SECURITY GOVERNANCE
La definizione e attuazione di un processo di
gestione della sicurezza, in sintonia con la missione ed i requisiti aziendali,
riveste grande importanza e le attivita' e le risorse che consentono un
controllo continuo della sicurezza devono basarsi sulla pianificazione di un
modello di Security Governance.
Tale Modello deve considerare e trattare le
risorse materiali ed immateriali come parte integrante del patrimonio
aziendale; è quindi obiettivo del Management garantire, in analogia a quanto
avviene per le altre attività aziendali, il corretto svolgimento delle azioni
di prevenzione e protezione degli asset aziendali a partire della definizione
per ciascuna tipologia di sicurezza (Logica, Fisica, Organizzativa) di adeguate
politiche aziendali.
Le politiche di sicurezza devono fronteggiare un
quadro di possibili condizioni avverse che vanno dagli errori e irregolarità,
al degrado/interruzione del livello di servizio, dalle malversazioni alle
violazioni di riservatezza e di proprietà delle risorse immateriali, al furto,
al danneggiamento di beni materiali, nonché tutti i fattori di rischio che
possono compromettere il raggiungimento degli obiettivi di business.
Poichè nessuna iniziativa di sicurezza può
garantire, con assoluta certezza, l’assenza di rischio, l’obiettivo
delle politiche di sicurezza deve essere di contenere questi rischi ad un
livello accettabile tramite l’identificazione degli asset da proteggere,
l’individuazione delle responsabilità e delle risorse per la protezione,
la definizione dei livelli di protezione che devono essere forniti, la
formulazione delle strategie di sicurezza e delle contromisure di salvaguardia,
nonché la definizione di programmi di formazione e comunicazione della
sicurezza.
Gli asset, le informazioni e le risorse aziendali
costituiscono un patrimonio di valore strategico, in quanto permettono di
svolgere l’attività imprenditoriale nonché di conseguire un vantaggio
competitivo sulla concorrenza.
In particolare, tale tutela va perseguita al fine
di mantenere un equilibrio costante nel tempo tra il livello di rischio che
l’azienda considera accettabile e le necessarie misure di protezione,
assicurando che la tutela degli asset, delle informazioni e delle risorse si
traduca anche nella salvaguardia e nel miglioramento dell’efficienza e
dell’efficacia dei processi di erogazione dei servizi di business.
L’individuazione delle risorse da
proteggere e del livello di rischio considerato accettabile,
l’individuazione delle misure di prevenzione/protezione e della conseguente
entità degli investimenti necessari sono d’altra parte scelte manageriali
che devono essere definite nell’ambito di una complessiva strategia di
sicurezza globale.
La salvaguardia del Patrimonio materiale e
immateriale è quindi una scelta strategica manageriale volta a consentire e
favorire il raggiungimento degli obiettivi di business attraverso:
• la
tutela delle risorse nel loro valore
patrimoniale e reddituale;
• la
garanzia della qualità del servizio, venendo incontro alla domanda di fiducia
degli interlocutori (stakeholders) interni ed esterni; .
• la
garanzia della continuità operativa, prevenendo l’interruzione del
business e consentendo il ripristino delle operazioni anche in condizioni
estreme.
Le macroaree di sicurezza aziendale sono le
seguenti:
a) Sicurezza Logica
b) Sicurezza Fisica
c) Sicurezza Organizzativa
Sicurezza
Logica
Modalità di gestione della sicurezza delle
“informazioni” aziendali, nell’accezione più estesa del
termine, nonché all’insieme delle risorse hardware e software necessarie
alla loro elaborazione e custodia.
In particolare le informazioni oggetto di
protezione sono relative a:
• proprietà
intellettuale;
• know
how;
• business;
• informazioni
contabili;
• informazioni
sui dipendenti;
• informazioni
su clienti, fornitori e partner.
Le risorse informatiche per l’elaborazione
e la custodia delle informazioni cui sono indirizzati gli interventi di tutela
comprendono:
• piattaforme
hardware;
• piattaforme
software;
• infrastrutture
di rete e di telecomunicazione;
• dati;
• documenti
cartacei inerenti le risorse informatiche;
• applicazioni
gestionali e di business;
• supporti
di memorizzazione elettronici e cartacei.
Sicurezza
Fisica
Modalità di gestione della sicurezza fisica delle
“risorse” aziendali, ritenute critiche rispetto ai sistemi di
minacce esterne ed interne individuati ed al loro valore patrimoniale e/o
reddituale.
In particolare le risorse oggetto di protezione
sono relative a:
• risorse umane;
• know how assets intangibili;
• attività
di business;
Le risorse fisiche strutturali e strumentali,
utilizzate per i processi operativi:
• immobili
aziendali;
• impianti
produttivi;
• infrastrutture
delle rete dati aziendale;
• beni
mobili e strumentali.
Sicurezza
Organizzativa
Modalità di gestione della sicurezza dei
“processi operativi” aziendali, nell’accezione più estesa del
termine, nonché all’organizzazione della struttura e delle risorse
necessarie al loro funzionamento rispetto ai potenziali rischi di mancato
raggiungimento degli obiettivi di sicurezza e di business.
L’obiettivo della sicurezza organizzativa è
quello di assistere il management nella identificazione, valutazione, gestione,
monitoraggio e reporting dei rischi che possono impedire il raggiungimento
degli obiettivi aziendali.
In particolare i processi operativi e di
controllo oggetto di protezione sono relativi a:
• Business
Development;
• Operations;
• Finanza;
• Struttura
organizzativa e risorse;
• Ruoli/Responsabilità
etica;
• Know how e assets intangibili;
• Immagine
e mercato.
VIA BROLO, 30 – 00133 ROMA – ITALY
Copyright © 2000-2006
P i e r l u i g i L i b e r a t
o s c i o l i