Sicurezza, questa sconosciuta. Se ne sente sempre parlare, ma è raro che si contestualizzi l’ambito disciplinare cui si fa riferimento. Con il risultato che la scienza della sicurezza è ancora poco compresa nelle sue diverse forme e molta confusione viene fatta anche nell’assegnare le specifiche competenze alle funzioni aziendali. Provo quindi ad illustrare quali forme assume tipicamente la sicurezza in un’azienda e quali differenze e punti di contatto esistono fra le differenti discipline, nella speranza di chiarire una volta per tutte i concetti associati.

Quante volte ho sentito qualcuno affermare, nelle situazioni più svariate, “mi occupo di sicurezza” senza però chiarire di quale specifica disciplina. Questo è uno dei motivi per cui molti ancora non sanno che la sicurezza può assumere svariate forme in base all’ottica e agli obiettivi, nonostante l’elemento da proteggere sia spesso comune.

La sicurezza è a tutti gli effetti una scienza che studia il rischio nelle sue svariate forme, dirette ed indirette, con l’obiettivo di ridurlo al minimo e di controllarne le conseguenze. Si parla di riduzione del rischio perché l’eliminazione completa dei rischi è matematicamente impossibile, troppe, infinite e imponderabili sono le variabili in gioco, così come non è mai possibile ottenere una sicurezza totale. Attraverso l’analisi del rischio è possibile definire il massimo livello di prevenzione possibile (in base a plausibili previsioni) e, di conseguenza, il rischio residuo che è considerato accettabile.

La sicurezza è una scienza multidisciplinare che è riferita a diverse aree tematiche o discipline, ognuna delle quali ha come obiettivo la protezione di un particolare aspetto della vita di una persona, di un suo specifico interesse o di un particolare oggetto. Ciascuna disciplina prevede un insieme organico di definizioni e di misure indirizzate all’incolumità e alla salvaguardia dell’elemento da proteggere. In definitiva,

non è quasi mai il caso di parlare di sicurezza senza specificare a quale disciplina ci si riferisca o quale sia l’obiettivo delle misure di salvaguardia.

Questo è il motivo per cui il termine “sicurezza” è ancora oggi uno dei più controversi e dei meno compresi. In ambito aziendale si parla spesso di sicurezza sul lavoro, sicurezza fisica, sicurezza logica, sicurezza informatica, sicurezza delle informazioni, sicurezza antifrode, cyber security, ecc., tutte discipline con obiettivi e ottiche differenti o intersecate ma appartenenti alla stessa scienza. Vediamo quindi quali sono le diverse forme che la sicurezza assume tipicamente in azienda e quali differenze e punti di contatto è possibile rilevare.

Diverse forme di sicurezza in azienda

Per sicurezza sul lavoro (o “safety”) si intende l’insieme delle misure preventive destinate a rendere salubre e sicuro il luogo di lavoro, per evitare o ridurre al minimo l’esposizione dei lavoratori ai rischi connessi all’attività lavorativa, riducendo o eliminando i fattori di rischio che possono generare infortuni, incidenti o malattie.

Il perimetro è in parte comune a quello della sicurezza fisica, ma quest’ultima ha un’ottica differente, poiché indirizzata alla prevenzione e alla salvaguardia dei locali fisici, delle infrastrutture, delle attrezzature e dei servizi di supporto (elettricità, antincendio, condizionamento, idraulica, ecc.) di un’azienda.

Altra disciplina in tema è quella della cosiddetta security, che consiste nei servizi di vigilanza privata e protezione armata o non armata, tipicamente riguardanti elementi o porzioni perimetrali in comune con la sicurezza sul lavoro e la sicurezza fisica, ma con ottica e obiettivi differenti.

Con il termine sicurezza informatica (o “IT Security”) si intende uno specifico settore dell’ICT che si occupa del rischio cui è soggetto un sistema informativo, quindi delle vulnerabilità, delle minacce, degli attacchi e della protezione sia fisica (hardware) che logico-funzionale (software e dati). In questo specifico ambito sono previste misure di carattere tecnico, organizzativo e funzionale atte ad assicurare l’integrità, la confidenzialità, la disponibilità, la protezione e il controllo accessi di un sistema informatico. Data Security e Network Security sono discipline ancor più specialistiche tipicamente appartenenti all’ambito della sicurezza informatica.

