PRIMO PIANO

Resilienza al tempo
delle cyber-war
Counterintelligence per le
infrastrutture critiche nazionali1
Il presente lavoro nasce per illustrare come, allinterno delle organizzazioni
economico-sociali, la preparazione e la formazione adeguate evitano o
diminuiscono possibili problemi di tipo, economico, fisico, informatico,
organizzativo.
Carlo C. Carli

avvocato, consigliere giuridico militare

diventato un leitmotif: viviamo un periodo di intensi cambiamenti, connaturati da virtualit, aleatoriet, rischio, incertezza. LUomo, tuttavia,
e le istituzioni del Gruppo organizzato soprattutto, devono avere pochi ma chiari valori guida. Altrimenti facile perdere la rotta!
Il concetto di benessere del Paese e di Interesse dello Stato, inseriti nella nostra Grundnorme, sono tra quelli. Tra laltro, ne deriva limportanza
di perseguire una strategia propria del Sistema Paese, anche se inserita allinterno di contesti economico-sociali pi vasti (come la UE e la NATO) (2) e con
un criterio di efficienza allinterno del burden sharing nel contesto di alleanze.
Al cuore di questo sistema sta il concetto di Infrastruttura Critica, gi definita come impianto sensibile. Si va dalle reti di energia, fino alle menti umane,
dal paniere nazionale di invenzioni alla tecnologia condivisa dalla comunit
scientifica o da comunit di competenza. Nel complesso, come si vede, si tratta
di situazione di rilevante importanza economica. Sta anche il concetto di Sicurezza, sia essa fornita da una funzione interna alle aziende, ovvero affidata
in outsourcing; vi rientra tuttavia, anche il concetto di sicurezza condivisa con
i Cittadini.
Essenziale, tuttavia, che queste considerazioni siano conosciute e condivise
da quanti pi cittadini possibile in quanto, lungi dallimmaginare uno stato di polizia o peggio assolutista, un sistema socio-economico giusto ed equo non pu
non essere oggi anche efficiente ed efficace.

22

Information Security n 16 dicembre 2012

SICUREZZA NAZIONALE AL TEMPO DELLA INFO

(PSYCO/CYBER) WARFARE
La conflittualit che oggi si vive (spesso tra entit che si sarebbe detto asimmetriche tra loro) incide non solo sulle dinamiche politiche globali, con attenzione particolare alle vicende europee, ma anche sul mondo della comunicazione
e dellinformazione, strumenti ormai imprescindibili per la
conduzione di una politica estera realmente efficace. Nel
mondo attuale, quindi, la conflittualit perlopi non avviene
pi neppure tra stati o tra sotto-sistemi in modo binario, ma multidimensionale (3).
Oggi si parla di guerra nella noosfera, intendendo in primo
luogo campi come la informazione, la comunicazione virtuale e la cibernetica. Volendo evidenziare i maggiori aspetti
di novita emersi dalla storia contemporanea, possiamo far
riferimento a:
1. la centralita dellinformazione, che si manifesta travalicando le distanze, influenzando le scelte politico-militari,
conferendo maggiore influenza o togliendola, manifestandosi secondo una modalita universale e interdipendente;
2. la diffusione di una violenza determinata da passioni culturali, etniche caratterizzate da spietata brutalita.
3. la trasformazione del concetto di spazio: accanto a
quello geopolitico si affaccia la noosfera e si affianca linfosfera, dimensione per eccellenza della manipolazione,
il cyberspazio nel quale linformazione numerica circola
e permette linterazione degli attori.

