Vari concetti di “sicurezza”: “safety” & “security”, “opsec” & “infosec”

 

Niccolò Paganelli

 

 “La sicurezza prima di tutto!”, quante volte abbiamo sentito questa frase. Parlando appunto di Sicurezza, sia in ambito pubblico che privato, si hanno differenti ed importanti concetti di essa, spesso confusi tra loro spesso applicati in sinergia, ma tutti con lo scopo di assicurare il corretto e più fluido possibile impiego di piani, mezzi, assetti, ecc., tanto nelle operazioni militari/di intelligence quanto nel mondo del business civile. Molto spesso si tende a generalizzare usando il termine “sicurezza” in tutto e per tutto, ma in effetti esso integra, nel suo concetto più ampio, varie tipologie, o “branche” se vogliamo chiamarle così, ognuna con organizzazione, metodologie diverse e create appositamente, oltre a caratteristiche ben distinte, ma allo stesso tempo complementari l'una con l'altra.

 

Qui di seguito, e nella seconda parte di questo articolo, descriverò i vari concetti, basandomi anche su conoscenze ed esperienze acquisite sia con lo studio che professionalmente in ambito lavorativo, notando che per un'efficace condizione di sicurezza a 360 gradi è necessario integrare al meglio Safety, Security (inclusa la Cybersecurity), Sicurezza delle Operazioni (OPSEC) e Sicurezza delle Informazioni (INFOSEC). Iniziamo con le prime due tipologie:

 

SAFETY: focalizzata su procedure, attività e materiali antinfortunistici (DPI, Dispositivi di Protezione Individuale) in ambiente lavorativo, per prevenire o ridurre eventi accidentali con possibili danni a persone/cose, come l'antincendio (presidi/rilevatori) e tutta una gamma di misure a tutela dei lavoratori e beni nei più disparati ambiti. Nota è la “safety reattiva” sviluppata nell'Aviazione Civile per evitare nuovi incidenti aerei, attraverso analisi approfondite di eventi gravi passati con raccomandazioni volte a minimizzare la possibilità che si ripetano. Con la “safety proattiva” si sopperisce alle lacune di quella reattiva cercando di prevenire gli eventi agendo prima che possano accadere. 

 

SECURITY: caratterizzata da procedure, attività di prevenzione-protezione e tecnologie per mettere in sicurezza e difendere Organismi/Enti, aree, edifici, persone fisiche o installazioni da probabili azioni ostili; la condizione di sicurezza risulta dall'applicazione di misure sia interne che esterne al sito o “parti sensibili” di esso sfruttando apparecchiature, mezzi e personale adeguati ad attività di sorveglianza, controllo, vigilanza e contrasto a eventuali minacce. Si hanno: videosorveglianza, controllo accessi, sistemi antintrusione, infissi blindati, barriere e sensori speciali, ecc. in base a differenti caratteristiche, esigenze e obiettivi prefissati. La particolare branca della Cybersecurity in poche parole riguarda l'insieme di mezzi e tecnologie a protezione dei sistemi informatici su disponibilità, confidenzialità e integrità di dati, beni e assetti, attuando le misure più adatte ad ogni necessità e circostanza.

 

Nella seconda parte tratteremo gli altri due importanti concetti di Sicurezza, che vanno a rientrare nell'ampia tematica della Security, a protezione delle nostre informazioni più “critiche”: OPSEC (Operations Security) e INFOSEC (Information Security). Il primo è usato specificamente in ambito militare, ma lo stesso concetto è applicabile anche nel settore civile privato. Il secondo è utilizzato ed applicato nei settori sia pubblico che privato. Entrambi complementari e molto importanti per il successo ed il raggiungimento degli obiettivi prefissati nelle proprie attività, missioni, operazioni. Tenendo sempre presente che come noi  vogliamo sapere informazioni sull'avversario, anch'egli può fare lo stesso a proprio vantaggio verso di noi.

 

Alcuni dei tanti principi scritti nel libro “L'Arte Della Guerra” di Sun Tzu, studiato e apprezzato nonché molto utile sia in ambito militare che civile nel mondo degli affari, credo possano spiegare meglio il concetto del proteggere i propri assetti e le relative informazioni:

 

“Se tu conosci l'avversario e conosci te stesso, non occorre che tu abbia paura del risultato di cento battaglie. Se conosci te stesso, ma non l'avversario, per ogni vittoria ottenuta soffrirai anche una sconfitta. Se non conosci né te stesso né l'avversario, soccomberai a ogni battaglia” (principi n.31-32-33, “L'Attacco”).

