Security Convergence, intervista al CTO Axitea Maurizio Tondi

Security Convergence, intervista al CTO Axitea Maurizio Tondi

Intervistiamo Maurizio Tondi, Chief Technology Officer di Axitea, per approfondire le tematiche relative alla convergenza in ambito security.

- Security Convergence, come declinate questo concetto? Quali vantaggi comporta?
La security convergence può essere definita come un insieme di processi che integra tutte le attività, procedure e programmi dedicati alla protezione degli asset aziendali e organizzativi. Fino a poco tempo fa, sicurezza fisica e logica venivano gestite da funzioni diverse. Oggi, l’individuazione delle interdipendenze che esistono fra le funzioni di business e i relativi processi ha portato allo sviluppo di un approccio più olistico del Security Management ed è ormai fondamentale, soprattutto per le grandi organizzazioni, operare con una strategia allargata che tenga conto e includa tutte le aree di rischio.

I vantaggi legati all’adozione di un percorso di security convergence sono quindi tesi ad eliminare i “silos”, ovvero le strutture verticali che oggi gestiscono rispettivamente sicurezza fisica e cyber a favore di un modello convergente per analisi, gestione degli incidenti e degli interventi. I benefici sono numerosi e tangibili e fanno riferimento alla maggiore visibilità rispetto ad attacchi informatici ed incidenti di sicurezza, ma anche a guasti, disservizi e malfunzionamenti di ogni tipo. Questo porta con sé livelli superiori di velocità ed accuratezza nelle procedure di intervento, remediation e reporting, efficienza nella riduzione della duplicazione delle risorse impegnate e trasversalità e versatilità dei profili professionali impiegati nelle attività di gestione della sicurezza.

- Per implementare una reale convergenza è necessario intervenire in tre aree operative: risorse umane, tecnologia e organizzazione. Come si concretizza tutto questo secondo la vostra visione?
Sono certamente possibili diverse implementazioni del paradigma di Security Convergence che sfruttano differenti metodologie, ma tutte insistono su tre direttrici che devono tenere in considerazione: l’ambito delle risorse umane ed economiche, attraverso lo sviluppo di team multidisciplinari con una formazione a 360 gradi, eventualmente supportate da terze parti specializzate nell’ambito della gestione integrata della sicurezza; l’area tecnologia e basi dati, che devono essere arricchite e integrate con l’adozione di tecnologie di interpretazione dei dati (AI) e potenziate con nuovi sistemi di identificazione, rispristino e response, in grado di operare sulle potenziali minacce riguardanti sia gli asset fisici sia digitali; infine, l’area organizzazione e gestione, attraverso l’adozione di un modello organizzativo trasversale e fortemente integrato soprattutto nei processi decisionali.
Oltre alla convergenza, è fondamentale qui il concetto di correlazione. In particolar modo, i sistemi di analisi devono poter comunicare per mettere in relazione tra loro i singoli eventi che, presi singolarmente, possono avere un impatto limitato su sicurezza e operatività aziendali ma, all’interno di uno scenario più ampio, possono essere un segnale significativo di rischio.
Il grande vantaggio nell’avere un singolo punto di ownership per tutti gli aspetti di security di un’organizzazione è che un’unica funzione assume la responsabilità sia della protezione degli asset fisici sia di quelli intangibili, così come per la crescente complessità degli aspetti di compliance, anche e soprattutto in vista dell’imminente entrata in vigore della nuova normativa GDPR – che tra i suoi pilastri chiave annovera i concetti di visibilità e responsabilità.

- Security Convergence e GDPR, come si combinano questi due elementi?
Come sappiamo, il GDPR impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei imponendo una forte interazione tra meccanismi e procedure per la protezione dei dati e le necessarie policy per la loro gestione ed amministrazione. Inoltre, permangono aree non ben definite sulla corretta attribuzione di responsabilità tra Chief Information Officer (CIO), Chief Information Security Officer (CISO) e Chief Data Officer (CDO); è evidente come l’approccio metodologico e, soprattutto, l’implementazione che ne consegue in termini di gestione integrata di dati e di info aziendali, unita alla spinta verso una trasversalità della gestione della sicurezza regolata da SLA (Service Level Agreement) che la security convergence induce, rappresenti una forte sinergia.

- La proposta di convergenza in ambito sicurezza percorre certamente la strada corretta, come rispondono clienti e aziende alle vostre sollecitazioni?
È opportuno distinguere diversi contesti, quello delle grandi imprese e quello delle PMI. Le seconde scontano una differente maturità e cultura della sicurezza, nonché budget e risorse più limitate. Ma paradossalmente saranno proprio queste a beneficiare di un ambiente convergente della sicurezza, perché ancora devono affrontare uno dei temi centrali che è quello rappresentato dall’integrazione tecnologica, o in alcuni casi dall’opportunità di creare green field, o sistemi di sicurezza convergenti, e mi riferisco allo PSIM (Physical Security Information Management) e al VMS (Video Management System), non ancora diffusi.
Viceversa le grandi aziende hanno da tempo affrontato una strategia di risk management, di cui la security convergence è una declinazione attualizzata dall’accelerazione nei processi di integrazione a seguito di merge & acquisition, dai mutati scenari di cooperazione inter-extra organizzativa, dall’opportunità di applicare modelli innovativi multiservizio. In tutti i casi, e con evidenti differenze nella complessità di analisi e di realizzazione, inizia ad esistere una consapevolezza più diffusa sulla necessità di applicare concretamente i paradigmi della security convergence come strategia di lungo periodo nella protezione integrata da rischi, minacce e vulnerabilità fisico-logiche.

- Quali Global Security Provider, siete in grado di rispondere a ogni esigenza di sicurezza delle aziende e di progettare soluzione “tailor made”. Potete indicarci il percorso progettuale che viene adottato, le diverse fasi di attuazione e almeno un esempio di attività realizzata con relativi vantaggi operativi?
Uno dei percorsi funzionali alla Security Convergence si basa su un approccio modulare ed incrementale costruito su tre step (integrazione, collaborazione e definitiva convergenza). La fase di integrazione ha l’obiettivo di elevare la qualità del monitoraggio fisico, attraverso un’aumentata capacità di analisi delle minacce integrate.
La seconda fase è quella della collaborazione, dove definire un processo di incident & crisis management basato su fonti di intelligenza integrate, che includano le più diversificate fonti di informazione, i social media, il web, internet e IT che possono evidentemente rappresentare vettori di attacco verso la sicurezza fisica.
La terza fase è quella della realizzazione della piena convergenza: il Security Operation Center (SOC) evolve verso la comunicazione integrata, unificata e multimediale per tutte le fonti di informazione, dove un solo punto di controllo è in grado di interagire e comunicare con tutti gli stakeholder interni ed esterni.

Un esempio significativo può essere il caso del settore bancario, ancora parzialmente organizzato a silos, con isole tecnologico-funzionali risultato del retaggio di merge & acquisition in cui è più evidente l’asincronia tra la maturità delle tecnologie informatiche rispetto a quelle fisiche, è qui che un Global Security Provider, come Axitea, può fornire significativi contributi nella migrazione verso un modello più integrato e collaborativo.