Sicurezza aziendale
Tecnologia e componente umana: i due pilastri per la difesa dagli attacchi esterni e interni.
La sicurezza aziendale non è un concetto nuovo. Da sempre le aziende hanno difeso i propri beni e le proprie strutture (gli assets) da attacchi provenienti sia dall’esterno che dall’interno dell’azienda stessa. Il settore privato è infatti, per sua natura, un settore economico ad alta vulnerabilità criminale ed è quindi necessario un monitoraggio constante per limitare il rischio aziendale, ovvero "il livello di esposizione all’incertezza che l’azienda deve conoscere e gestire in modo efficace affinché sia strumento di realizzazione delle strategie adottate per conseguire gli obiettivi aziendali e per la creazione di valore" (James W. Deloach).
Se fino a pochi anni fa le tipologie di rischio a cui erano sottoposte le aziende riguardavano soprattutto la cosiddetta "sicurezza fisica", che comprende ad esempio sistemi antifurto o di monitoraggio del perimetro dei fabbricati attraverso telecamere o i lucchetti alle porte del magazzino, con l’avvento di Internet e delle Information Communication Technologies (ICT), alla sicurezza fisica si affianca la necessità della sicurezza delle informazioni, Information Security o Infosecurity.
Il vantaggio competitivo offerto da questo tipo di tecnologie si dimostra irrinunciabile per le aziende. Sono poche le imprese che possono permettersi di non ampliare i propri mercati andando in Internet o rinunciando ad utilizzare le ICT: già nel secondo semestre del 2000, ad esempio, il 90% delle aziende italiane era presente in rete. Ed è proprio dal web che arrivano anche le minacce più gravi per la sicurezza aziendale: attacchi al sistema informatico, frodi telematiche, furto di informazioni sensibili, sono alcune delle nuove tipologie di danno che colpiscono le aziende provocando ingenti perdite economiche.
La sicurezza aziendale dunque si sdoppia e diventa una somma di sicurezza fisica e Infosecurity, a protezione sia dei beni materiali (prodotti, macchinari, strutture, ecc.) che degli assets immateriali dell’azienda (le informazioni), contro gli attacchi che possono provenire sia dall’esterno che dall’interno.
Gli attacchi esterni sono commessi da soggetti che sono al di fuori della struttura aziendale; gli attacchi provenienti dall’interno dell’azienda, invece, sono riconducibili a comportamenti criminali, a illeciti o ad abusi commessi da dipendenti. Secondo le statistiche, proprio questo tipo di attacchi comporta i danni maggiori, poiché i dipendenti, per la loro conoscenza della struttura aziendale, hanno maggiori opportunità di commettere azioni dannose.
In questo scenario estremamente complesso e mutevole, la sicurezza degli assets aziendali richiede una cultura della sicurezza aziendale vista come approccio globale alla prevenzione e alla gestione dei rischi esterni ed interni che minacciano l’impresa.
La cultura della sicurezza aziendale è composta dall’interazione tra la componente tecnologica e la componente umana. La componente tecnologica riguarda tutti gli strumenti che possono essere utilizzati nella riduzione del rischio aziendale dal punto di vista sia della sicurezza fisica, che della Infosecurity.
La tecnologia, fatta di strumenti come antivirus, "firewall" o "intrusion detection system", non è però sufficiente a raggiungere un livello di sicurezza accettabile. Anche la semplice password, ad esempio, è un sistema di Infosecurity dal quale dipende gran parte della sicurezza dei dati contenuti nel database aziendale, ma la sua importanza viene sottovalutata: scegliere una password banale, facilmente individuabile, o lasciarla scritta su di un post-it vicino al computer, può vanificare gli sforzi e gli investimenti compiuti dall’azienda per implementare le misure di sicurezza informatiche.
Questo esempio rende evidente l’importanza della componente umana nella cultura della sicurezza aziendale: per quanto le misure tecnologiche a difesa degli assets materiali e immateriali dell’azienda siano sofisticate, un errore, una negligenza, una leggerezza di chi utilizza i mezzi tecnologici può dimostrarsi fatale.
Nella costruzione della cultura della sicurezza aziendale la componente umana è quindi, allo stato attuale, l’anello debole della catena; una vulnerabilità che può essere ridotta solo aumentando, tra i soggetti coinvolti nel sistema azienda, la consapevolezza del ruolo attivo di ognuno nella costruzione della sicurezza aziendale globale, irrinunciabile per affrontare le sfide presenti e future.