Convergenza tra Safety e Security: il futuro è arrivato?

Possiamo rottamare la distinzione tra safety e security, riportando tutto ad un più ampio concetto di “sicurezza”?

Meglio non essere precipitosi e considerare interrogativi più sfaccettati quando si discute di Convergenza tra safety e sicurezza fisica, logica e organizzativa, come è stato fatto nel primo incontro di approfondimento della nuova stagione dei “Colloquia” di AIIC, il 24 novembre a Roma, ospiti della Università Roma Tre. Questo evento a carattere formativo, aperto anche ai non soci, ha consentito ad AIIC di approfondire uno tra i temi più attuali nel settore delle infrastrutture critiche, e non solo.

VISIONE OLISTICA PER LA SICUREZZA

Il concetto chiave, emerso con evidenza, è che complessità e interconnessioni interne ed esterne – particolarmente note a chi si occupa di infrastrutture critiche – impongono a tutte le organizzazioni pubbliche e private una visione complessiva e predittiva delle minacce interne ed esterne. La sicurezza globale deve essere ricercata in soluzioni preventive che, scontando di non poter prevedere le esatte minacce, rendano tutta la attività meno vulnerabile.

Quindi la organizzazione generale e le prassi di tutti i collaboratori devono già contenere l’allineamento strategico alla sicurezza come principio per tutte le attività.

Nelle esperienze delle grandi aziende multinazionali già emerge il ruolo, di stretta collaborazione propositiva con l’alta direzione, per una funzione sempre più strategica, che forse potremmo chiamare sicurezza proprio perché raccorda safety e security tra loro e con tutta la gestione dell’impresa, interna e nelle parti che, sempre di più, sono affidate a fornitori esterni.

UN CONFRONTO UTILE PER RISPONDERE COLLABORATIVAMENTE A DOMANDE STRATEGICHE

Approfittiamo dei vantaggi offerti da una associazione di professionisti, riproponendo considerazioni dei qualificatissimi relatori, Claudio Pantaleo, Francesco Carlino e Luca Negrini, ma anche dei soci intervenuti con domande e considerazioni. Più precise attribuzioni risulteranno dalle presentazioni pubblicate nel sito Web www.infrastrutturecritiche.it. Superiamo il dubbio semantico: la differenza di significato tra le due parole, safety e security, probabilmente accentuata dagli stessi usi professionali, ha reso più logico di altri questo prestito dalla lingua inglese. Dal dibattito è emersa la esigenza di raccordo tra safety e security in una visione complessiva, che collega anche altre cose, più che la rinuncia alla distinzione.

La necessità di nuovo inquadramento della materia, anche oltre gli abituali confini, non fa venire meno alcuni riferimenti consolidati. Sicuramente, come ha ricordato il consigliere di AIIC Sandro Bologna, le esigenze oggettive e i vincoli normativi dei sistemi per la protezione delle persone (safety) richiedono stabilità delle soluzioni mentre la security in prevenzione e risposta di possibili attacchi in incessante modifica deve essere sempre più dinamica.

Gli specialisti di cyber security, come ha notato la vicepresidente di AIIC, possono compiacersi di vedere confermata la crescente strategicità delle proprie competenze dato che la integrazione si basa sulla trasmissione di dati. Ma cambia la visione ed occorre integrarsi con altri profili professionali per garantire rappresentazione funzionale degli scenari, attenzione focalizzata sul complesso del “rischio di business”, gestione convergente di tutti i rischi.

CAMBIA IL MONDO, CAMBIANO LE AZIENDE, CAMBIA LA SICUREZZA

Claudio Pantaleo è molto apprezzato per contenuti e chiarezza delle sue conferenze. Ha senso e non gli dispiacerà, se riprendiamo direttamente alcuni passaggi della sua relazione. Le aziende operano in un nuovo contesto, nel quale potenzialità e problemi portati da Internet hanno gran peso, che cambia a livello globale lo scenario della sicurezza. Sono completamente superati i confini fisici delle aziende del passato. Organismi monolitici e statici sono sempre di più sostituiti da organismi fluidi, nei quali le informazioni aziendali sono pervasive, distribuite e disponibili ovunque, anche nelle reti esterne di comunicazione o presso fornitori. La complessità dei processi e la esposizione dei dati aumentano anche per la frammentazione delle aziende che sempre più esternalizzano funzioni non caratteristiche. E ogni forma di cessione o fusione pone problemi di controllo delle informazioni, che incorporano sempre di più il valore economico. L’informazione va seguita all’interno di tale sistema per garantirne costantemente il corretto livello di protezione.