Il termine cybersecurity (o “Computer Security”) indica la protezione dei sistemi informativi da furto o danneggiamento dell’hardware, del software o delle informazioni in essi contenute, oltre che dall’interruzione o dal dirottamento dei servizi tramite esso erogati. Sono incluse le misure di protezione dall’errore umano (intenzionale, accidentale o indotto), dall’accesso fisico all’hardware, da minacce e attacchi provenienti dalla rete, dai dati o dall’iniezione di codice malevolo. Sebbene il concetto sia molto simile a quello della sicurezza informatica, oggi si parla sempre più di cybersecurity per includere tutto ciò che è connesso (via Internet, bluetooth, Wi-Fi, ecc.), ovvero i dispositivi smart e quelli appartenenti alla Internet of Things (IoT).

Quando si parla di cybercrime ci si riferisce ad attività criminali che coinvolgono sistemi informatici o reti di telecomunicazione, ovvero azioni commesse a danno di individui o gruppi di individui (fra cui le aziende) con motivazioni criminose per minare intenzionalmente la reputazione della vittima, causare danni fisici o mentali, perdite dirette o indirette, attraverso dispositivi informatici fissi o mobili e reti di comunicazione come Internet.

La frode informatica (o frode elettronica) consiste nel penetrare un sistema informatico o nello sfruttare le sue vulnerabilità con lo scopo di ottenere gratuitamente servizi che sarebbero a pagamento, clonare account di ignari utenti dei servizi, intercettare o dirottare dati informatici, sottrarre fondi o ottenere un vantaggio economico.

Voglio citare anche la privacy che è una disciplina indirizzata alla tutela del diritto alla riservatezza della vita privata degli individui, anticamente limitato alla sfera della vita privata e poi esteso, con l’avvento dell’era tecnologica, al diritto della persona di controllare che le proprie informazioni personali vengano trattate o guardate da altri solo in caso di necessità e previa autorizzazione formale.

Infine, la sicurezza delle informazioni (o “Information Security”, spesso abbreviata in “InfoSec”) è una disciplina piuttosto ampia, che racchiude diversi punti in comune con sicurezza informatica, cybersecurity e contrasto del cybercrime, ma che è focalizzata sulle informazioni aziendali in qualsiasi forma (non solo elettronica).

Differenze e punti di contatto fra le diverse discipline

I punti di contatto fra le discipline di sicurezza sul lavoro, sicurezza fisica e security sono molteplici e a fare la differenza sono l’ottica e gli obiettivi di ciascuna.

La sicurezza sul lavoro tratta di protezione individuale, uso sicuro di attrezzature e macchinari, protezione da agenti fisici, chimici e cancerogeni, movimentazione manuale di carichi, accesso ai locali, sicurezza ambientale, prevenzione incendi e sicurezza elettrica, secondo l’ottica di proteggere l’individuo.

La sicurezza fisica tratta in parte i medesimi aspetti, ad esempio l’accesso ai locali, la prevenzione da incendi e allagamenti, la sicurezza elettrica o la sicurezza ambientale, ma con l’ottica e l’obiettivo di proteggere gli asset aziendali da accessi fisici non autorizzati o danneggiamenti hardware.

La security si occupa in prevalenza della vigilanza privata e della protezione, tipicamente a livello perimetrale e di accesso fisico, avendo spesso come oggetto elementi di valore come oro, beni preziosi e valuta corrente.

Spesso accade che la funzione di sicurezza fisica di un’azienda svolga prevalentemente attività di sicurezza sul lavoro, ovvero quelle regolamentate dal testo unico in materia di salute e sicurezza nei luoghi di lavoro (TUSL, Decreto Legislativo 9 aprile 2008, n. 81), mentre l’attività di security è spesso esternalizzata su fornitori specializzati. Altrettanto frequente è l’affidamento delle misure di sicurezza fisica a funzioni aziendali di economato o di provveditorato in genere.

Anche per le discipline più tecnologiche i punti di contatto sono molteplici e anche in questi ambiti a fare la differenza sono l’ottica e gli obiettivi di ciascuna.

