Pierluigi Liberatoscioli

SECURITY GOVERNANCE

La definizione e attuazione di un processo di gestione della sicurezza, in sintonia con la missione ed i requisiti aziendali, riveste grande importanza e le attivita' e le risorse che consentono un controllo continuo della sicurezza devono basarsi sulla pianificazione di un modello di Security Governance.

Tale Modello deve considerare e trattare le risorse materiali ed immateriali come parte integrante del patrimonio aziendale; è quindi obiettivo del Management garantire, in analogia a quanto avviene per le altre attività aziendali, il corretto svolgimento delle azioni di prevenzione e protezione degli asset aziendali a partire della definizione per ciascuna tipologia di sicurezza (Logica, Fisica, Organizzativa) di adeguate politiche aziendali.

Le politiche di sicurezza devono fronteggiare un quadro di possibili condizioni avverse che vanno dagli errori e irregolarità, al degrado/interruzione del livello di servizio, dalle malversazioni alle violazioni di riservatezza e di proprietà delle risorse immateriali, al furto, al danneggiamento di beni materiali, nonché tutti i fattori di rischio che possono compromettere il raggiungimento degli obiettivi di business.

Poichè nessuna iniziativa di sicurezza può garantire, con assoluta certezza, l’assenza di rischio, l’obiettivo delle politiche di sicurezza deve essere di contenere questi rischi ad un livello accettabile tramite l’identificazione degli asset da proteggere, l’individuazione delle responsabilità e delle risorse per la protezione, la definizione dei livelli di protezione che devono essere forniti, la formulazione delle strategie di sicurezza e delle contromisure di salvaguardia, nonché la definizione di programmi di formazione e comunicazione della sicurezza.

Gli asset, le informazioni e le risorse aziendali costituiscono un patrimonio di valore strategico, in quanto permettono di svolgere l’attività imprenditoriale nonché di conseguire un vantaggio competitivo sulla concorrenza.

In particolare, tale tutela va perseguita al fine di mantenere un equilibrio costante nel tempo tra il livello di rischio che l’azienda considera accettabile e le necessarie misure di protezione, assicurando che la tutela degli asset, delle informazioni e delle risorse si traduca anche nella salvaguardia e nel miglioramento dell’efficienza e dell’efficacia dei processi di erogazione dei servizi di business.

L’individuazione delle risorse da proteggere e del livello di rischio considerato accettabile, l’individuazione delle misure di prevenzione/protezione e della conseguente entità degli investimenti necessari sono d’altra parte scelte manageriali che devono essere definite nell’ambito di una complessiva strategia di sicurezza globale.

La salvaguardia del Patrimonio materiale e immateriale è quindi una scelta strategica manageriale volta a consentire e favorire il raggiungimento degli obiettivi di business attraverso:

• la tutela delle risorse nel loro valore patrimoniale e reddituale;

• la garanzia della qualità del servizio, venendo incontro alla domanda di fiducia degli interlocutori (stakeholders) interni ed esterni; .

• la garanzia della continuità operativa, prevenendo l’interruzione del business e consentendo il ripristino delle operazioni anche in condizioni estreme.

Le macroaree di sicurezza aziendale sono le seguenti:

a) Sicurezza Logica

b) Sicurezza Fisica

c) Sicurezza Organizzativa

Sicurezza Logica

Modalità di gestione della sicurezza delle “informazioni” aziendali, nell’accezione più estesa del termine, nonché all’insieme delle risorse hardware e software necessarie alla loro elaborazione e custodia.

In particolare le informazioni oggetto di protezione sono relative a:

• proprietà intellettuale;

• know how;

• business;

• informazioni contabili;

• informazioni sui dipendenti;

• informazioni su clienti, fornitori e partner.

Le risorse informatiche per l’elaborazione e la custodia delle informazioni cui sono indirizzati gli interventi di tutela comprendono:

• piattaforme hardware;

• piattaforme software;

• infrastrutture di rete e di telecomunicazione;

• dati;

• documenti cartacei inerenti le risorse informatiche;

• applicazioni gestionali e di business;

• supporti di memorizzazione elettronici e cartacei.

Sicurezza Fisica

Modalità di gestione della sicurezza fisica delle “risorse” aziendali, ritenute critiche rispetto ai sistemi di minacce esterne ed interne individuati ed al loro valore patrimoniale e/o reddituale.

In particolare le risorse oggetto di protezione sono relative a:

• risorse umane;

• know how assets intangibili;

• attività di business;

Le risorse fisiche strutturali e strumentali, utilizzate per i processi operativi:

• immobili aziendali;

• impianti produttivi;

• infrastrutture delle rete dati aziendale;

• beni mobili e strumentali.

Sicurezza Organizzativa

Modalità di gestione della sicurezza dei “processi operativi” aziendali, nell’accezione più estesa del termine, nonché all’organizzazione della struttura e delle risorse necessarie al loro funzionamento rispetto ai potenziali rischi di mancato raggiungimento degli obiettivi di sicurezza e di business.

L’obiettivo della sicurezza organizzativa è quello di assistere il management nella identificazione, valutazione, gestione, monitoraggio e reporting dei rischi che possono impedire il raggiungimento degli obiettivi aziendali.

In particolare i processi operativi e di controllo oggetto di protezione sono relativi a:

• Business Development;

• Operations;

• Finanza;

• Struttura organizzativa e risorse;

• Ruoli/Responsabilità etica;

• Know how e assets intangibili;

• Immagine e mercato.

BUSINESS CONTINUITY

DISASTER RECOVERY

CRISIS MANAGEMENT

VIA BROLO, 30 – 00133 ROMA – ITALY