Da sempre Sogei pone particolare attenzione agli aspetti di sicurezza dei sistemi informativi, dei dati e dei servizi erogati ai propri clienti istituzionali. Negli anni ha maturato la consapevolezza che la sicurezza deve essere ideata, progettata, implementata e gestita, attraverso processi strutturati che permettano di proteggere il patrimonio informativo, non solo attivando misure di sicurezza logica (firewall, crittografia, ecc.) e fisica (controllo accessi, videosorveglianza, ecc.), ma anche attraverso la definizione di una organizzazione dedicata e di un solido modello di governo.
SECURITY GOVERNANCE
Alla luce dello scenario internazionale, che vede una progressiva evoluzione delle minacce cibernetiche e una crescente complessità del mondo digitale, è stato istituito in Sogei un sofisticato e innovativo Sistema per il governo della sicurezza, tra i più evoluti e progrediti del settore.
Tale sistema consente un governo completo della “filiera della sicurezza”, partendo dalla normativa di riferimento e dalla individuazione delle esigenze aziendali, passando per i Sistemi di gestione della sicurezza, che le traducono in regole e politiche attuative, fino alle realizzazione di strutture che presidiano i controlli di protezione, con l’obiettivo di rendere operative le misure di sicurezza in coerenza con quanto richiesto dal management.
Il Sistema di governo della sicurezza, inoltre, al fine di poter correttamente espletare l’azione di indirizzo che è chiamata a svolgere, ha l’assoluta necessità che le aree di sicurezza siano a loro volta governate e gestite in maniera integrata e trasversale, adottando una specifica organizzazione. Ciò è assicurato dal Chief security officer (Cso), figura che risulta essere essenziale per garantire il coordinamento degli interventi nell’ottica di una gestione integrata dei rischi di sicurezza aziendali.
SISTEMI DI GESTIONE E GOVERNO INTEGRATO DEI RISCHI
Il governo della sicurezza non può tuttavia prescindere dai Sistemi di gestione della sicurezza, necessari a definire e attuare concretamente quanto definito a livello di Governo.
Il primo passo compiuto da Sogei in questa direzione è stato la definizione e l’implementazione del Sistema di gestione della sicurezza delle informazioni (Sgsi), attuato e certificato secondo lo standard internazionale Iso/Iec 27001:2014. Tale sistema, sulla base di un approccio sistematico impostato sull’analisi e il trattamento dei rischi, stabilisce, attua, controlla, rivede, riadatta e migliora la sicurezza delle informazioni gestite, con l’obiettivo di garantirne riservatezza, integrità e disponibilità.
Un altro aspetto che Sogei ha sempre tenuto in considerazione è la sicurezza fisica, i cui obiettivi primari sono la protezione del personale dipendente ed esterno operante presso le sedi aziendali, degli immobili delle strutture aziendali, dei beni materiali all’interno delle sedi aziendali, delle infrastrutture tecnologiche utilizzate per l’erogazione dei servizi informativi e, non ultimo, delle attività di business.
Nella gestione operativa della sicurezza fisica è emersa la necessità di adottare un approccio analogo a quello attuato per il Sgsi (Sistema di gestione della sicurezza delle informazioni), che consenta di gestire le infrastrutture e le componenti che concorrono alla protezione fisica di Sogei, ovvero: processo strutturato costituito da politiche, procedure, linee guida; gestione del rischio che permette di ridurre le vulnerabilità, prevenire i rischi e dare una risposta tempestiva ad aggressioni, ripristinando le funzionalità dei sistemi in caso di crisi; analisi costante degli eventi sospetti e rilevanti per gli aspetti legati alla sicurezza.
Con questa logica è stato pertanto definito e sviluppato il Sistema di gestione della sicurezza fisica (Sgsf), realizzato partendo sia dallo standard ISO 27001:2014, che dallo standard Ansi/Asis Pap.1-2012 “Security Management Standard: Physical Asset Protection”.
Sebbene l’adozione di tali Sistemi di gestione abbia garantito un eccellente presidio operativo, l’obiettivo strategico di Sogei, come anticipato, è stato sempre quello di convergere verso una Governance integrata dei rischi, lavorando alla realizzazione di una gestione integrata della sicurezza.
