Security Manager e DPO, due figure nate dalla necessità di una maggiore sicurezza aziendale
Nella moderna società è maturato un profondo processo di cambiamento della realtà sociale, economica, culturale e politica; il mutato contesto è diventato sempre più incerto e difficile da comprendere, rispetto a logiche passate, infatti osserviamo, e su scala universale, come il fenomeno della globalizzazione abbia portato ad una decisa separazione del legame causa/effetto, testimoniato dal fatto che, molto spesso, non riusciamo a comprenderne le fonti.
Peraltro rispetto al passato, dove questi fattori potevano essere ragionevolmente analizzati, nell’attuale scenario sociale un avvenimento dipende da molteplici cause, ricadendo in ambiti disuguali tra loro, ma in qualche modo interconnessi; tutto ciò rende molto più complicato sia comprendere che valutare, da parte dei professionisti della sicurezza, gli effetti delle possibili ripercussioni nei settori della security, safety e data protection, declinazioni specifiche dell’area sicurezza nel suo insieme, ovvero, di quella incertezza che innalzerà in maniera esponenziale la percezione dell’essere esposti ai pericoli, aumentandone contemporaneamente la realtà del rischio stesso.
Già trenta anni fa, Ulrich Beck (1986), nel suo libro La Società del Rischio (Carrocci editore, 2000), poneva una questione tangibile: “viviamo in una società mondiale del rischio”. Beck fissava una netta distinzione fra una prima e una seconda modernità, descrivendone le conseguenze, e i rischi correlati, analizzando nel contempo le possibili minacce alla nostra realtà sociale, economica, politica; tutto ciò è ancor più vero osservando le difficoltà fronteggiate per analizzare e individuare con logicità, il rapporto che lega il binomio causa/effetto contenuto nel fattore rischio.
L’incertezza rappresenta da sempre una costante che caratterizza il genere umano, e si esprime con il non sapere, con il non riuscire a prevedere, e quindi a prevenire, accadimenti che possono ingenerare forme di pericolo; potrebbe apparire come una banalità, ma l’incertezza produce insicurezza.
Ora, tale necessità di creare un quadro di sicurezza in un ambiente perennemente sottoposto all’incertezza ha spinto le aziende alla istituzione di funzioni organizzate in area security (fisica, logica, protezione dati), che traslassero una tipica mentalità concettualmente reattiva, in azioni tipicamente proattive, necessità questa, imperniata al raggiungimento della giusta capacità resiliente.
Questo accade perché nell’ultimo decennio abbiamo assistito a una rapida evoluzione del concetto di sicurezza aziendale, al mutare della percezione del rischio all’interno delle organizzazioni globalizzate.
Sappiamo bene come senza una concreta politica della sicurezza, e in assenza di un quadro tattico, non esiste nessuna garanzia di protezione, intesa come disegno strategico globale! La sicurezza del patrimonio aziendale è un fattore sempre più critico per imprese ed enti pubblici, costantemente impegnate ad agire su più fronti del problema: tecnologico, organizzativo e formativo; parallelamente, la tutela del patrimonio informativo, al pari di quello aziendale, si occuperà delle misure per fronteggiare le minacce, tese a costruire uno schema di governance funzionale alla compliance diretta ai processi ICT e nel trattamento dei dati e delle informazioni.
Ciò significa che nella identificazione delle aree critiche, la gestione dei rischi nei sistemi, nella rete, delle vulnerabilità, degli incidenti, il controllo degli accessi, la protezione fisica, la gestione del trattamento dei dati, la misurazione dei danni, etc, rappresentano tematiche comuni a due ambiti aziendali ben distinti, ma contigui.
Tematiche queste, che meglio rappresentano le due facce della stessa medaglia, diventate di estrema attualità, al punto tale che diverse grandi organizzazioni (private e pubbliche) hanno deciso di inserire all’interno del proprio organigramma specifiche risorse umane, funzionali alla delicata gestione del security management (frodi, furti, perdita dati, etc), e che nella sua complessità richiede due figure professionali dall’elevato profilo e un background consolidato: un manager della sicurezza aziendale e un manager della protezione dei dati, specialità apparentemente disomogenee, ma con obiettivi comuni, fortemente convergenti.
L’attuale assetto normativo prevede all’interno di strutture organizzate complesse diverse figure professionali (alcune su base volontaria, talune rese obbligatorie) per consentire lo svolgimento di diversificate attività legate all’area sicurezza. Il Security Manager (SM previsto su base volontaria, in tre profili normati dalla UNI 10459:2017, ma imposti dalla UNI 10891:2000 e dal DM 269/2010 per gli IVP, istituti di vigilanza privata), il Responsabile del Servizio di Protezione e Prevenzione (RSPP D.Lgs 81/2008 obbligatorio), il Responsabile della Protezione dei Dati (RPD o DPO, GDPR UE 2016/679 obbligatorio, e normato dalla UNI 11697/2017).
