Italia, accordo fra AIPSA e Master in Homeland Security per promuovere la cybersicurezza

La security aziendale ha subito una significativa evoluzione negli ultimi due decenni che la ha portata da essere una funzione deputata a gestire meramente la sicurezza fisica, ad una posizione di primo riporto rispetto al vertice aziendale con il compito di renderla resiliente. Azione che impone una visione olistica delle “minacce aziendali” e una capacità di cooperazione tanto all’interno dell’azienda che nei confronti dei soggetti esterni a partire dalle forze dell’ordine.

Da qui la necessità di delineare percorsi formativi multi-disciplinare che vedano affiancate figure professionali con un background proveniente dalle forze dell’ordine, nuove professionalità legate a competenze di ingegneria, economia, sociologia, giurisprudenza, senza ovviamente tralasciare tutto ciò che riguarda il cyber space.

Queste considerazioni sono alla base dell’accordo stipulato dalla Associazione dei Security Manager Italiani (AIPSA) e dall’Università Campus Bio-Medico di Roma, il cui obiettivo è la formazione delle figure professionali che dovranno occuparsi della sicurezza in ambito aziende con una visione moderna ed adeguata alle nuove necessità.

La security tradizionale, come ci dice il prof. Roberto Setola – Direttore del Master in Homeland Security –  si occupava sostanzialmente di sicurezza fisica (perimetrale), della tutela del patrimonio tangibile aziendale e qualche altra incombenza legata ai rapporti, più o meno codificati, con le autorità pubbliche. La funzione era tipicamente ricoperta da ex appartenenti alle forze dell’ordine che riversavano nella funzione la loro competenza continuando, anche se con modalità diverse, a svolgere l’attività che avevano svolto nel pubblico. In estrema sintesi chi lavorava in security aveva il compito di allontanare dal perimetro aziendale chi era intenzionato a commettere atti contro il suo patrimonio e i suoi vertici. Era in sostanza il “poliziotto” dell’azienda e come tale era percepito quasi con distacco dai colleghi, la sua funzione rappresentava un costo secco per l’azienda e la sua posizione nell’organigramma era all’interno delle funzioni di amministrazione in genere alle dipendenze del servizio legale o di quello del personale. 

Oggi la realtà, soprattutto nelle grandi aziende e negli operatori di infrastrutture critiche, è profondamente mutata. Le funzioni di Security sono uno strumento essenziale per garantire la resilienza delle diverse aziende. Esse sono alla base di tutto quello che ruota sotto il cappello della tutela della reputazione aziendale intendendo questo termine nella sua accezione più ampia. Dove per tutela della reputazione non ci riferisce al solo aspetto legato alla tutela da notizie diffamanti, ma più in generale alla salvaguardia della immagine dell’azienda partendo dalla tutela dei propri clienti, dipendenti oltre che del patrimonio aziendale. Ovvero porsi quale attività di supporto al business che vede nella tutale degli asset tangibili e intangibili uno strumento insostituibile per la continuità operativa”.

Sulla stessa linea la sintesi di Andrea Chittaro Presidente di Aipsa e Senior Vice President Global Security & Cyber Defence di Snam: “il ruolo della sicurezza aziendale è sempre più quello di un’attività sinergica con i processi aziendali, in grado di conferire a questi ultimi quella capacità di flessibilità, reattività e plasticità necessaria a prevenire, contrastare e gestire le conseguenze di situazioni “impreviste” e “imprevedibili”, in una parola aumentare la resilienza delle singole realtà industriali”.

Necessità questa evidenziata anche dalla Commissione Europea che ha recentemente emanato una proposta di direttiva europea sulla Resilienza delle Entità Critiche. Dove viene sottolineato sia la necessità di attuare una visione globale al tema della sicurezza considerando sinergicamente gli aspetti cyber e fisici che la rilevanza e centralità del fattore umano

Per essere pronta a gestire questo nuovo contesto, la Security aziendale ha dovuto imparare ad uscire dal proprio ambito ristretto per iniziare a conoscere l’azienda ed i suoi processi, a comprendere come e dove poter contribuire ad innalzarne il livello di resilienza a partire da quella che è la risorsa più pregiata dell’azienda, ovvero il proprio personale. Ciò ha comportato un’apertura dei dipartimenti di security nei confronti delle altre strutture aziendali al fine di favorire da un lato una reale comprensione delle necessità operativa, da cui discende la capacità di indirizzare le analisi dei rischi, e dall’altro una migliore conoscenza da parte dell’azienda delle attività di security e di come queste possono essere al servizio del business.

Le aziende, per altro, operano in contesti sociali sempre più complessi ed articolati ed è fondamentale sia per garantire l’adeguata continuità operativa avere una capacità di “leggere” l’ambiente per cogliere qui segnali che consentano di indentificare possibili aree di rischio. Per fare ciò le strutture di security devono dotarsi sempre di più di strumenti e competenze per l’estrazione e analisi delle informazioni da fonti aperte del contesto (OSINT) al fine di evidenziare al top management le eventuali problematiche fornendo nel contempo soluzioni in grado di contemperare la necessità di riduzione dei rischi con le esigenze del business aziendale.

Attività queste che richiedono competenze diverse da quelli che sono il tradizionale bagaglio delle forze dell’ordine e che impongono ai dipartimenti di security di essere sempre di più composti da personale con formazione che spazia dalle competenze giuridiche a quelle economiche, dalle competenze sociologiche  a quelle ingegneristiche ed informatiche.

Questo è lo spirito che anima il Master in Homeland Security del Campus Bio-Medico di Roma arrivato alla sua XIII edizione: l’obiettivo è quello di formare i professionisti della sicurezza con un approccio globale  attraverso una visione cyber-physical del sistema azienda e delle possibili minacce all’interno della quale i diversi aspetti connessi con la sicurezza fisica, cyber e organizzativa sono integrati in una visione unitaria che si pone quale elemento di proattività per la prevenzione e gestione di situazioni di crisi con ottica di resilienza e di costante cooperazione pubblico-privato.

In questo spirito l’accordo stipulato tra AIPSA e il Campus Bio-Medico prevede, fra le altre cose, di istituire una borsa di studio per la formazione di un giovane security manager italiano nell’ambito dell’inizia Nextgeneration che AIPSA sta portando avanti da alcuni anni con l’obiettivo di avvicinare giovani di talento a alla professione del security mamager.