In ambito informatico, sicurezza informatica e cybersecurity riguardano misure e procedure prettamente tecnologiche come firewall, IDS/IPS, antivirus, antispam, hardening applicativo e di sistema, controllo accessi, sicurezza di rete, crittografia, incident response, vulnerability assessment, penetration test, application e code scanning, monitoraggio, incident response e disaster recovery. Queste attività sono tipicamente posizionate nel reparto ICT dell’azienda, ad un livello piuttosto operativo e specializzato sulle tecnologie, spesso affidate a funzioni appartenenti al centro elaborazione dati o ad un outsourcer IT, comunque a riporto diretto del CIO.

Sebbene abbiano spesso una natura informatica o elettronica, le attività di contrasto al cybercrime e alle frodi informatiche sono invece maggiormente focalizzate sui canali attraverso cui le attività criminali vengono tipicamente svolte, cioè Internet, applicazioni web, applicazioni mobile, dispositivi smart in mobilità, sistemi di Internet Banking e servizi di pagamento elettronico (POS, ATM, carte di credito, carte di debito, ecc.). Molte aziende assegnano queste discipline alle tipiche funzioni di sicurezza informatica o di sicurezza delle informazioni, mentre sono in forte crescita le realtà che scelgono di istituire presidi specializzati che sovrintendano le movimentazioni elettroniche e ne controllino i processi autorizzativi mediante filtri applicativi e soluzioni di intelligence dedicate.

La privacy ricade spesso nell’ambito della sicurezza informatica, in particolare per quanto riguarda l’attuazione delle misure minime di sicurezza previste dall’allegato B del Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196). Nelle migliori aziende, le tematiche più organizzative e di processo sono invece assegnate ad un’apposita funzione di controllo interna, tipicamente appartenente all’ambito della compliance aziendale, ma non è infrequente che anche queste incombenze rimangano relegate all’ambito della sicurezza informatica.

La sicurezza delle informazioni è invece da collocare ad un livello molto elevato della gerarchia aziendale, almeno così dovrebbe essere per garantire un adeguato grado di indipendenza e il giusto potere di intervento e relazione con il top management. Le competenze di questa disciplina riguardano aspetti particolarmente strategici della sicurezza di un’azienda, come lo sviluppo delle politiche di sicurezza, la continuità del business, la gestione del rischio, la programmazione di sicurezza, le campagne di sensibilizzazione, la conformità legislativa e regolamentare, l’amministrazione del controllo accessi e i macro processi di sicurezza.

Essendo una disciplina piuttosto ampia, essa è in grado di ricomprendere, indirizzare e guidare, sebbene con un’ottica focalizzata sulle informazioni aziendali e ad un livello ben più elevato (o meno specialistico), molti aspetti trattati dalla sicurezza fisica, dalla security, da sicurezza informatica e cybersecurity, o dal contrasto al cybercrime e alle frodi informatiche. In pratica resterebbero fuori dal suo perimetro solo la sicurezza sul lavoro e, solo in parte, la privacy.

Nonostante la sicurezza delle informazioni sia un disciplina che esiste ed è ben regolamentata in letteratura da oltre dieci anni, ancora oggi è forse fra le meno comprese della scienza complessiva della sicurezza.

Ormai tutte le aziende di una certa dimensione dispongono di funzioni dedicate alla sicurezza sul lavoro e alla privacy (per legge), alla sicurezza fisica o alla sicurezza informatica, e molte aziende che trattano servizi di pagamento si sono dotate di funzioni di contrasto al cybercrime e alle frodi informatiche, ma sono pochissime le realtà che dispongono di una funzione di sicurezza delle informazioni che svolga il proprio ruolo di guida e controllo rispetto alle altre funzioni specialistiche della sicurezza, da un livello gerarchico molto più elevato e con una visione comprensiva della sicurezza aziendale.

Ciò che spesso manca è proprio una visione elevata e complessiva sulla sicurezza aziendale, secondo tutte le possibili ottiche e nel rispetto delle diverse tipologie di obiettivo: persone, locali, attrezzature, valori, sistemi informatici, servizi di pagamento, immagine, dati personali e informazioni aziendali.

Più in generale, quando si parla di “sicurezza” in ambito aziendale è bene sempre specificare a quale disciplina della scienza ci si riferisce, contribuendo così a chiarire al pubblico, una volta per tutte, quali diverse forme assume tipicamente la sicurezza.

Ettore Guarnaccia