Ebbene linsieme di questi primi elementi determina la

guerra cibernetica, che puo prendere forma ora nel cyber-terrorismo ora nella cyber-propaganda e che attraverso la moderna facilit di adire le vie di comunicazione
(internet, aria, acqua, energia, moneta virtuale, ) consente agli attori (gi definiti asimmetrici es.: ANONYMOUS) di avere un contatto diretto con il pubblico; a cui
si somma leventuale azione dei media.
4. lapproccio strategico indiretto - sorto con Sun-tzu e sviluppato dal Patto di Varsavia - finalizzato a modificare il
sistema nemico.
5. laltra caratteristica consiste non nella ricerca della superiorita, come nella guerra tradizionale, ma - nella conversione in debolezza della superiorita dellavversario
(come nei conflitti dei guerriglieri in Vietnam e
dellE.Z.L.N. nel Chiapas).
Lobiettivo della guerra detta asimmetrica non quindi necessariamente lannientamento fisico dellavversario, ma il
subentrare nella sua gestione del potere, sostituendolo
nella gestione delle menti dei soggetti gestiti.
I motivi di ci possono essere almeno tre: (1) imperando
oggi il concetto di fluidit (4) propria anche di fenomeni
quali le istituzioni , le strutture economico-giuridiche rischiano il collasso se non sono condivise (posto che
oggi sono sempre pi orizzontali). (2) i rapporti sono sempre pi virtuali, anzi gli effetti sono aumentati dalla estrema
interconnettivit tra persone, automi, istituzioni e fanno trovare tali soggetti in concorrenza tra loro (gi in alcune parti
del mondo si trova la connettivit tra persone o internet2

Information Security n 16 dicembre 2012

PRIMO PIANO

I - Consapevolezza e comunicazione del rischio

23

PRIMO PIANO

Ogni area della scienza della sicurezza tratta un aspetto

particolare della vita della persona, creando un insieme
organico di cognizioni e misure, al fine di produrre come
risultato l'incolumit e il benessere della persona e di
conseguenza della collettivit
e gi stato ideato internet 3 o interconnessione tra cose).
(3) il carattere di asimmetria che ha caratterizzato il mondo
delle relazioni umane negli ultimi decenne, sta cos modificandosi, dando la possibilit di competere tra strutture,
cose, persone, automi altrimenti non comparabili tra loro.
Esenmplificati di ci il terrorismo o la pirateria che riescono
a tenere in scacco entit economicamente e giuridicamente molto pi complesse e strutturate.
Una base di Cittadini, Consumatori, Professionisti, Dipendenti istruita e consapevole delle problematiche della Sicurezza la chiave per il successo di uno Stato consapevole dellesistenza del Rischio (dove la verit che non si
mai preparati, si pu solo essere pronti) e di un programma aziendale od istituzionale efficace. Limportanza del
fattore umano coinvolto nella sicurezza non pu e non
deve essere sottovalutata.
Il presente lavoro nasce per illustrare lesigenza di far arrivare prepotentemente un messaggio allinterno (comunicandone i contenuti allesterno) delle varie organizzazioni
economicosociali non proprio ovvio nella pratica: la preparazione e la formazione adeguate evitano o diminuiscono possibili problemi. Mi riferisco a problemi di ogni tipo,
economico, fisico, informatico, organizzativo.
Questo messaggio evangelico come sanno bene coloro
che lavoro per o allinterno di aziende - viene fin troppo
spesso a collidere con le esigenze di budget, quando pure
addirittura proprio non rientra nella vision aziendale.
Tale quadro fattuale viene per, oggi, a rendere conto alle
recenti e sempre pi espansive regolamentazioni in tema di
sicurezza veri obblighi per le aziende, spesso anche penalmente sanzionati o, come meglio si pu descrivere in
italiano di safety & security (a cui bisogna aggiungere
lEmergency). Tuttavia, una scarsa conoscenza della
scienza della sicurezza presuppone che essa sia un argomento di contorno rispetto ad altre discipline. In realt
essa una scienza assolutamente indipendente, ma accompagna sotto varie vesti moltissime discipline. Essa presenta moltissime branche, poich in questo modo riesce ad
interfacciarsi nel migliore dei modi alle varie discipline che
sono correlate allattivit umana. La sicurezza infatti deve in
ogni momento circondare la persona e i luoghi in cui si
svolge ogni sua attivit.
Quando si parla di scienza della sicurezza non si inten-

