L’etimologia latina di “sicurezza” ci ricorda che il significato primigenio di questo termine richiama un concetto molto ampio, che prevede una condizione in cui non ci sono preoccupazioni; la declinazione dei significati sfuma in funzione delle diverse culture e accade che in molti idiomi, a partire dall’inglese, il termine sicurezza sia tradotto diversamente in relazione alle categorie e ai contesti a cui si rivolge. Differenze semantiche che traducono profonde differenze culturali, da cui dipendono approcci, modelli e procedure ben diverse e che, dal punto di vista tecnico, si sostanziano in scelte articolate. Se la sicurezza è la ricerca di quelle condizioni in cui “non ci sono preoccupazioni”, significa che il primo, imprescindibile passo per costruire un contesto sicuro è l’individuazione delle ragioni portatrici di preoccupazioni. Introduciamo così due concetti nuovi, il rischio, funzione di due grandezze, la magnitudo del danno e la probabilità che l’evento dannoso si verifichi e il pericolo, interazione tra una persona e una fonte di rischio, da cui può scaturire un danno reale.
Calcolare i rischi?
Abbandonando per un po’ le definizioni più tecniche, diamo uno sguardo più ampio al concetto di rischio. Ulrich Beck, sociologo all’Università di Monaco di Baviera e alla London School of Economics, in “La società del rischio” (Carocci editore, 2001) osserva come sia sostanzialmente impossibile calcolare le conseguenze di una risorsa (o minaccia) potenziale che si concretizza in rischio senza dotarsi di una struttura di governance che permetta una riorganizzazione di poteri e competenze. La società del rischio, osserva Beck, è una società catastrofica, in cui la minaccia tende a trasformarsi nella norma; ma gli aspetti che più incidono sull’organizzazione sociale e/o aziendale sono la non visibilità e la dipendenza dalla conoscenza delle situazioni di rischio. Per questo gli enunciati sui pericoli non sono mai semplici enunciati di fatto; per essi esiste una componente teorica e una normativa. In questa chiave, la determinazione del rischio è il risultato di “una simbiosi ancora sconosciuta e non sviluppata di scienze naturali e scienze umane, di razionalità della vita quotidiana e razionalità degli esperti, di interessi e di fatti. Non sono solo una cosa o solo l’altra; sono entrambe le cose, in una nuova forma”. C’è una componente intangibile nella valutazione del rischio, di quella funzione cioè di magnitudo e probabilità, legata proprio all’imperscrutabilità delle condizioni al contorno, per loro natura dinamiche ed evolutive che induce Beck a osservare come non possano esistere esperti in rischi; l’accertamento dei rischi “si basa su possibilità matematiche e su interessi sociali, anche e soprattutto quando viene presentato con certezza scientifica”. Nel mondo della Security e della Safety, in cui gli approcci deterministici e le certezze si sprecano, la visione di Beck è un forte richiamo all’uso temperato degli strumenti scientifici, quasi un appello a non cadere nel tranello dello scientismo.
C’è ben altro, però; la ricerca del rischio porta con sé la proiezione verso il futuro; il rischio, infatti, è oggi e solo oggi in forza di ciò che potrebbe essere domani; qui, osserva Beck, sta l’intangibilità del rischio, legato com’è alla componente predittiva dell’esistenza. Se volessimo azzardare una definizione ontologica il rischio è qualcosa che non esiste adesso ma che potrebbe esistere più tardi.
Se le posizioni di Beck per chi si occupa di tecnologie informatiche ma anche di sicurezza del lavoro possono suonare drastiche, il messaggio che ne emerge è chiaro; la sicurezza è in divenire, ogni modello sviluppato per garantirla richiede costanti aggiornamenti, impone resilienza, deve adattarsi ai mutamenti dell’impresa e del contesto.
Governare il rischio nell’It
Lo scorso novembre, a Barcellona, in occasione del Symposium It di Gartner, l’analista Tom Scholtz in “Security and Risk governance: it is much more than just reporting” ha sottolineato l’urgenza, tanto per le grandi che le piccole aziende, di dotarsi di processi di governance del rischio e politiche pervasive di management della sicurezza. Le stime Gartner, tra l’altro, sottolineano come dal 2015 il 70% della grandi aziende avrà completato con successo lo sviluppo di processi maturi di governo del rischio, ben il 25% in più rispetto al numero di aziende impegnate nel 2011.