La rapidità dell’evoluzione tecnologica aggiunge criticità e impone capacità di adattamento. La pervasività della rete delle infrastrutture critiche implica una estensione di rischi da e per tutto ciò che vi è connesso. Studiare tempestivamente incidenti ed attacchi, anche subiti da altri, è essenziale per comprendere le tendenze e fronteggiare in modo preventivo minacce che a volte colpiscono senza essere notate. In particolare, si devono predisporre idonei sistemi e organizzazioni a tutela delle informazioni necessarie al business d’impresa o alla operatività della struttura servizi. Chi prepara un attacco può prendersi il tempo che vuole rimanendo spesso inosservato. Ma chi reagisce all’attacco deve farlo immediatamente e bene. La reazione deve avvenire anche quando lo specialista che ha predisposto le misure di sicurezza non è presente.

Qualsiasi tipo di organizzazione, ha raccomandato Pantaleo, deve passare dalla semplice Resilienza alla Resilienza Organizzativa, intesa come capacità di un’organizzazione di adattarsi ad un ambiente complesso ed evolutivo. Diventa necessario impostare un approccio unico, a tutto campo.

AVEVAMO:

  • Modalità reattiva: centrata sull’evento
  • Risposta post-evento: ripensamento transazionale
  • Protezione dei valori.

DOBBIAMO AVERE:

  • Modalità proattiva: centrata sugli obiettivi
  • Indicatori predittivi: lungimiranza strategica
  • Creazione del valore.

La gestione della sicurezza globale, fornisce la risposta alle nuove sfide alla sicurezza.

I PILASTRI FONDAMENTALI:

  • Organizzazione della sicurezza delle informazioni:
    – prevenire, rilevare e contrastare i rischi di business ed operativi
    – catena di comando, operativa e di controllo priva di debolezze
    – disegno dei processi di sicurezza all’interno di una matrice RACI (responsible, accountable, consulted, informed)
  • Politiche, procedure, linee guida
  • Classificazione delle informazioni
  • La rilevazione dei rischi: non è il ‘’se’’, ma il ‘’quando’’ accadrà
  • Test di vulnerabilità e di intrusione
  • Imparare dagli incidenti (meglio da quelli degli altri prima di subirne)
  • Il controllo e la compliance
  • Il fattore umano.

EDIFICI INTELLIGENTI E ALGORITMI NEURALI TRA GLI INGREDIENTI DEL FUTURO GIÀ INIZIATO

La condivisione di esperienze, come quella dei sistemi di rilevazione ed analisi dati installati presso rilevante azienda nazionale di Trasporto Pubblico Locale (TPL), ha dato spunti ai relatori per esempi molto suggestivi di implementazione di sistemi complessi che sono pochi anni fa ancora apparivano se non fantascientifici avveniristici.

Luca Negrini, Sales&Marketing manager per l’Italia di Dormakaba, ha illustrato il percorso dai primi edifici “intelligenti” ai sistemi integrati per la security evidenziando un grande salto tecnologico e organizzativo che ha spostato l’attenzione dalla protezione puntuale al seguire cosa fa l’essere umano.

Sistemi di rilevazione e analisi automatica consentono oggi di individuare precocemente e contenere rischi sia di azioni intenzionalmente lesive sia di azioni che mettano a repentaglio la persona stessa. E’ una convergenza tra security e safety insita nei sistemi di rilevazione ed analisi, sempre più capillari, precisi e approfonditi, utilizzabili parallelamente ed in modo concertato per entrambe le esigenze.

