Niccolò Paganelli
Qui di seguito, e nella seconda
parte di questo articolo, descriverò i vari concetti, basandomi anche su
conoscenze ed esperienze acquisite sia con lo studio che professionalmente in
ambito lavorativo, notando che per un'efficace condizione di sicurezza a 360
gradi è necessario integrare al meglio Safety, Security (inclusa
la Cybersecurity), Sicurezza delle Operazioni (OPSEC) e Sicurezza
delle Informazioni (INFOSEC). Iniziamo con le prime due tipologie:
SAFETY: focalizzata
su procedure, attività e materiali antinfortunistici (DPI, Dispositivi di
Protezione Individuale) in ambiente lavorativo, per prevenire o ridurre
eventi accidentali con possibili danni a persone/cose, come l'antincendio
(presidi/rilevatori) e tutta una gamma di misure a tutela dei lavoratori e beni
nei più disparati ambiti. Nota è la “safety reattiva” sviluppata
nell'Aviazione Civile per evitare nuovi incidenti aerei, attraverso analisi
approfondite di eventi gravi passati con raccomandazioni volte a minimizzare la
possibilità che si ripetano. Con la “safety proattiva” si sopperisce
alle lacune di quella reattiva cercando di prevenire gli eventi agendo
prima che possano accadere.
SECURITY:
caratterizzata da procedure, attività di prevenzione-protezione e tecnologie
per mettere in sicurezza e difendere Organismi/Enti, aree, edifici, persone
fisiche o installazioni da probabili azioni ostili; la condizione di sicurezza
risulta dall'applicazione di misure sia interne che esterne al sito o “parti
sensibili” di esso sfruttando apparecchiature, mezzi e personale adeguati ad
attività di sorveglianza, controllo, vigilanza e contrasto a eventuali minacce.
Si hanno: videosorveglianza, controllo accessi, sistemi antintrusione, infissi
blindati, barriere e sensori speciali, ecc. in base a differenti
caratteristiche, esigenze e obiettivi prefissati. La particolare branca della Cybersecurity
in poche parole riguarda l'insieme di mezzi e tecnologie a protezione dei
sistemi informatici su disponibilità, confidenzialità e integrità di dati, beni
e assetti, attuando le misure più adatte ad ogni necessità e circostanza.
Nella seconda parte tratteremo
gli altri due importanti concetti di Sicurezza, che vanno a rientrare
nell'ampia tematica della Security, a protezione delle nostre
informazioni più “critiche”: OPSEC (Operations Security) e INFOSEC (Information
Security). Il primo è usato specificamente in ambito militare, ma lo stesso
concetto è applicabile anche nel settore civile privato. Il secondo è
utilizzato ed applicato nei settori sia pubblico che privato. Entrambi
complementari e molto importanti per il successo ed il raggiungimento degli
obiettivi prefissati nelle proprie attività, missioni, operazioni. Tenendo
sempre presente che come noi vogliamo
sapere informazioni sull'avversario, anch'egli può fare lo stesso a proprio
vantaggio verso di noi.
Alcuni dei tanti principi scritti
nel libro “L'Arte Della Guerra” di Sun Tzu, studiato e apprezzato
nonché molto utile sia in ambito militare che civile nel mondo degli affari,
credo possano spiegare meglio il concetto del proteggere i propri assetti e le
relative informazioni:
“Se tu conosci l'avversario e
conosci te stesso, non occorre che tu abbia paura del risultato di cento
battaglie. Se conosci te stesso, ma non l'avversario, per ogni vittoria
ottenuta soffrirai anche una sconfitta. Se non conosci né te stesso né
l'avversario, soccomberai a ogni battaglia” (principi n.31-32-33, “L'Attacco”).
Riprendendo i vari concetti di Sicurezza
trattati nell'articolo precedente, altri due importanti sono:
OPSEC (Operations Security):
il principio di impedire al nemico l'accesso alle informazioni risalgono a
secoli fa, trovando esempi ne L'Arte Della Guerra (400-320 a.C., Sun
Tzu) e nel Dell'Arte Della Guerra (1521, Niccolò Machiavelli). L'OPSEC è
il processo che identifica informazioni critiche per il successo delle operazioni
e attività che potrebbero essere obiettivo di avversari, analizzando come essi
possano carpire dette informazioni, per poi adottare specifiche contromisure
volte a eliminarne/ridurne l'interpretazione ed il raggruppamento ad uso e
vantaggio avversario; in pratica si tratta di proteggere le proprie
informazioni critiche da osservazione e raccolta da parte di terzi. Queste
“informazioni critiche”, importanti per il successo e il raggiungimento degli
obiettivi prefissati in missioni/operazioni, includono le proprie capacità,
attività, limitazioni, intenzioni, progetti, dettagli, innovazioni ed altro
ancora: tutte cose che l'avversario non deve venire a sapere.
