Una prospettiva diversa: nasce “ZeroUno Security Journal”

Cosa vuol dire oggi occuparsi, in azienda, di sicurezza? Soprattutto cosa vuol dire riuscire a dare alle tematiche legate alla security quella connotazione di “risorsa” e non di ricorso obbligato per l’impresa?
Per cercare una risposta, c’è un aspetto da cui bisogna partire: da anni, nel nostro settore, parliamo di tecnologie, modelli e approcci alla sicurezza eppure da queste tematiche il management sembra essere ancora infastidito, sembra viverle soprattutto come costo e male necessario, senza riuscire a cogliere quella connotazione di valore per il business che invece si vuole dare e che sarebbe indispensabile recepire per finalizzare al meglio gli investimenti. Dov’è l’errore? Dove sta lo sbaglio? Come “salire di livello” per fare delle tecnologie di sicurezza quelle leve complementari all’azione di business dell’impresa?
Va detto che la tematica della security, di per sé, ha mille sfaccettature: tecnologiche ma anche comportamentali, organizzative e metodologiche e non è quindi facile portare avanti in impresa una strategia organica. La costruzione di una “cultura della sicurezza” è un lavoro costante e medio-lungo e non si capisce, fino in fondo, chi debbano essere gli attori di questo cambiamento. Cosa vuol dire tutto ciò per un’impresa? Significa ragionare sulla disponibilità dei dati laddove e quando servono; operare nel rispetto delle normative; garantirsi accessi a contenuti in funzione di diversi profili di utenti; avere un sistema di riconoscimento di identità che sia dinamico e con una buona dose di intelligenza; estendere modalità di protezione all’interno e all’esterno dell’azienda secondo logiche di adeguata accettazione di rischio; innervare il sistema informativo di un’intelligenza di sicurezza che consenta un’operatività efficace al variare delle condizioni di business. Eccola qua, la chiave interpretativa. Non può che essere una chiave di business. La mia azienda – questo il ragionamento che deve diventare fondativo di una cultura della security diffusa – vive di una serie di attività diversificate: apertura a nuovi partner; nuove forme di integrazione con i clienti; riorganizzazioni attraverso fusioni, acquisizioni, aperture in nuovi mercati; aderenza a compliance; necessità di gestire differenti livelli di informazioni utili al business, e così via. Sono questi i bacini di riferimento dell’azione dell’impresa sul mercato. E per questo, più il tempo passa più la mia azienda diventa vulnerabile e maggiore diventa l’esigenza di identificare modalità operative sicure e flessibili. Se questo ragionamento viene “metabolizzato”, ecco allora che il linguaggio sulla sicurezza viene meglio capito e recepito anche da parte di chi oggi la sicurezza la sottovaluta, non ne coglie il significato di business, non ne considera i rischi se non a fronte di eventi negativi. Altro problema: chi si deve far carico di trasferire questa nuova sensibilità? Ancora una volta sta nella capacità del Cio saper elaborare un linguaggio (non solo parole semplici ma anche nuove modalità di relazione, interpretazione delle esigenze esplicite e latenti, visibilità sull’azione strategica dell’impresa sul mercato) che porti alla proposta di progetti di security finalizzandoli al supporto organizzativo e di business. Cambia anche il modo con cui si scelgono le tecnologie e si sviluppano i progetti. Non più per la qualità architetturale e prestazionale della soluzione di security ma perché questa è fondamentale per supportare l’organizzazione aziendale, un nuovo processo definito, nuovi prodotti e/o servizi, una nuova modalità di approccio al mercato.
Ecco allora che da questi presupposti, ZeroUno, nella modalità “business oriented” che da sempre contraddistingue la nostra rivista analizzando l’evoluzione delle tecnologie Ict, lancia su questo numero ZeroUno SECURITY JOURNAL. Per rafforzare un modo di proporre la sicurezza non solo in termini reattivi ad eventi fraudolenti ma anche una security proattiva, finalizzata cioè a contribuire alla generazione di fatturato aziendale. Come? Ad esempio nella certezza di  essere in grado di rendere disponibili alle diverse tipologie di utenti aziendali strumenti di intelligence individuali adeguati nonché informazioni profilate e correttamente disponibili. Una security, quindi, che guardi non solo a proteggersi “a riccio” nei confronti dell’esterno, ma che dia risposte alle necessità  di apertura dell’azienda per mettere a punto sistemi di sicurezza conseguenti, non invasivi sull’attività degli utenti, ma che anzi ne facilitino il lavoro e la relazione.
Va detto che oggettivamente su queste tematiche comunque grandi passi avanti sono stati compiuti dalle aziende, rispetto al passato, sul piano culturale. Esiste infatti oggi una nuova sensibilità in tema di security ma certo la necessità delle imprese di occuparsi soprattutto dell’impermeabilità dei sistemi e della loro gestione quotidiana, spesso limita la possibilità di attuare una strategia attiva della sicurezza. Tuttavia le cose stanno cambiando, e la sensibilità ad una nuova collocazione delle tecnologie, ma soprattutto dei processi legati ad un aumento del livello della security aziendale, sta aumentando.
La nascita di questo spazio all’interno della rivista, che chiamiamo ZeroUno SECURITY JOURNAL  risiede proprio nella considerazione strategica della security come elemento fondamentale nell’evoluzione di un sistema informativo sempre più orientato all’erogazione di servizi IT utili al business. Per questi motivi accanto alle tradizionali modalità con cui oggi si guarda all’analisi dei fenomeni della sicurezza aziendale (l’analisi degli elementi tecnologici, organizzativi e di competenza legati all’aumento del livello di security del sistema informativo nelle sue diverse componenti; la definizione di policies e di atteggiamenti adeguati alla messa a punto di practice di security; il monitoraggio, sul fronte quantitativo e qualitativo della security sul mercato italiano) ecco, a nostro avviso, la novità: l’analisi di ogni fenomeno organizzativo legato all’azione business dell’impresa sul mercato, analizzato dalla prospettiva della security. Guarderemo quindi ad una serie di fenomeni consolidati o emergenti (knowledge management – Crm – internazionalizzazione del business di impresa – Web 2.0 – gestione risorse umane, flessibilizzazione della supply chain, ecc) indagati dalla prospettiva delle implicazioni che questi fenomeni determinano sul piano della sicurezza.
Per fare questo lo strumento principe sarà, ancora una volta come da sempre propone ZeroUno….parlare con gli utenti. Spazio quindi a “Casi Utente” nei quali i Cio ci racconteranno delle loro strategie di relazione, comprensione della domanda, erogazione di soluzioni di “security business oriented” verso i diversi stakeholder aziendali.
Ma non è tutto: allo scopo di attivare un canale di comunicazione bidirezionale, di approfondimento e di confronto, accanto all’area di ZeroUno rivista nasce, da questo mese di marzo, lo ZeroUno SECURITY WEB JOURNAL, un’area sul sito di ZeroUno (www.zerounoweb.it) nella quale pubblicheremo tutti gli approfondimenti che sul Journal cartaceo sono stati proposti ad una prima lettura. White paper, disamine tecnologiche, confronti in modalità “tavola rotonda virtuale” saranno proposti sul sito per contribuire a far uscire la sicurezza da quella sfera di tecnicismo che nasconde ai più l’enorme potenzialità della security per lo sviluppo di impresa.