Come visto, dunque, nei moderni contesti organizzati la Corporate Security assume una rilevanza strategica: i recenti fenomeni di terrorismo (primavere arabe), la criminalità organizzata e trasnazionale, il bisogno di inviare i propri dipendenti in missione, o temporaneamente distaccati fuori confine (travel security e data protection fuori area), necessità questa, dettata sempre di più dalla crescente interconnessione dovuta alla globalizzazione economica, e data la trasversalità della minaccia, tutto ciò si riflette positivamente anche nell’ambito delle infrastrutture pubbliche.
La travel security è una policy aziendale, a garanzia del personale, tra le più delicate perché pone al centro di tutto il capitale umano e non gli asset fisici; rappresenta un obbligo, un dovere di protezione tipicamente safety (D.Lgs 81/08), che il datore di lavoro ha nei confronti dei propri dipendenti (inestimabile capitale), sempre e comunque sia all’interno che all’esterno dei confini nazionali. E non dimentichiamo l’altro aspetto più importante di questo processo: quello relativo alla Business Continuity, la chiave correlata alla capacità resiliente dell’organizzazione, che ne garantisce l’esistenza.
Il possibile pericolo di arrecare danni ai dipendenti (safety), agli asset tangibili (security) e intangibili (data protection), deriva principalmente da due fattori fondamentali: il valore della minaccia e la vulnerabilità dell’organizzazione. Ogni impresa organizzata in processi e attività contiene delle vulnerabilità intrinseche sfruttabili, illecitamente, da qualunque soggetto antagonista, sia esso interno che esterno, finalizzate ad arrecare danni al patrimonio aziendale (brevetti, policy, dati personali, asset fisici, etc).
Un professionista della security aziendale deve possedere determinate competenze indispensabili, certamente estese, ma per natura differenziate tra loro: competenze tecniche, conoscenze giuridiche e di criminologia, dei crimini informatici e alla tutela delle informazioni sia convenzionali che classificate, la tutela dei dati personali, nozioni sul rischio e sulla protezione aziendale, sulla tutela di marchi e brevetti.
Ciò posto, e sulla base di quanto detto sin ora, la figura del security manager rappresenta concretamente l’interfaccia della sicurezza interna, valutando e gestendo ogni possibile criticità, con gli organismi istituzionali quali l’Autorità Giudiziaria (Polizia Giudiziaria) e quelli della Pubblica Sicurezza (Questore, Prefetto), per garantire costantemente alti standard di sicurezza dell’organizzazione.
Ma se da un lato abbiamo la presenza di un esperto che garantisca a pieno la protezione aziendale dalle minacce esterne e interne che possono colpire l’organizzazione, dall’altro non possiamo trascurare l’altra figura di tutela e garanzia, che la normativa europea, questa volta, istituisce obbligatoriamente come parte attiva nella compliance della data protection; un controllo e una tutela che risponderanno sì a delle esigenze diverse, sebbene con metodi e finalità molto simili a quelli del security manager, ma pur sempre svolgendo un’azione di security, particolarmente quando si trattano determinate categorie di informazioni classificate e dati personali particolari!
La preparazione del DPO dovrà spaziare fra competenze legali, cyber security, tecnico-informatiche, organizzative e gestionali, dovendo in particolare: sorvegliare l’osservanza del Regolamento, valutare i rischi di ogni trattamento alla luce della natura, ambito di applicazione, contesto e finalità; dovrà collaborare con il titolare/responsabile nel condurre una valutazione di impatto sulla protezione dei dati (DPIA art. 35 GDPR), informando, sensibilizzandoli, il titolare e/o il responsabile del trattamento, nonché il personale dipendente, riguardo agli obblighi derivanti dal Regolamento (es. la tenuta del registro delle attività di trattamento) e da altre disposizioni in materia di protezione dei dati, e non ultimo, cooperare con il Garante, fungendo da punto di contatto con lo stesso e con gli interessati del trattamento.
Peraltro, nell’ambito della security aziendale tra le diverse normative da rispettare indiscutibilmente compare la tutela della privacy, o meglio come recita la nuova normativa, la protezione del trattamento dei dati personali, acquisiti e gestiti dall’organizzazione nella sua attività d’impresa. I dati contenuti all’interno di un’azienda, sia essa privata o istituzionale che sia, rappresentano un patrimonio inestimabile, perché sono informazioni personali che riguardano le persone fisiche, e/o i dati che rappresento il core bussiness. E di tutto ciò ne deve essere investito anche il SM!
Il D.lgs. 196/2003, meglio conosciuto come Codice della Privacy (CdP) imponeva esplicitamente l’effettuazione e la documentazione di un’analisi dei rischi, sancendo l’obbligatorietà della redazione di un documento programmatico sulla sicurezza (DPS, abolito nella legge finanziaria del governo Monti 2012), ma non prevedeva, ne volontariamente ne obbligatoriamente, nessuna figura esperta e preposta alla protezione dei dati, mentre il nuovo Regolamento introduce la figura del Data Protection Officer (DPO, art. 37 GDPR), quale responsabile della protezione dei dati.
