A cura di Alessandro Lega, CPP – Assistant Regional Vice President Region 27 A di ASIS International - Responsabile del Gruppo di Lavoro Europeo “Convergence” 

Periodicamente ci sono nuovi termini che vengono introdotti nel mondo del business. Uno di questi, ormai diffuso in ambito organizzativo, è il termine “convergence”.

In Italiano la parola convergenza può richiamare diverse cose: dalla verifica dell’inclinazione delle ruote anteriori di un’autovettura al pensiero quasi filosofico introdotto nella politica degli anni ’60-’70 con il famoso binomio “convergenze parallele” .

Nel mondo Anglosassone, invece, si è passati velocemente dal “convergence of security risk” al semplice security convergence, usato ormai sempre più spesso senza necessità delle virgolette.

Cosa è avvenuto, in buona sostanza? Nel tempo la sicurezza fisica è diventata fortemente dipendente da sistemi informatici importando i relativi benefici e sfide, acquisendo però allo stesso tempo anche le vulnerabilità che sono associate. La maggior parte delle soluzioni di Physical Security operano oggi tramite una network aziendale e sono governati da sistemi informatici, gestiti da diverse funzioni aziendali. Questo fa sì che siano state introdotte alcune vulnerabilità per sistemi di intrusion detection, sistemi di sorveglianza, sistemi di allarme e di building automation. Questi sistemi computerizzati possono quindi diventare il punto debole attraverso i quali mettere in atto degli attacchi per ottenere alcune informazioni critiche di una organizzazione. Anche se Security Convergence non è ancora completamente definita negli attuali standard di riferimento, la sua adozione viene fortemente suggerita come risposta strategica alle problematiche sopra esposte e sta diventando sempre più una best practise raccomandata dai leader della Security Industry che operano in ambito di converged security threats.

La Security Convergence può essere definita quindi come un insieme di processi che mettono assieme tutti quelli che sono dedicati alla protezione degli asset aziendali od organizzativi. Nella maggior parte dei casi Physical Security ed Information Security vengono gestite da funzioni diverse. L’individuazione delle interdipendenze che esistono fra funzioni di business ed i relativi processi ha portato allo sviluppo di un approccio più olistico del security management.

E’ diventato vitale per le organizzazioni adottare un approccio allargato ed una visione ampia di corporate security, operando con una strategia allargata, che includa tutte le aree di rischio. Esiste un grande vantaggio nell’avere un punto singolo di ownership per tutti gli aspetti di security di un’organizzazione. Con questa soluzione organizzativa una stessa funzione assume la responsabilità sia per la protezione degli asset fisici che per quelli intangibili, così come per la crescente complessità degli aspetti di compliance.

Sono importanti anche altri aspetti organizzativi, fra cui avere una dotted line con i comitati corporate audit & risk management, ed una linea diretta di riporto con l’Executive responsabile delle Operations al fine di garantire che le issue di security siano comprese ed indirizzate al più alto livello. E’ importante assicurare che il Board e le operazioni di business abbiano una completa visione dei rischi security che un’organizzazione può realmente incontrare e che abbia dei piani per affrontarli. Così facendo l’Executive responsabile delle operazioni riuscirà ad avere il polso della situazione dei rischi dialogando con una sola funzione, evitando di dover incontrare le diverse funzioni aziendali che affrontano i diversi aspetti legati ai rischi. Una linea di riporto unica per ogni tipo di rischio fa sì che le vulnerabilità di ciascuna area security venga esaminata in modo comune e che i relativi incidenti siano gestiti con lo stesso livello di attenzione. Conseguentemente sarà necessario un solo report che renderà più facile la scelta delle priorità in base all’importanza dei rischi, ottenendo una visione unica delle relative minacce.

In alcuni casi potrebbe essere difficile realizzare un cambiamento organizzativo così radicale. L’alternativa in risposta alla necessità di realizzare una Converged Security potrà passare anche attraverso una collaborazione da adottare per far convergere i processi che la governano. I casi in cui i Comitati Rischi incoraggiano attivamente verso progetti congiunti per nuovi sistemi security e che sviluppano efficaci strategie di Enterprise Security Risk Management (ESRM) sono già degli ottimi esempi di una risposta Converged alle minacce security convergenti.