Cybersecurity

AssetProtection. Il genio della lampada e i tre desideri sulle sicurezze

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

La sicurezza ha un costo ma le aziende alimentano la guerra dei prezzi a scapito della qualità perseguendo risparmi a breve termine

Nonostante il fatto che chi si occupa di sicurezza certamente avrà acquisito nel corso del tempo un approccio alle questioni di natura professionale estremamente razionale, sono certo che in più di qualche occasione, colto da sfinimento, avrà anche desiderato di incontrare la lampada di Aladino. Avrà sognato ad occhi aperti di poterla sfregare, di vedersi materializzare davanti il genio e di ascoltare, come musica per le proprie orecchie, la fatidica frase: “Mio padrone, ogni tuo desiderio è un ordine”.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

E’ un pensiero che dà sollievo, un’atipica sensazione di leggerezza, quella di poter esprimere almeno tre desideri e sapere che con nessuno sforzo verranno realizzati a regola d’arte, senza dover convincere nessuno della loro bontà.

Il mio primo desiderio sarebbe: “Genio, voglio che tu spieghi e convinca tutte le persone, dal CEO all’addetto alla reception, che la sicurezza non è un set di regole da malati di mente, ma di operazioni pratiche da applicare giorno per giorno”.

Quando nella storia di qualsiasi organizzazione non c’è memoria di un incidente, anche se non gravissimo, l’applicazione di ogni regola che non produca in modo più o meno diretto guadagno, assume la connotazione di una perdita di tempo. Così si decide di applicarla, almeno formalmente, perché ne parlano tutti oppure perché qualche autorità di settore ne ha sancito l’obbligatorietà, ma viene comunque acquisita come un’operazione di poco valore. Poi un bel giorno si verifica un incidente.

Magari creerà un po’ di scompiglio, magari produrrà un bel danno, al quale in qualche modo l’organizzazione farà fronte, oppure sarà talmente tanto grave che costerà il posto di lavoro a tutti, proprietario compreso. Allora sì che la gente avrebbe voglia di cominciare a seguire le regole, ma sarebbe ormai troppo tardi.

Il mio secondo desiderio sarebbe: “Genio, voglio che tu faccia parlare i responsabili delle sicurezze nella stessa lingua”. E’ divertente notare, quando si parla di sicurezza, come ciascun interlocutore riconduca automaticamente il termine ad un contesto specifico, di per sé familiare, ma parziale. Per un Responsabile Sicurezza Prevenzione e Protezione significa DVR (Documento di valutazione dei rischi), Piani di emergenza ed evacuazione, formazione obbligatoria, ecc. Per un Security manager significa corretta configurazione dei firewall ed adeguata gestione delle password oltre a PT e VA (Penetration test e Vulnerability assessment). Per un responsabile sicurezza (armato) l’obiettivo primario sarà quello di presidiare correttamente i varchi impedendo accessi non autorizzati ed intrusione di dispositivi non ammessi all’interno di un perimetro protetto.

Ciascuno esige operazioni autonome con strumenti indipendenti. Eppure, il processo è esattamente lo stesso: analisi e valutazione dei rischi, identificazione dei piani di trattamento, applicazione delle azioni e dei controlli identificati, misurazione e monitoraggio dell’efficacia del sistema attraverso specifici indicatori, esecuzione di esercitazioni, test, controlli indipendenti e audit, correzione e miglioramento delle evidenze acquisite.

Il mio terzo ed ultimo desiderio sarebbe: “Genio, spiegaglielo tu ai miei clienti che la sicurezza ha un costo”. Non è un mistero per nessuno che in questi ultimi anni sui mercati si combatte una guerra di prezzi a ribasso, e non è un mistero che molte attività vengono esternalizzate anche in paesi esteri dove i costi del personale sono di molto più modici rispetto a quelli nazionali.

Un apparente risparmio, in barba anche alla conduzione dei controlli basilari, può mettere in evidenza una forma di efficienza a breve termine che, a lungo andare, potrebbe tramutarsi però in perdite da capogiro. Una BIA (Business impact analysis) potrebbe essere anche un ottimo strumento commerciale per chiarirsi le idee. Ma le cose semplici nell’immediato, senza tante preoccupazioni, sembrano essere quelle più gradite.

I cambiamenti, l’evoluzione, il miglioramento sono processi che nella maggior parte dei casi vengono considerati persino esagerati prima ancora di essere anche solo valutati.

Genio della lampada, ti prego, pensaci tu!

Leggi le altre notizie sull’home page di Key4biz