L’Enterprise Security si colloca nella più ampia cornice dell’It Governance (Itg) che Gartner definisce come il coacervo di processi da cui dipende l’uso efficiente ed efficace dell’It nelle attività di business d’impresa; ai processi, ben lo sappiamo, si associano dati in ingresso e uscita, ruoli e responsabilità, metriche e risultati; i processi della sicurezza non fanno eccezione.
Nella definizione data, l’Itg è un abilitatore, piuttosto che un elemento chiave per l’esecuzione; ha un impatto diretto sul business e un ruolo attivo nel controllo della “tensione creativa” che caratterizza ogni organizzazione; può agire dunque come una forza stabilizzatrice, contribuendo a smorzare atteggiamenti e comportamenti puntuti che sorgono nelle fasi esecutive e nei momenti di cambiamento.
Nello specifico della sicurezza, l’Information Security e Risk Governance si sostanzia con processi specifici finalizzati alla protezione delle risorse informative aziendali in modo da garantire il raggiungimento degli obiettivi di business. Il modello proposto da Gartner, per esempio, contempla quattro fasi: la prima, la pianificazione, si sostanzia nella programmazione strategica, nell’architettura, nella pianificazione dei budget e nello sviluppo della strategia di Policy Management. La seconda fase, l’implementazione, coinvolge lo sviluppo dei processi di governo e della Policy; prevede inoltre l’istituzione di un Forum per la Governance che diventa organo trasversale di confronto e discussione. Infine, le fasi operative, di amministrazione e di monitoraggio, si declinano in supervisione di progetto, gestione delle conflittualità, allocazione dei fondi, valutazione degli asset, sviluppo e applicazione delle metriche.
Sinergia e integrazione per la sicurezza It
Il governo dei rischi e della sicurezza delle informazioni è un componente critico nell’uso dell’It oltre a essere parte integrante della governance aziendale, in particolare sul fronte supply; tutto ciò lo rende strategico nello sviluppo aziendale ma richiede che la comunicazione sia efficace, raggiunga cioè gli obiettivi stabiliti e tutti i protagonisti coinvolti. Gartner ha osservato che le politiche scritte utilizzate abitualmente per comunicare le regole della sicurezza devono essere concepite e comprese come una piramide costituita dall’assemblaggio di più piramidi, ognuna riferita a informazioni di ambiti specifici. L’approccio modulare consente di armonizzare i cicli di vita delle informazioni contenute: più si scende nel dettaglio, più si scava nei tecnicismi, più l’obsolescenza dei contenuti è rapida e richiede sostituzioni tempestive; il processo di armonizzazione, in questo caso, consente di allineare i diversi cicli di vita, superando il rischio di discontinuità distruttive.
Gartner suggerisce che il cosiddetto “Security Policy Statement”, il vertice della piramide della sicurezza, sia un documento di una, due pagine, firmato dal Ceo, in cui si ribadisce la centralità della protezione delle informazioni, obiettivo comune di tutta l’azienda, qualunque sia il livello gerarchico di appartenenza. Il modello diffuso e modulare fa sì che tutti siano direttamente coinvolti e responsabili, con un approccio responsabilizzante che caratterizza tutto il mondo della sicurezza, che si tratti di dati, informazioni o luoghi di lavoro. L’approccio top-down, infatti, si dimostra lacunoso e, soprattutto, non consente di governare tutti quei casi di non conformità o mancati incidenti che tuttora rappresentano il bagaglio di esperienza più significativo, a cui attingere per implementare e innovare le politiche per la sicurezza. Come accade nell’implementazione dei modelli di gestione per la Qualità, il governo delle non conformità è cruciale per la progettazione dei piani di miglioramento; la sicurezza, anche quella dell’It, non è più e non è solo questione di tecnologie, è anche questione di management; richiede visione integrata della complessità, approcci sinergici perché i modelli imposti dagli standard si completino per generare, in un’unica visione, la “sicurezza integrata”. I testi unici italiani, quello sulla Privacy del 2003 e quello sulla Sicurezza nei luoghi di lavoro del 2008, sono, da questo punto di vista, un primo, concreto sforzo, a patto che le aziende impegnate nell’applicazione colgano la continuità di metodo insita nella valutazione di rischi e nella ricerca delle misure correttive, oltre che nello sviluppo dei piani di informazione e formazione.