Il risultato tangibile di tale approccio ha consentito a Sogei di passare da una gestione dei rischi a “silos”, in cui ciascuna struttura operativa interveniva autonomamente sui propri rischi, a una gestione realmente “condivisa e integrata” dei rischi. Ciò ha permesso di produrre una programmazione complessiva degli interventi di sicurezza, con la possibilità da parte dei vertici zziendali di valutare le azioni necessarie a gestire i rischi e stabilire la loro priorità nel tempo.
CONVERGENZA TRA SICUREZZA FISICA E LOGICA
Nel contesto Sogei, ma in più generale in qualsiasi infrastruttura critica, la protezione delle informazioni non può prescindere dalla sicurezza fisica e viceversa. Infatti, da un lato, la complessità delle infrastrutture di sicurezza fisica costituiscono esse stesse potenziale oggetto di attacchi cyber, alla stregua di qualsiasi altro sistema/servizio Ict, dall’altro lato, la sicurezza fisica diventa un fattore abilitante per la realizzazione di un sistema di protezione completa delle informazioni.
Un esempio evidente è rappresentato dalla necessità di proteggere i sistemi che trattano informazioni critiche non solo con un insieme di misure di sicurezza logica a protezione dei dati ivi contenuti ma, anche, garantendo che eventuali accessi fisici non autorizzati possano compromettere la sicurezza dei dati.
Stabilire il confine tra attacco logico e fisico, in alcune circostanze, può essere davvero difficile. Basti pensare al danno derivante dalla compromissione della disponibilità e/o integrità dell’infrastruttura controllo accessi fisici; si potrebbero modificare i profili di autorizzazione alle aree riservate, negando, per esempio, l’accesso a chi è autorizzato e impedendo a chiunque di entrare per poter espletare il proprio lavoro; oppure, autorizzando l’ingresso a chi non ne ha diritto, consentendo l’accesso ai locali contenenti dati sensibili, che potrebbero essere sottratti o distrutti; potrebbe essere compromessa l’infrastruttura video per oscurare una parte dell’azienda e produrre danni ad asset critici, potrebbero essere compromessi i supporti di registrazione per cancellare le immagini e i video che danno evidenza di un crimine commesso.
Tali esempi sottolineano quanto è stato da sempre alla base della strategia di sicurezza di Sogei: sicurezza fisica e logica sono parte integrante di un unico sistema di protezione, volto a tutelare complessivamente l’azienda e i suoi clienti.
IDENTIFICAZIONE E VALUTAZIONE DEI RISCHI
Naturalmente, come per tutti gli ambiti di protezione, una buona strategia di sicurezza non può prescindere da una corretta identificazione e valutazione dei rischi. L’analisi dei rischi costituisce di fatto l’ossatura sulla quale sia il Sgsi che il Sgsf devono fondare il percorso di sviluppo per il futuro. La determinazione dei potenziali rischi a cui è esposta Sogei, dal punto di visita sia fisico che logico, consente di orientare le scelte di strategia e metodo da impostare per la tutela e la protezione di infrastrutture logiche e fisiche e dell’intera organizzazione.
L’attenzione di Sogei in questo contesto è stata pertanto focalizzata sull’individuazione e la definizione di un processo strutturato di gestione dei rischi di sicurezza fisica, che tenesse conto sia di ciò che è stato sviluppato in ambito Sgsi, quindi dei requisiti espressi in termini di sicurezza logica e delle informazioni, sia delle esigenze di integrazione dettate dalle peculiarità specifiche della sicurezza fisica.
