La sempre più ampia presenza di tecnologia internet of things, quindi di oggetti connessi in rete, sta facendo apparentemente sfumare i confini tra realtà fisica e digitale.
In questo contesto l’attività di security va sempre più indirizzata alla protezione di sistemi complessi e non più di singole tipologie di asset.
Sicurezza fisica baluardo degli asset virtuali
Del resto, il bisogno di protezione degli asset informativi digitali dovuto alle esigenze di continuità operativa dei servizi erogati e finalizzato a garantirne disponibilità, integrità e riservatezza è sempre più pregnante nel tessuto socioeconomico odierno ed è pertanto diventato prioritario sostenere investimenti e sviluppi organizzativi finalizzati a elevare i livelli di sicurezza informatica. Questo è ancora più vero se facciamo una analisi dello scenario geopolitico attuale.
Di contro, però, appare a volte demodé concentrarsi sugli aspetti più “classici” di sicurezza fisica, intendendo come tale l’insieme di normative, policy, procedure, best practice finalizzate alla protezione di building, locali, del controllo degli accessi.
Sicuramente lo sviluppo accelerato delle dinamiche e degli assetti informativi digitali ha determinato una naturale concentrazione degli sforzi in quella direzione ma, allo stesso tempo, è assolutamente necessario riconsiderare l’importanza strategica della sicurezza fisica, secondo una vision aggiornata e moderna ma soprattutto integrata, in quanto la sicurezza fisica resta il baluardo a difesa di qualsiasi struttura che rende possibile l’esistenza di un asset “virtuale”.
Costruire un legame tra sicurezza fisica e cyber
Se per security si intende l’insieme di procedure, processi, tecnologie ed elementi fisici volte alla prevenzione di attività dolose in danno di persone o cose, la Cybersecurity è definibile come una particolare branca della Security costituita dall’insieme di procedure, mezzi e tecnologie per la protezione dei sistemi informativi al fine di garantirne disponibilità, confidenzialità e integrità.
Costruire un efficace legame procedurale e una completa integrazione tra i settori della sicurezza fisica e cyber costituisce la chiave di volta in termini di incremento del livello di protezione e di resilienza dell’organizzazione intera.
Se da un lato i sistemi di videosorveglianza e controllo accessi sono tipologie di impianti particolarmente diffusi per la protezione da atti illeciti e non solo, spesso non sono adeguatamente protetti dal rischio di minacce cyber. D’altro canto la sicurezza dei locali che ospitano datacenter, server, sistemi informativi in genere deve essere garantita da misure di sicurezza fisica adeguatamente efficaci.
Esempi scolastici di questa interdipendenza tra le due aree della security possono essere rappresentati banalmente da un software di gestione di controllo accessi e un CED: il primo deve essere protetto da minacce informatiche che possono minarne l’operatività così come essere veicolo di sabotaggi così come il secondo deve essere ospitato in un locale che abbia determinate caratteristiche costruttive, dotato di un sistema antintrusione e di controllo accessi etc.
Questa interdipendenza è spesso riconosciuta anche a livello normativo: basti pensare alle prescrizioni di sicurezza fisica presenti nella ISO 27001, nei framework di cybersecurity (NIST, cybersecurity framework nazionale, direttiva NIS etc.), nelle normative bancarie (DORA, circolare 285) dove unitamente alle prescrizioni di sicurezza informatica, logica e di continuità operativa troviamo una serie dettagliata di requisiti di sicurezza fisica che devono essere garantiti.
Accade meno spesso il contrario, ovvero che normative nate come strettamente di sicurezza fisica, diano prescrizioni in materia di sicurezza informatica: la CEI 79-3 e la EN 50131 non forniscono prescrizioni, ad esempio, su quelli che potrebbero essere i requisiti, anche di massima, dei software di gestione degli impianti TVCC o antintrusione. Qualche accenno lo troviamo invece nella EN 50600 relativa alle misure di sicurezza per i datacenter.
Evitare la disconnessione tra sicurezza fisica e digitale
L’obiettivo fondamentale di ogni organizzazione, pubblica o privata che sia, è evitare la pericolosa “disconnessione” procedurale e operativa tra questi due settori, derivante per lo più, dal lato “cyber”, da una limitata capacità di comprendere fino in fondo i criteri di protezione degli asset hardware/fisici, mentre dal lato “physical security”, dall’assenza di adeguato expertise informatico e mancanza di condivisione di aspetti gestionali.
Se è vero che al perimetro di sicurezza fisica appartengono i dispositivi elettronici “operativi” (antintrusione, videosorveglianza, controllo accessi, etc), quello logico governa l’intera infrastruttura funzionale.
Queste problematiche di comunicazione tra le due aree sono state paradossalmente aggravate dall’avvento della sensoristica IoT in quanto, se è vero che l’impiego di dispositivi IoT nei sistemi di sicurezza integrata ha migliorato le performance dei sistemi stessi (videosorveglianza, biometria, antintrusione) d’altro canto ha dato la falsa impressione, dovuta dall’assistere all’impiego di sistemi di sicurezza fisica informaticamente evoluti, di una avvenuta interconnessione completa tra i due mondi che, in realtà, è possibile solo laddove si costituisca una cultura della sicurezza condivisa nelle due aree che porti a una direzione coordinata delle stesse da parte di un Security Manager adeguatamente sensibile e formato.
Conclusioni
In questi termini la normativa UNI 10459 è particolarmente significativa in quanto concentra e fonde le varie competenze richieste ad un Security Manager spaziando da quelle di competenza fisica, al risk management, alle investigazioni, ai rischi informatici etc., delineando quindi un quadro di requisiti trasversali che favoriscono l’integrazione tra le diverse aree di competenza.
Ciononostante sebbene vi sia sempre maggiore interdipendenza tra la sfera dell’information technology e quella della physical security, il disallineamento e la mancata integrazione restano piuttosto evidenti.
