A cura di Rosa Formisano - Security Manager della RMS SECURITY SERVICE
SECURITY MANAGER: SECURITY, SAFETY AND EMERGENCY
La figura del “Security Manager”, conosciuta anche come “esperto della sicurezza”, rappresenta il riferimento per l’organizzazione, la gestione e l’assunzione di responsabilità della sicurezza di un’azienda ed ha come obiettivo fondamentale la protezione del business.
È in grado di agire in ogni ramo dell’impresa, offrendo così un importante contributo professionale a quest’ultima. Il ruolo del “Security Manager” è cruciale in un’epoca in cui la sicurezza informatica è diventata una priorità per le organizzazioni di ogni dimensione. Esploreremo dunque, l’importanza di quest’ultimo, le sue responsabilità principali, le competenze richieste e la rilevanza del suo contributo nell’assicurare la protezione dei dati e delle risorse aziendali. Le responsabilità del “Security Manager” possono variare a seconda delle dimensioni e della complessità dell’organizzazione ma in linea generale includono:
1. Sviluppo di Politiche di Sicurezza: Il “Security Manager” è responsabile della definizione e dell’implementazione delle politiche di sicurezza informatica
dell’azienda, assicurandosi che siano conformi alle normative vigenti e alle best practices del settore.
2. Gestione dei rischi: Identificare, valutare e mitigare i rischi per la sicurezza
informatica dell’organizzazione è una delle principali responsabilità del “Security Manager”. Questo può includere la valutazione delle vulnerabilità dei sistemi e la gestione degli incidenti di sicurezza.
3. Implementazione di Misure di Sicurezza: Il “Security Manager” è incaricato di implementare e gestire le misure di sicurezza tecnologiche e procedurali, come
firewall, sistemi di rilevamento delle intrusioni, autenticazione a due fattori e politiche di accesso.
4. Sensibilizzazione alla Sicurezza: Educare i dipendenti sull’importanza della sicurezza informatica e fornire formazione sulle migliori pratiche è un’altra responsabilità critica del “Security Manager”. Questo aiuta a ridurre il rischio di violazioni causate da errori umani.
5. Conformità normativa: Assicurarsi che l’organizzazione sia conforme alle normative di sicurezza informatica pertinenti è fondamentale per il “Security
Manager”. Ciò può includere uno sguardo ad importante documentazione come GDPR, HIPAA o ISO 27001.
Il ruolo del “Security Manager” richiede, inoltre, una combinazione di competenze tecniche, manageriali e comunicative. Alcune di queste includono a loro volta:
1. Conoscenza Tecnica: Competenza nell’implementazione e nella gestione di tecnologie e strumenti di sicurezza informatica, nonché una comprensione approfondita delle minacce e delle tecniche di attacco comuni.
2. Capacità Manageriali: Abilità di leadership per guidare il team di sicurezza e collaborare con altri dipartimenti all’interno dell’organizzazione per implementare efficacemente le politiche di sicurezza.
3. Pensiero Strategico: Capacità di sviluppare e implementare strategie di sicurezza informatica a lungo termine che tengano conto delle esigenze e degli obiettivi aziendali.
4. Comunicazione Efficace: Essere in grado di comunicare in modo chiaro e persuasivo con i dipendenti, i dirigenti e altre parti interessate sull’importanza della sicurezza informatica e sulle misure necessarie per proteggere l’azienda.
In un’epoca in cui le minacce informatiche sono in costante evoluzione e sempre più sofisticate, il ruolo del “Security Manager” è cruciale per proteggere le organizzazioni da potenziali danni finanziari, reputazionali e legali causati da violazioni della sicurezza informatica. Di fatti, investire nelle competenze e nelle risorse necessarie per supportare il ruolo di “Security Manager” è essenziale per garantire la sicurezza e la continuità operativa dell’azienda. Non a caso, al ruolo di “Security Manager” è strettamente connesso il concetto di sicurezza, nel senso più ampio, il quale coincide pienamente con la politica del safety, security and emergency.