Il rivoluzionario GDPR pretende oggi dai professionisti di settore un cambiamento radicale, culturale nell’approccio al modello di gestione, non più della semplice sfera privacy (realtà più concreta e tangibile), ma più circoscritto al solo dato personale (patrimonio intangibile), che deve essere adeguatamente affrontato applicando una riconsiderazione generale delle misure di sicurezza da adottarsi (art. 32 GDPR), per mezzo di una corretta Risk Analysis (art. 35 GDPR), adeguata al singolo contesto organizzativo, e non più una semplice e generica misura minima applicabile a tutti i contesti, ma elaborata caso per caso attraverso una reale mappatura dei rischi applicabile al trattamento dei dati gestiti, e progettata fin dalla nascita del trattamento, secondo i principi della privacy by default e by design (art. 25 GDPR).
Questo, diversamente dal passato, è il nuovo modello proposto dal legislatore europeo non più basato su una semplice misura minima di sicurezza contenuta in un allegato tecnico (artt. 31-36 e All. B regola 25 D.Lgs 196/2003), essendo posta a carico del titolare del trattamento la responsabilità secondo cui il principio di Accountability (art. 5 GDPR) definisce l’attenta analisi dei rischi e le adeguate misure di sicurezza, idonee a garantire la protezione dei dati personali trattati dal titolare stesso o dal responsabile del trattamento.
Nell’art. 37 del GDRP sono indicati gli ambiti per i quali è previsto l’obbligatorietà della nomina del DPO; tra questi ricadono diverse tipologie aziendali, tanto private quanto pubbliche, vincolate alla data del 25 maggio 2018, di procedere alla nomina, comunicando il nominato all’Autorità Garante della protezione dei dati personali.
Dall’analisi sin qui fatta sui rischi e sulle figure a protezione delle organizzazioni, è emerso un quadro d’insieme chiaro: sino ad oggi, la gestione del rischio era orientata secondo le visioni manageriali ad una logica più economica che di tutela degli asset (tangibili e intangibili). Le moderne organizzazioni utilizzano sempre di più apparati complessi e vettori sempre più veloci, sistemi in grado di gestire una quantità enorme di dati e informazioni, trasferiti nella dimensione temporale dello spazio-tempo: miliardi di byte trasferiti in un millisecondo, da e per qualsiasi parte del mondo!
Motivi questi che hanno spinto le aziende a prendere sempre più coscienza del bisogno di proteggersi da un eventuale rischio, esterno o interno che fosse, a una ripartizione dei compiti, delegandoli e dividendoli con determinate figure quali, appunto, il SM per l’aspetto security, e con il nuovo Regolamento europeo sulla data protection con il DPO.
La mancanza di studi universitari, la carenza nella ricerca sulla security aziendale, hanno prodotto come risultato ultimo una mancanza della regola dell’arte su come proteggere le organizzazioni dalle minacce, dai rischi; disciplina, invece, sviluppata interamente e volontariamente dalle stesse aziende.
Mentre a livello statuale ci si interessava a normare, esclusivamente, i settori della safety e della privacy (il GDPR arriva poi come normativa di istituzione europea), per la security aziendale (tecniche, modelli organizzativi, prassi, processi, metodologie, etc) non si è mai concretamente intervenuti, considerandola come detto, una prerogativa soggettiva e autonoma delle imprese, esercitata individualmente.
Tutto ciò, nonostante le relazioni in merito da parte di qualificate aree istituzionali (https://www.senato.it/service/PDF/PDFServer/BGT/698282.pdf), che sollecitavano il legislatore nel porre un rimedio ad una questione considerata come una prerogativa strategica, tanto per le organizzazioni private che pubbliche, e laddove l’istituzione governativa ancora latita, non fornendo adeguate risposte (http://dati.camera.it/ocd/aic.rdf/aic4_03389_17).
Ma è la convergenza finale sostanzialmente a non cambiare, perchè sia l’una che l’altra figura occupano gli stessi ambiti operativi, affrontano le stesse problematiche, che trattano con le stesse policy aziendali, identiche procedure di sicurezza, stesse metodologie analitiche nell’affrontare i rischi, medesime tecnologie di protezione, uguali misure di sicurezza.
In ultima analisi, e per chiudere il senso del ragionamento fatto sin qui, il dilemma su cui ragionare è: posto che queste due figure, il SM e il DPO, sono strategiche per la sicurezza delle organizzazioni private, e delle infrastrutture pubbliche, possono riassumersi in un professionista solo? Sarebbe conveniente dal lato operativo, ancor prima che da quello meramente economico?
Leggendo i contenuti delle due normative di riferimento, beh ci sono molteplici punti di contatto, una trasversalità unica nel suo genere, similitudini che ci indirizzerebbero verso una figura unica. Ma forse è solo una mia sensazione!
A cura di: Giovanni Villarosa
Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.