L'OPSEC fu sviluppata nella
Guerra del Vietnam quando le FF.AA. USA crearono un apposito team “Purple
Dragon” per determinare come il nemico potesse ottenere informazioni
dettagliate sulle operazioni; nel 1988, sotto Ronald Reagan, approvarono un
progetto di sicurezza con cui nacque l'Interagency OPSEC Support Staff
(IOSS) per identificare, controllare e proteggere le informazioni delle
operazioni militari USA. In generale, l'OPSEC è proteggere singole informazioni
critiche essenziali a comandanti militari, alti dirigenti, manager e organi
decisionali, prevedendo delle misure per contrastare/eliminare potenziali
attività avversarie dannose (es. crittografia email, precauzioni contro
un'eventuale sorveglianza, ecc.), applicandolo così anche nel settore privato
col Controspionaggio Aziendale. L'OPSEC è un processo sistematico e
collaudato che permette di guardare sé stessi con gli occhi dell'avversario, e
implica 5 fasi:
1) Identificare le informazioni critiche da
proteggere da cui l'avversario può trarne notevoli vantaggi.
2) Analizzare potenziali minacce
da avversari che potrebbero rilevare e sfruttare vulnerabilità.
3) Individuare vulnerabilità
dell'azienda e determinare quanto facilmente l'avversario possa acquisire
informazioni a riguardo.
4) Determinare se le
vulnerabilità possano richiedere contromisure.
5) Applicare contromisure appropriate,
impedendo che l'avversario sfrutti le vulnerabilità.
INFOSEC (Information
Security): la sicurezza è la necessità primaria, sia quando si tratta di
operazioni militari/di intelligence sia nel business civile privato quando
un'azienda tenta di evitare possibili atti di spionaggio o sabotaggio da parte
della concorrenza a danno della propria attività e immagine. Questo ampio
concetto è relativo alla tutela di informazioni, notizie, ecc. e relativa
sicurezza nella loro ricezione/trasmissione. Si applica per garantire sempre,
attraverso specifiche procedure, la totale sicurezza delle varie informazioni
con l'attuazione di apposite norme su archiviazione, consultazione e tenuta di
documenti “classificati” (cartacei, elettronici, fotografici, magnetici), la tutela
delle informazioni contenute all'interno (Segreto Militare/di Stato/Aziendale
di ogni grado e classificazione di segretezza) e la protezione della loro
comunicazione (telefono/radio/computer/sistema cifrante), mitigandone i rischi.
Costituisce parte dell'Information Risk Management, andando a
prevenire/ridurre la probabilità di accessi inappropriati non autorizzati a
dati o loro utilizzo illecito, rivelazione, interruzione, cancellazione,
corruzione, modifica, ispezione, registrazione, svalutazione dell'informazione,
con azioni tese a ridurre gli impatti avversi di tali incidenti.
Le informazioni
protette possono avere ogni forma, come elettronica o fisica, tangibile
(documenti cartacei) o intangibile (conoscenza); il focus primario dell'INFOSEC
è la protezione bilanciata di riservatezza, integrità e reperibilità dei dati,
attuando “policy” efficienti senza ostacolare la produttività
dell'organizzazione. Tutto ciò si realizza attraverso un processo strutturato
di risk management che implica:
1) Identificare
informazioni e relativi assetti, potenziali minacce, vulnerabilità e impatti.
2) Valutare i rischi.
3) Decidere come
affrontare/trattare i rischi (evitarli, mitigarli, condividerli, accettarli?).
4) Dove è richiesta
la mitigazione del rischio, selezionando o progettando adeguati controlli di
sicurezza e applicandoli.
5) Monitorare le
attività, con le modifiche necessarie per eventuali problemi, cambiamenti e
opportunità di miglioramento.