Francesco Carlino, direttore scientifico di Neulos Visiotech, ha illustrato le tecnologie neurali che consentono alle nuove reti di controllo di elaborare crescenti quantità di dati, individuare automaticamente le loro possibili relazioni e utilizzazioni immediate, ma anche recuperare e collegare per esigenze inizialmente non previste dati raccolti in archivi massivi. Il modello matematico dei circuiti neuronali biologici consente di simulare alcune qualità dell’apprendimento biologico non ottenibili attraverso la logica e la programmazione tradizionali. In tal modo, oltre a comprendere meglio le reti neuronali biologiche, si risolvono problemi ingegneristici di intelligenza artificiale in diversi campi tecnologici. Gli algoritmi neurali di nuova generazione sono particolarmente utili nei sistemi di comando e controllo per la sicurezza delle infrastrutture critiche e la loro integrazione. Si supera il vincolo di lavorare solo su dati strutturati, come quelli delle tradizionali banche dati. Non è più necessario aver previsto in fase di programmazione la sequenza precisa per giungere solo a risultati rigorosamente predeterminati.

Come nel cervello umano, si arriva invece a raccogliere e considerare le informazioni “non strutturate”, così come si presentano, ad esempio nei testi in formato elettronico (o automaticamente ad esso riportato), nelle pagine Web, nelle registrazioni audiovisive. I nuovi sviluppi prestano attenzione anche alla automazione di attività come analisi emozionale e analisi del linguaggio. Certamente nel funzionamento delle reti neurali artificiali si operano classificazioni secondo schemi e si raccordano dati strutturati e non strutturati ma in previsione anche di utilizzazioni ancora non immaginate o non ben definite.

PROSPETTIVE DI SVILUPPO ECONOMICO E PROFESSIONALE TRA UTOPIA E DISTOPIA DEL MONDO NUOVO

Le linee evolutive di un mondo sempre più basato sulla informazione e l’integrazione attraverso tecnologie intranet e Internet hanno portato gli oratori ad offrire uno scenario complessivo nel quale ciascun cittadino, a partire dai soci della Associazione Italiana esperti in Infrastrutture Critiche, può leggere i vantaggi di una utopia o i rischi di una distopia come quelle immaginate da George Orwell e Aldous Huxley.

Ma si tratta di un mondo nel quale già ci stiamo immergendo, che offre sfide professionali non prive di implicazioni etiche in un mercato probabilmente caratterizzato da crescente importanza per la sicurezza in tutti i suoi risvolti inclusi safety, security e sguardo sulle strategie complessive. In prospettiva, sembrano aprirsi, seguendo gli esempi delle aziende multinazionali più lungimiranti, maggiori e diversi spazi di lavoro per gli specialisti che sappiano non chiudersi nel proprio specialismo e contribuire ad una visione olistica della complessità.

La possibilità di creare valore economico resta il motore determinante per indirizzare l’innovazione sia quando si tratta di comprendere che i costi della sicurezza sono ben inferiori ai costi della “non sicurezza”, sia, ha osservato Luca Negrini, quando le aziende competenti nelle tecnologie dell’informazione tendono a spostarsi verso l’uso integrato dei dati raccolti in diverse occasioni. In visioni come quella proposta da Negrini, la odierna architettura PSIM (Phisical Security Information Management), che si collega a milioni di sensori e masse enormi di dati attraverso Internet con l’Internet delle cose (IoT) e i “Big Data”, può essere posta a servizio delle infrastrutture critiche ma anche condurre ad un sistema di safety&security globale, assimilando l’intera società ad una meta infrastruttura critica.

Dipende da tutti noi ottenere il meglio o il peggio da questo mondo nuovo. Sicuramente dobbiamo farci trovare ben preparati e in questo possono aiutarci anche occasioni di informazione e formazione come quelle offerte dalla stampa specializzata e dai Colloquia di AIIC che proseguiranno validamente coordinati da due esperti di estrazione universitaria come Silvano Bari, vicepresidente di AIIC, e il consigliere Stefano Panzieri, anche nelle vesti di padrone di casa al dipartimento di Ingegneria di Roma Tre.

A cura di: Luca Marcantonio

Condividi sui Social Network:

Articoli simili