano nel mondo della sicurezza in maniera “convergente e sinergica”: le ritroviamo, ad esempio, tra le forze dell’ordine (security), i vigili del fuoco (safety), il soccorso sanitario (emergency), la protezione civile e la difesa civile (security, safety, emergency). Peraltro, nel campo più generale della sicurezza, tanto aziendale che istituzionale, questa tendenza sta diventando sempre più stringente e coordinata. Ad esempio un sistema di videosorveglianza (sicurezza fisica) non serve solo a tutelare il patrimonio o a registrare un evento criminoso (security) utile alle indagini di polizia giudiziaria, ma può salvare la vita (safety) di una persona in difficoltà nello svolgimento di particolari operazioni produttive, non rappresentando uno strumento di telecontrollo del dipendente, quanto piuttosto di tutela in caso di emergenze. 

E’ un fatto logico!

E qui entra in gioco la sicurezza logica perché, nell’esempio citato, diventa una componente centrale nell’azione di tutela, integrità, disponibilità e sicurezza delle informazioni (dati) raccolte! Dunque abbiamo due binomi, quello fisico-logico e di security-safety, che normalmente viaggiano paralleli, senza mai apparentemente coincidere. Eppure, se nei postulati matematici due rette parallele hanno la sola possibilità di intersecarsi all’infinito (astrazione euclidea molto impegnativa da dimostrare), sul tavolo della sicurezza la realtà è assai tangibile nel suo complesso multidisciplinare. Sappiamo infatti che la governance generale all’interno delle infrastrutture critiche  (informazioni, funzionalità, patrimonio, etc) non prescinde mai dalla protezione fisica, né tanto meno da quella logica. La complessità architetturale e funzionale dei sistemi di sicurezza fisica attuali costituisce infatti essa stessa un potenziale obiettivo per attacchi tipicamente cyber, alla stregua di un qualsiasi altro sistema, o servizio, di information tecnology. Sul versante opposto, proprio la sicurezza fisica diventa un fattore determinante per realizzare un efficace sistema di protezione ICT.

Unico team, unico linguaggio

Ecco perché Security Manager, Security Information Officer e RSPP e DPO, che non operano ancora sullo stesso tavolo parlando linguaggi diversi, dovranno far parte di uno stesso team operativo e confluente in un solo punto di coordinamento, in modo da scongiurare una dannosa insicurezza operativa. Essere in grado di rispondere in maniera adeguata rappresenta la necessaria resilienza che ogni organizzazione - pubblica, privata o critica - deve possedere come patrimonio genetico in risposta ad ogni tipologia di minaccia, endogena o esogena, simmetrica o asimmetrica. Durante l’emergenza Covid la PA (come tutte le aziende) si è scontrata con una cronica mancanza di strategie operative, a partire dall’assenza di piani di business continuity di lungo respiro. Oggi appare irrimandabile un aggiornamento radicale di tutti quei piani tarati unicamente su azioni relegate al singolo incidente operativo.

Piani del lungo periodo

Come accadde l’11 settembre 2001 (quando l’abbattimento di una sola torre venne considerato un evento assolutamente improbabile, per non parlare di due), nessuno ha mai considerato l’effetto domino di una pandemia sulla capacità di risposta operativa di una qualsiasi infrastruttura, perché nessuno ha mai considerato seriamente il riflesso che avrebbe potuto avere, sul lungo periodo, un incidente sanitario come quello della SARS ad esempio. In questa pandemia tanto le aziende quanto lo Stato si sono trovati impreparati a mantenere attivi i processi operativi essenziali, denudando architetture tecnologiche inadeguate e difficilmente implementabili. Si è quindi affrontata la crisi con un fattore resiliente inadeguato perché tarato su concetti generalistici di business continuity e disaster recovery, regolati sul brevissimo periodo (incidenti antropici, naturali, dolosi, etc) e non prefigurati su scenari di più ampia durata, come le pandemie. Avremo imparato la lezione? 



Tutti gli articoli