Per quanto concerne la politica della security, il “Security Manager” è responsabile di garantire la sicurezza delle persone, delle proprietà e delle informazioni all’interno di un’organizzazione. Questo coinvolge la valutazione e la gestione dei rischi,
l’implementazione di misure preventive e reattive, nonché la supervisione delle operazioni quotidiane di sicurezza. Inoltre, il “Security Manager” sviluppa ed implementa politiche e procedure di sicurezza, coordina la sorveglianza e la vigilanza e fornisce formazione al personale per aumentare la consapevolezza e la prontezza in caso di minaccia.
Inerente al concetto di safety e dunque di protezione, lo sguardo si posa sugli asset critici, i quali rappresentano un’altra componente essenziale del ruolo del “Security Manager”. Questo include la protezione fisica degli edifici e delle infrastrutture, nonché la protezione delle informazioni sensibili e dei sistemi informatici
dall’accesso non autorizzato e da eventuali attacchi informatici. Il “Security Manager” sviluppa ed implementa sistemi di accesso e controllo, garantisce la sicurezza delle reti informatiche e collabora con le autorità competenti per proteggere l’organizzazione da minacce esterne e interne.
In riferimento invece alla Gestione delle Emergenze, quest’ultimo punto rappresenta un elemento cruciale del ruolo del “Security Manager”. In caso di incidenti, catastrofi naturali o minacce immediate, deve essere in grado di coordinare una risposta rapida ed efficace per proteggere le persone e le risorse dell’organizzazione. Questo include la preparazione di piani di emergenza, l’organizzazione di esercitazioni e simulazioni, nonché la gestione delle comunicazioni durante un’emergenza per garantire un flusso di informazioni accurato e tempestivo.
Risulta dunque fondamentale il suo ruolo per garantire la sicurezza, la protezione e la gestione delle emergenze all’interno delle organizzazioni. Attraverso la valutazione dei rischi, l’implementazione di misure preventive e reattive e la gestione efficace delle emergenze, la sua figura contribuisce a creare un ambiente sicuro e protetto per le persone e le attività dell’organizzazione. La sua competenza e la sua prontezza
nell’affrontare le sfide della sicurezza e delle emergenze sono cruciali per il successo e la resilienza dell’organizzazione nel contesto attuale.
Analogamente, quando si parla d’impresa, con la parola rischio ci si riferisce ad un concetto collegato strettamente all’economia, alla finanza e al patrimonio di quest’ultima. Entra in gioco così un’altra caratteristica fondamentale connessa al “Security Manager” all’interno di un’azienda, il Risk Management.
Il Risk Management è inteso come una vera e propria analisi del rischio globale con eventuale stipula della strategia di gestione e controllo del rischio stesso nonché l’identificazione e la valutazione di quest’ultimo, in particolar modo qualora si dovesse venire a verificare. Particolare attenzione, dunque, dovrebbe essere rivolta al DVR, o meglio conosciuto come “documento di valutazione dei rischi”, il quale contiene relazioni sulla valutazione di tutti i rischi per la sicurezza ed al quale spesso fa riferimento il “Security Manager”; lo scopo, infatti, è quello di specificare eventuali indicazioni sulle misure di prevenzione e di protezione attuate.
I principi del Risk Management applicati dal “Security Manager” sono:
1. Identificazione dei Rischi: Il “Security Manager” conduce un’analisi dettagliata per individuare i potenziali rischi, incluse minacce interne ed esterne, vulnerabilità dei sistemi ed altre esposizioni alla sicurezza.
2. Valutazione dei Rischi: Una volta individuati, i rischi vengono valutati in base alla loro probabilità di accadimento e all’impatto che potrebbero avere
sull’organizzazione. Il “Security Manager” utilizza metodologie e strumenti specifici per calcolare il livello di rischio associato a ciascuna minaccia.
3. Mitigazione dei Rischi: Dopo aver valutato i rischi, il “Security Manager” sviluppa ed implementa una strategia di mitigazione per ridurre al minimo
l’esposizione agli stessi. Queste strategie possono includere l’adozione di controlli di sicurezza tecnologici, l’implementazione di politiche e procedure aziendali, la formazione del personale e altre misure preventive.
4. Monitoraggio e gestione continua: Il “Security Manager” monitora costantemente l’efficacia delle strategie di mitigazione e apporta eventuali aggiornamenti o miglioramenti in risposta all’evoluzione delle minacce e dei requisiti aziendali.
Dunque, possiamo dedurre che lo scopo principale dell’analisi e della valutazione dei rischi è proprio la gestione degli stessi. Un ottimo modello di gestione della qualità e del miglioramento operativo ed organizzativo da seguire è il PDCA (Plan, Do, Check, Act), il quale si basa su quattro fasi iterative “pianificare, fare, verificare ed agire”.
Rappresenta un importante metodo sistemico per affrontare i problemi e migliorare i processi. In materia di prevenzione, intesa come un insieme di azioni e misure volte ad evitare o ridurre il rischio di insorgenza di determinati eventi negativi, abbiamo certamente quella di carattere tecnico, la quale prevede l’adozione di dispositivi di sicurezza, costante manutenzione, controlli sul luogo di lavoro ed una particolare
attenzione alla segnaletica; quella di carattere formativo, che prevede costanti corsi di formazione ed esercitazioni per ridurre al minimo l’esposizione ad eventuali rischi; quella di carattere organizzativo, che prevede l’adozione di specifiche norme e comportamenti da adottare sul luogo di lavoro. A prescindere dalla metodologia
utilizzata, esistono molti elementi e passaggi che accomunano i diversi modelli organizzativi e che hanno le stesse finalità, ovvero definire le minacce, calcolare i rischi e valutarne gli accettabili livelli definendo dunque delle contromisure che permettono di mantenere il rischio entro questi ultimi ben definiti. Di fatti, entra così in atto la risk analysis, definita anche come analisi della vulnerabilità, la quale si
utilizza per neutralizzare le eventuali minacce. In particolar modo, le fasi dell’analisi del rischio includono la valutazione delle vulnerabilità dei sistemi, l’identificazione
delle minacce, la stima delle probabilità di accadimento degli eventi dannosi e la valutazione delle conseguenze di tali eventi. Basandoci su queste informazioni, vengono sviluppate strategie di mitigazione del rischio, che possono includere
l’implementazione di controlli di sicurezza tecnologici, la formazione del personale e la definizione di procedure di risposta agli incidenti.
Esistono diverse metodologie per condurre un’analisi del rischio, tra cui:
1. Metodo Qualitativo: si basa sull’esperienza e sull’expertise degli analisti per valutare i rischi senza utilizzare dati quantitativi.
2. Metodo Quantitativo: si basa sull’utilizzo di dati quantitativi per valutare i rischi, ad esempio utilizzando modelli matematici per calcolare la probabilità di accadimento degli eventi dannosi e le relative perdite finanziarie.
3. Metodo Semi-Quantitativo: combina elementi qualitativi e quantitativi per valutare i rischi in modo più accurato, utilizzando ad esempio scale di valutazione qualitative associate e dati quantitativi.
Infine, possiamo affermare che il ruolo del “Security Manager” all’interno delle aziende è diventato indispensabile per garantire la sicurezza e proteggere gli interessi dell’impresa, dei suoi dipendenti e dei suoi Clienti.
Attraverso la sua leadership, competenza e visione strategica, il “Security Manager” è in grado di mitigare i rischi, promuovere una cultura della sicurezza e assicurare che l’azienda sia preparata ad affrontare le sfide della sicurezza in un futuro sempre più complesso e interconnesso. Investire nella figura del “Security Manager” è quindi essenziale per il successo e la sostenibilità delle aziende nell’era digitale.
Tesi a cura della Sig.ra Rosa Formisano