 

Riprendendo i vari concetti di Sicurezza trattati nell'articolo precedente, altri due importanti sono:

OPSEC (Operations Security): il principio di impedire al nemico l'accesso alle informazioni risalgono a secoli fa, trovando esempi ne L'Arte Della Guerra (400-320 a.C., Sun Tzu) e nel Dell'Arte Della Guerra (1521, Niccolò Machiavelli). L'OPSEC è il processo che identifica informazioni critiche per il successo delle operazioni e attività che potrebbero essere obiettivo di avversari, analizzando come essi possano carpire dette informazioni, per poi adottare specifiche contromisure volte a eliminarne/ridurne l'interpretazione ed il raggruppamento ad uso e vantaggio avversario; in pratica si tratta di proteggere le proprie informazioni critiche da osservazione e raccolta da parte di terzi. Queste “informazioni critiche”, importanti per il successo e il raggiungimento degli obiettivi prefissati in missioni/operazioni, includono le proprie capacità, attività, limitazioni, intenzioni, progetti, dettagli, innovazioni ed altro ancora: tutte cose che l'avversario non deve venire a sapere.

 

L'OPSEC fu sviluppata nella Guerra del Vietnam quando le FF.AA. USA crearono un apposito team “Purple Dragon” per determinare come il nemico potesse ottenere informazioni dettagliate sulle operazioni; nel 1988, sotto Ronald Reagan, approvarono un progetto di sicurezza con cui nacque l'Interagency OPSEC Support Staff (IOSS) per identificare, controllare e proteggere le informazioni delle operazioni militari USA. In generale, l'OPSEC è proteggere singole informazioni critiche essenziali a comandanti militari, alti dirigenti, manager e organi decisionali, prevedendo delle misure per contrastare/eliminare potenziali attività avversarie dannose (es. crittografia email, precauzioni contro un'eventuale sorveglianza, ecc.), applicandolo così anche nel settore privato col Controspionaggio Aziendale. L'OPSEC è un processo sistematico e collaudato che permette di guardare sé stessi con gli occhi dell'avversario, e implica 5 fasi:

 1) Identificare le informazioni critiche da proteggere da cui l'avversario può trarne notevoli vantaggi.

2) Analizzare potenziali minacce da avversari che potrebbero rilevare e sfruttare vulnerabilità.

3) Individuare vulnerabilità dell'azienda e determinare quanto facilmente l'avversario possa acquisire informazioni a riguardo.

4) Determinare se le vulnerabilità possano richiedere contromisure.

5) Applicare contromisure appropriate, impedendo che l'avversario sfrutti le vulnerabilità.

 

INFOSEC (Information Security): la sicurezza è la necessità primaria, sia quando si tratta di operazioni militari/di intelligence sia nel business civile privato quando un'azienda tenta di evitare possibili atti di spionaggio o sabotaggio da parte della concorrenza a danno della propria attività e immagine. Questo ampio concetto è relativo alla tutela di informazioni, notizie, ecc. e relativa sicurezza nella loro ricezione/trasmissione. Si applica per garantire sempre, attraverso specifiche procedure, la totale sicurezza delle varie informazioni con l'attuazione di apposite norme su archiviazione, consultazione e tenuta di documenti “classificati” (cartacei, elettronici, fotografici, magnetici), la tutela delle informazioni contenute all'interno (Segreto Militare/di Stato/Aziendale di ogni grado e classificazione di segretezza) e la protezione della loro comunicazione (telefono/radio/computer/sistema cifrante), mitigandone i rischi. Costituisce parte dell'Information Risk Management, andando a prevenire/ridurre la probabilità di accessi inappropriati non autorizzati a dati o loro utilizzo illecito, rivelazione, interruzione, cancellazione, corruzione, modifica, ispezione, registrazione, svalutazione dell'informazione, con azioni tese a ridurre gli impatti avversi di tali incidenti.

 

Le informazioni protette possono avere ogni forma, come elettronica o fisica, tangibile (documenti cartacei) o intangibile (conoscenza); il focus primario dell'INFOSEC è la protezione bilanciata di riservatezza, integrità e reperibilità dei dati, attuando “policy” efficienti senza ostacolare la produttività dell'organizzazione. Tutto ciò si realizza attraverso un processo strutturato di risk management che implica:

1) Identificare informazioni e relativi assetti, potenziali minacce, vulnerabilità e impatti.

2) Valutare i rischi.

3) Decidere come affrontare/trattare i rischi (evitarli, mitigarli, condividerli, accettarli?).

4) Dove è richiesta la mitigazione del rischio, selezionando o progettando adeguati controlli di sicurezza e applicandoli.

5) Monitorare le attività, con le modifiche necessarie per eventuali problemi, cambiamenti e opportunità di miglioramento.