ANALIZZARE I RISCHI DI SICUREZZA FISICA
Sulla base delle considerazioni fatte, Sogei ha deciso di rivedere profondamente il proprio processo di gestione dei rischi, partendo proprio dalla componente di sicurezza fisica. Tale scelta è stata dettata dalla necessità di censire e classificare, fin dai perimetri fisici, gli asset e le informazioni da proteggere, al fine di individuare un set standard di misure di sicurezza idonee per ciascun livello di criticità. Successivamente, tale processo di analisi dei rischi ha comportato: l’identificazione delle principali minacce di sicurezza fisica a partire da un elenco consolidato di eventi ordinari e straordinari, valutati sia rispetto ad una probabilità “standard” di accadimento (esposizione intrinseca), sia sulla base delle casistiche registrate in passato (analisi storica); l’arricchimento delle librerie di controllo già esistenti con le misure di sicurezza fisica rilevanti (controllo accessi, videosorveglianza, ecc.), anche con riferimento a standard e approcci specifici (come ad es. Cpted – “Crime Prevention Through Environmental Design”); la definizione di specifici indicatori di rischio (Kri), al fine di valutare agevolmente i risultati delle analisi svolte.
Infine, sempre nell’ottica di ottenere una vista complessiva ed integrata dei rischi provenienti dai perimetri di sicurezza logica (Sgsi) e fisica (Sgsf), le rispettive metodologie di risk assessment sono state integrate secondo le seguenti direttrici principali: gli asset logici (server, informazioni, ecc.) sono stati associati ai perimetri fisici censiti in precedenza, delineando un perimetro di protezione complessivo; le misure di sicurezza fisica sono state “aggiunte” ai controlli di sicurezza logica e delle informazioni, con l’obiettivo di contribuire alla valutazione integrata dei livelli di rischio (prima e dopo le contromisure); la valutazione finale del rischio è ottenuta integrando le analisi dei rispettivi perimetri, diventando un input fondamentale verso il sistema di governo. Ciò consente di realizzare un unico piano di governo del rischio, in grado di garantire il perfetto allineamento con il business, l’ottimizzazione degli interventi di mitigazione dei rischi ed assicurando una protezione complessiva degli asset (siano essi completamente fisici, logici o ibridi, come nel caso delle banche dati strategiche).
CONCLUSIONI
Le infrastrutture devono essere progettate per perseguire due obiettivi diversi, strettamente collegati tra loro: il primo è garantire che il disegno e la realizzazione delle infrastrutture di sicurezza fisica e logica avvenga considerando l’influenza reciproca dei rischi (logici, fisici e delle informazioni), ovvero garantendo una protezione complessiva dell’organizzazione; il secondo è che tutti gli investimenti effettuati siano funzione di valutazioni integrate e ponderate tra rischi reali e benefici ottenuti, in un’ottica di efficienza ed efficacia.
Il ruolo dell’infrastruttura fisica, in questo contesto, risulta pertanto determinante e fondamentale, anche in relazione alla gestione del rischio cibernetico. La protezione fisica, se non adeguatamente progettata tenendo presente anche i requisiti di sicurezza logica e Ict, può generare impatti e ricadute pesanti sui diversi perimetri di protezione e, quindi, sul profilo finale di sicurezza dell’intera organizzazione.
Sogei ha pertanto intrapreso questo percorso di razionalizzazione e gestione dei rischi e degli interventi verso una gestione integrata della sicurezza; tale percorso ha richiesto un forte cambiamento di mentalità e di approccio sui temi di sicurezza, rinunciando ad una visione parziale e settoriale della stessa, che non risultava essere vincente ed efficace nello scenario di evoluzione attuale e futura delle minacce.
In conclusione, le organizzazioni per essere competitive e in grado di perseguire la propria mission, sia essa di business o istituzionale, non devono considerare la sicurezza a “compartimenti stagni”, delegando a diverse e distinte strutture aziendali i differenti aspetti della sicurezza e le relative responsabilità, ma è necessario avere una visione integrata nella gestione dei rischi.
Per fare ciò è sicuramente necessario investire costantemente in formazione e specializzazione dei security manager e dei progettisti della sicurezza, per assicurare le competenze necessarie a valutare correttamente i rischi di sicurezza, dai diversi punti di vista (fisici, logici, cyber, ecc.). Tale approccio assicura, inoltre, adeguate garanzie sull’effettiva capacità di fornire al management le leve decisionali necessarie ad individuare e gestire gli investimenti più appropriati nel medio e lungo periodo.
