Governance e strategia

Sicurezza ICT: c’è ancora differenza tra Safety e Security? Il significato in 6 punti

Non è più vero che la sicurezza informatica riguarda solo la protezione dell’hardware o del software. L’informatizzazione della società ha allargato le maglie della sicurezza ICT, includendo persone e cose. Dalla gestione dei dati personali alla salvaguardia dei cittadini, tra privacy, normative e compliance, la sicurezza oggi richiede approcci e vision differenti

Pubblicato il 04 Dic 2015

security-and-safety-151203142726

Safety, il significato: oggi ha ancora senso parlare di una differenza tra Safety e Security? Con la progressiva informatizzazione delle aziende, che significato ha valutare come diversi e separati gli ambiti della sorveglianza e della protezione? Perché si tende ancora oggi a considerare la sicurezza come un servizio, invece che come un asset strategico?

L’assunto fondamentale è che oggi il business non esiste senza Internet. La maggior parte dei processi è digitale o in qualche modo passa dalle tecnologie digitali. Gli utenti sono tutti connessi, che agiscano in modalità privata o in modalità pubblica, e garantire la business continuity non è e non può essere considerato soltanto un servizio assegnato al team IT.

Proteggere le persone, le aziende e le informazioni è parte integrante di una strategia in cui convergono sistemi di videosorveglianza, telecontrollo, antintrusione, antieffrazione ma anche di protezione da tutte le derive del cybercrime che colpisce gli utenti in azienda oppure in mobilità, a casa come in automobile, in treno o a piedi. Non a caso con la sicurezza vengono coinvolti i legali e gli enti certificatori, il garante della Privacy e le autorità preposte, le HR e gli addetti al facility management.

Che cosa significa Safety e cosa significa Security

Il significato di safety e di security. In Italia si parla genericamente di sicurezza ma la suddivisione anglosassone specifica le differenze: Safety è la sicurezza dei lavoratori mentre Security è la sicurezza dei cittadini.

La digitalizzazione delle abitudini e dei modi di lavorare e di comunicare ha reso più fluida questa distinzione. Se un mezzo su strada ha un sistema di navigazione elettronico che avverte il guidatore della strada compromessa, dell’usura di un pneumatico o di un avaria nel sistema di raffreddamento dei cibi che sta trasportando c’entra la safety così come la security. Se un mezzo è compromesso la guida può risultare pericolosa per il guidatore e per chi si trova sulla sua strada, mentre se un carico arriva deteriorato, l’impatto sulla salute dei consumatori può essere anche molto significativo.

La sicurezza, dunque, oggi è l’ennesimo ambito in cui la tecnologia supporta la qualità dei controlli e dei servizi associati e abbraccia in maniera organica e funzionale:

  1. Luoghi di attività
  2. Mezzi d’opera
  3. Persone
  4. Materiali
  5. Utilities
  6. Servizi

La sicurezza nelle smart city

Nella Internet of Things, però, se le cose diventano connesse e comunicanti, la componente informatica che equipaggia il mondo più smart si apre allora al tema più specifico della sicurezza informatica. Il che, in sintesi, significa sapersi occupare dell’analisi delle vulnerabilità, del rischio, delle minacce o attacchi e quindi della protezione dell’integrità fisica non solo dell’hardware ma anche del software che, dal punto di vista logico-funzionale, motorizza un sistema informatico e i dati in esso contenuti o scambiati in una comunicazione con uno più utenti.
L’azienda a questo punto deve impostare una governance capace di risolvere un complesso di responsabilità per l’imprenditore e per tutti i partecipanti, sia verso l’impresa come soggetto giuridico, sia nei confronti dei responsabili e dei partecipanti all’impresa. In che modo?

Garantendo:

  • la continuità e la sicurezza del core business
  • lo stato di efficienza e la sicurezza degli asset (che si tratti di ƒ immobili di produzione, depositi, uffici, sedi di rappresentanza, mezzi di trasporto, ƒ mezzi tecnologici, ƒ materiali)
  • la salute e la continuità operativa del personale
  • la responsabilità dell’impresa e dei suoi partecipanti verso il mondo esternoƒ

La sicurezza nelle aziende digitali

Senza dimenticare un fondamentale: la sicurezza non è uno stato e non presuppone mai un punto di arrivo avendo a che fare con una serie di variabili associate a calamità naturali, eventi disastrosi, attività dolose volontarie o involontarie, distrazioni, anomalie e tutta la dimensione della cybercriminalità legata all’informatizzazione delle aziende. Che si tratti di Safety o di Security, la sicurezza on line e off line deve presuppore comunque un approccio organico e dinamico, fatto di aggiornamenti continui sia sulla sofisticazione delle minacce sia sull’evoluzione delle contromisure di protezione associate allo sviluppo di tecnologie sempre più mirate e performanti. Ma non solo: le aziende devono anche attuare una strategia non soltanto di monitoraggio e di controllo ma anche di risk management pre e post evento disastroso.

Ogni falla alla sicurezza deve essere analizzata per verificare, in presenza di un evento negativo, se la strategia precedentemente attuata abbia retto all’impatto e, se non lo ha fatto, cosa non ha funzionato, quali e quanti danni ha prodotto, dove e cosa è necessario correggere, in che modo recuperare i danni indebitamente subiti. Come sottolineano gli esperti, è evidente che l’impostazione di una strategia o la revisione di una strategia richiede l’esame di uno scenario molto vasto e multidisciplinare. Con un’attenzione massima alla curva di formazione e apprendimento di tutte le risorse aziendali coinvolte.

L’inventario del CISO moderno

Quali sono gli aspetti che bisogna valutare nell’impostare un programma di sicurezza capace di tenere conto di tutti gli aspetti di salvaguardia, tutela, protezione, allineamento normativo, Privacy, garanzia della produttività individuale, business continuity, tutela della proprietà intellettuale, disaster recovery incluso? Che si tratti di aziende pubbliche o di aziende private, imprese di grandi dimensioni o piccole, gli aspetti sono tanti e tali che è utile periodicamente stilare un inventario che consenta di analizzare in un secondo tempo se e in che modo sono presidiate le risorse aziendali, sono garantiti i servizi, il tutto con una valutazione di dettaglio rispetto agli adeguamenti normativi. Di seguito le macroaree su cui iniziare a ragionare, considerando che oggi la produttività individuale degli utenti è supportata da dispositivi fissi e mobili:

  • accesso e movimentazione persone, mezzi di trasporto e merci
  • controllo aree e telesorveglianza
  • gestione delle infrastrutture ICT e dei sistemi
  • gestione degli asset
  • trattamento informazioni
  • replica documenti
  • sistemi di comunicazione

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati