Convergenţa între securitatea fizică şi cea logică este un subiect care, în ultimii ani, a ţinut prima pagină a revistelor specializate în IT şi a devenit o problemă asociată proceselor de management la nivel global. Întrucât pentru companiile leaderi ale pieţelor acest element pare să fie deja integrat în politicile manageriale implementate, nu stăm atât de bine în ceea ce priveşte IMM-urile. Este, de asemenea, de reţinut faptul că multinaţionalele cu o puternică structură ICT, precum cele din domeniile financiar-bancar, telecomunicaţii, IT sunt foarte bine conectate la această tendinţă de convergenţă, pe când sectorul industrial acumulează întârzieri semnificative în implementarea politicilor asociate acestui proces de convergenţă.
Însă faptele pot fi văzute şi altfel, iar personal reţin că există o confuzie în raport cu această convergenţă, existând mai multe opinii divergente, de regulă acestea venind din domenii de expertiză diferite. Un exemplu concret îl reprezintă divergenţele majore de opinie între experţii în securitate fizică şi cei în securitate logică, referitoare la convergenţa conceptului de securitate. O altă sursă de opinii contrare o reprezintă percepţia proprie asupra securităţii, astfel că, persoane diferite, atât din mediul intern, cât şi extern unei organizaţii, pot ajunge să aibă o interpretare proprie bazată pe experienţă, total opusă versiunii formale a firmei.
Aşteptările unora sau altora des-pre convergenţă sunt diferite, în special raportat la obiectivele finale ale acestui proces - starea de securitate cibernetică, sau beneficiile directe (financiare) şi indirecte (eficienţă structurală sporită).
Prima provocare în definirea convergenţei este reprezentată de identificarea structurilor care converg, existând situaţii în care procesele converg, dar şi situaţii în care, în final, vorbim despre integrare.
În multe cazuri, convergenţa se realizează pentru conformitate organizaţională, fără o planificare sistemică reală, generând astfel noi funcţii (ca rezultat al convergenţei) insuficient descrise sau pentru al căror management organizaţia nu înţelege profilul profesional necesar.
• Securitatea fizică, această necunoscută!
O primă etapă care trebuie clarificată este cea a structurilor care converg, funcţiile şi poziţionarea acestora în cadrul organizaţional dat. La nivelul multinaţionalelor, conceptul utilizat este securitate corporativă, care integrează componentele de securitate fizică, securitate informatică şi cea procedurală. Deşi scopul acestui articol nu vizează aspecte de management corporatist, trebuie menţionat faptul că un element important este reprezentat de poziţionarea procesului managerial ce asigură securitatea corporatistă în cadrul organizaţiei, astfel că, importanţa acordată acestei funcţii poate oferi viziuni, responsabilităţi şi influenţă strategică extinsă sau dimpotrivă restrânse, persoanei care va asigura această funcţie.
Activităţile aferente asigurării securităţii lanţului de aprovizionare, protecţiei infrastructurilor critice, managementul fraudelor, protecţia executivilor şi securitatea reputaţională, cele privind sectorul de business intelligence sunt câteva dintre cele pe care se concentrează domeniul securităţii corporatiste. Merită menţionate şi complementarităţile cu alte funcţii interne, cum ar fi activitatea de management în domeniul resurselor umane, audit intern şi managementul riscurilor.
Astfel, este de analizat tendinţele de convergenţă limitată sau completă a acestor funcţii.
Fiecare dintre aceste probleme şi provocări adresate domeniului securităţii corporatiste au şi componente ce vizează securitatea tehnologiei informaţiei şi comunicaţiilor.
În consecinţă, sunt multe ameninţări cibernetice care trebuie cunoscute şi monitorizate, datorită consecinţelor pe care le generează în lumea reală. Aceste ameninţări generează riscuri semnificative la adresa angajaţilor sau infrastructurilor utilizate de întreaga organizaţie, riscuri de fraude şi de afectare pe termen lung a veniturilor companiei, fraude în lanţul de aprovizionare sau sincope în asigurarea continuităţii acestuia cu consecinţe asupra obiectivelor de business etc.
Toate acestea adresează provocări serioase asupra gradului necesar de convergenţă între diversele paliere ale securităţii corporatiste, în vederea asigurării obiectivelor asumate la nivelul actului managerial.
Securitatea cibernetică a apărut ca proces managerial identificat de către antreprenori ca fiind necesar şi critic, pe fondul creşterii accentuate a numărului şi complexităţii atacurilor cibernetice.
Ca o consecinţă a transferului continuu de informaţii în lumea virtuală şi implicit, creşterea valorii proprietăţii intelectuale online şi a dependenţei companiilor de componenta informatică, responsabilii cu securitatea cibernetică au sarcina de a proteja valoarea informaţiilor din spaţiul virtual care aparţin firmei - information value chain, precum şi infrastructurile critice utilizate pentru producţie şi/sau gestiune, acestea devenind din ce în ce mai importante în mediul de afaceri.
Astfel, a apărut şi se află într-un proces continuu de maturizare funcţia de Chief Information Security Officer - CISO. Asimetria ameninţărilor cibernetice la adresa informaţiei şi/sau infrastructurii critice aparţinând companiei au dat acestei funcţii, parte a procesului de asigurare a securităţii corporatiste, un rol transversal şi de suport pentru toate activităţile relevante din cadrul oricărei companii adaptate realităţilor lumii contemporane. Însă, de fapt această func-ţie este dependentă de structura IT a companiei şi nu beneficiază de o independenţă faţă de această componentă tehnologică şi operaţională, aşa cum şi-ar dori asociaţiile profesionale în domeniu.
Ca şi în exemplul anterior, poziţiile şi atribuţiile în organigrama firmelor ale funcţiilor de CTO - Chief Technology Officer şi CISO vor asigura valoarea viziunii strategice de management corporatist şi limitele acestor poziţii în sine.
Astfel, provocarea ce va trebui să fie rezolvată în domeniul securităţii corporatiste este:
Convergenţă sau integrare?
Pentru a converge, se înţelege că două elemente (structuri) se vor mişca către un punct comun. Se poate presupune o mişcare către un punct comun echidistant, dar nu este o conditio sine qua non.
În termeni antreprenoriali, am putea să spunem că ambele structuri vor trebui să facă paşi comuni pentru a defini şi a atinge o nouă stare care va fi diferită faţă de starea actuală. O convergenţă în a trata riscuri asimetrice şi transversale a cărui intreprindere trebuie să le răspundă este definită ca o metodologie unică care poate să fie atribuită unei singure funcţii sau structuri.
În ceea ce priveşte integrarea, putem să definim acest proces ca o acţiune a unei structuri care va absorbi (integra) în mod total sau parţial o altă structură, ca de exemplu o structură juridică care integrează serviciul de conformitate (compliance) din cadrul unei companii.
În domeniul securităţii, se vorbeşte tot mai des despre convergenţa dintre domeniul securităţii fizice şi cel al securităţii cibernetice. În ceea ce mă priveşte, am observat, în ultimii ani, o integrare din ce în ce mai evidentă, stricto sensu, a sistemelor de securitate fizică (ex: CCTV, control acces, sisteme de comandă şi control etc) la nivelul infrastructurilor IT&C ale companiilor.
Evoluţia tehnologică şi de piaţă a sistemelor complexe bazate pe infrastructuri IP, au determinat convergenţa din ce în ce mai evidentă a infrastructurilor destinate asigurării securităţii fizice cu cele destinate asigurării serviciilor de comunicaţii electronice şi tehnologiei informaţiei.
Iniţial, au fost create reţele de tip LAN - Local Area Network separate destinate elementelor de infrastructură de securitate fizică, însă pe fondul creşterii complexităţii tehnice şi dimensiunii, administrarea separată a acestei infrastructuri nu mai este sustenabilă. Astăzi tehnologia permite crearea de reţele locale virtuale de tip VLAN multiple în cadrul aceleiaşi reţele locale fizice de tip LAN.
Deşi utilizarea VLAN-urilor pentru scopuri diferite susţin procese organizaţionale diferite, administrarea elementelor de infrastructură fizică devine unică, ca de altfel şi managementul riscurilor de securitate cibernetică, ce pot fi generate şi de vulnerabilităţile prezente la nivelul sistemelor tehnice destinate asigurării securităţii fizice.
De aici se naşte prima dilemă. Protecţia infrastrucurii şi utilizarea unei infrastructuri comune nu generează neapărat convergenţă, însă reprezintă, cu certitudine, o dovadă privind integrarea funcţiei de securitate fizică prin utilizarea celor mai moderne platforme care utilizează tehnologii de tip IP. În fapt, securitatea fizică reprezintă unul dintre ultimele procese organizaţionale care profită din plin de evoluţia tehnologică şi integrarea unor platforme tehnice care înainte nu comunicau direct.
Se poate exemplifica, de exemplu utilizarea unei platforme unice de management al identităţii electronice, atât pentru structura de resurse umane, structura de securitate fizică pentru controlul accesului în diferite spaţii şi structura de IT pentru asigurarea accesului şi drepturilor de acces la reţeaua informatică şi la aplicaţiile companiei.
Astfel, o serie de start-up-uri noi în domeniul securităţii fizice furnizează pe piaţa privată o serie de produse şi servicii care în trecut erau disponibile numai în domeniile apărării şi aplicării legii.
Sistemele juridice la nivel global sunt chiar preocupate din ce în ce mai mult să asigure protecţia cetăţenilor împotriva potenţialei utilizări necontrolate a acestor noi capabilităţi disponibile pe piaţa liberă. Spre exemplificare, merită menţionate utilizarea dronelor civile, aeriene sau terestre, a capabilităţilor de monitorizare web şi filtrare de conţinut online pentru obiective de business intelligence, precum şi fenomenul de creştere a utilizării reţelelor sociale şi complexitatea funcţiilor oferite de acestea.
Atunci ce converge?
Nu cred că se poate vorbi despre convergenţă în sensul larg dacă, de fapt, observăm o simplă integrare a unor procese similare care până în prezent erau replicate şi neconectate între ele. Aş îndrăzni chiar să afirm că putem vorbi de un efect al nevoii de eficientizare a organizaţiilor şi nevoii de creştere a productivităţii.
Însă, aşa cum am menţionat mai sus, creşterea exponenţială a numărului şi complexităţii atacurilor informatice asupra sistemelor informatice de interes public determină necesitatea de a regândi strategiile de prevenire, identificare şi blocare a acestora, în cadrul proceselor de management al riscurilor. Va fi interesant de urmărit evoluţia acestor abordări într-un mediu dominat de contradicţii conceptuale şi de viziuni diferite. Este rolul statelor să asigure protecţia sau firmele trebuie să-şi asume total această responsabilitate? Aceste discuţii sunt influenţate permanent de elemente dogmatice şi legate de conceptul de stat de drept, care, într-o lume aflată în plin proces de virtualizare, se confruntă cu provocări inedite, din ce în ce mai complicate.
Cred că, în situaţii particulare, putem evidenţia elemente de convergenţă organizaţională atunci când securitatea corporatistă integrează funcţia de CISO, devenind în fapt funcţia de securitate a întregii infrastructuri utilizate de companie, a lanţului de aprovizionare, a informaţiei de valoare pentru business - information value chain, inclusiv cea a infrastructurii IT&C.
În prezent, nu foarte multe companii mari au reuşit scoaterea funcţiei de CISO din cadrul structurii IT&C, această structură păstrându-şi astfel eficienţa, dar şi caracterul pur defensiv.
Luca Tenzi este un expert în securitate corporate, cu 15 ani de experienţă în companii din Fortune 500. A condus operaţiuni de securitate în medii diverse. Experienţa sa acoperă mai multe sectoare, incluzând producţie, IT&C şi instituţii financiare. Luca a lucrat şi a locuit în Europa, Africa, Orientul Apropiat şi America Latină, specializându-se în evaluări de risc la nivel de ţară şi în management în zone cu risc ridicat, cum ar fi Venezuela, Irak şi Libia. Luca este un gânditor strategic inovator şi are o istorie bogată de colaborări cu o mare diversitate de stakeholder-i în business şi securitate din lumea întreagă. Om de echipă şi mentor pasionat, empatic cultural şi cu abilităţi diplomatice, a condus implementarea şi managementul unor strategii de securitate globale, programe de reducere a riscurilor şi prevenirea pierderilor. A acţionat ca director de securitate delegat, responsabil pentru securitatea operaţiunilor şi management de criză. Azi, este consultant strategic la AIEA (Agenţia Internaţională pentru Energie Atomică).