24

dono solo delle sotto-branche della sicurezza (5). Ad esempio, lingegneria della sicurezza, anche se impiegata in diversi settori (automobili, case e strade), solo lapplicazione
di studi e ricerche di tecnologie davanguardia per prevenire e proteggere da potenziali rischi sia nella sua singolarit che nella sua socialit.
La scienza della sicurezza talvolta stata vista come un argomento specifico del commercialista o dellISPESL o
come un costo aggiuntivo di qualche budget aziendale.
cos anche diffusa la credenza che la sicurezza sia compito
degli altri, dello Stato, dei medici, della Polizia, delle istituzioni. Invece il primo ad essere responsabile per la propria
e laltrui sicurezza la persona stessa, poi ovviamente anche le organizzazioni di persone che a vario titolo esistono.
A livello internazionale si utilizzano normalmente tre termini

Information Security n 16 dicembre 2012

(sicurezza) della persona e di conseguenza della collettivit.

Lobiettivo di questa Scienza di ridurre il Rischio fino ad
annullarlo o controllarne le conseguenze; evidentemente,
leliminazione completa del rischio matematicamente impossibile, anche perch le variabili sono infinite ed imponderabili. Il rischio che non si riesce ad eliminare viene definito rischio residuo. A volte, con danni collaterali (6).
Criteri generali della scienza della sicurezza sono:
Conoscenza: indica lanalisi del contesto operativo. Dallinconsapevolezza, dal non conoscere, dal non avere la
giusta percezione del rischio, nasce lerrore inteso come
situazione di rischio. La conoscenza preventiva il
primo criterio di sicurezza. Il secondo la consapevolezza del rischio, sia personale che ambientale. Entrambe quindi formano la percezione del rischio (7). Il miglioramento della sicurezza deve fondarsi su basi
tecniche, normative, con confronti con altre realt e non
soltanto dopo lanalisi e lo studio di un evento.
Il concetto contemporaneo di sicurezza che chiama in
causa il Security manager abbraccia un contesto molto
ampio (8).
Rischio: lanalisi della rischiosit di eventi e siti, rapporti e
persone, d la possibilit di creare un piano di prevenzione al fine di ridurre, contenere o evitare danni o comunque effetti non desiderati. Concetto diverso invece
quello di pericolo.
Ciclo della sicurezza: un ciclo virtuoso composto da
tre momenti:
- analisi: comprende lo studio legislativo, normativo, ambientale, personale, professionale, delle attivit e dei
processi.
- misure: prevedono due grandi famiglie: quelle relative
alla prevenzione e quelle relative alla protezione. Le misure possono essere attive, passive, strutturali, impiantistiche, amministrative o disciplinari.
- gestione: la parte che deve mantenere in vita la sicurezza con studi, aggiornamenti, formazione, informazione, manutenzione, verifiche, esercitazioni, piani di
sicurezza e adeguamenti.
Risk management la professione che considera questi criteri. Sostanzialmente costituita da analisi del rischio globale e da relativa gestione, attraverso: esame di scenari del
rischio, strategia di gestione e controllo del rischio, identificazione e valutazione del rischio, rischio della stessa compliance, strumenti di controllo, enterprise risk management
e crisis management.
Ad essa strettamente connessa la strutturazione della funzione della security e le sue interrelazioni interne ed esterne,
la collocazione organizzativa nonch la missione ed il ruolo
della funzione di security.
Rientra in questo campo lattivit preliminare di intelligence:
analisi del territorio, dellazienda, del contesto competitivo, delle vulnerabilit, delle tipologie di rischio di un ap-

Information Security n 16 dicembre 2012

PRIMO PIANO

per definire i concetti di Sicurezza: safety, security ed

emergency.
safety: fa riferimento allincolumit della persona (ad
esempio la lotta al terrorismo), antinfortunistica; lincolumit va intesa non solo dai danni fisici ma anche da quelli
morali, spirituali e indiretti.
security: ha pi un significato di cultura, di studio e gestione della sicurezza per la realizzazione di misure per la
prevenzione, porre in essere misure per la sicurezza delle
informazione riservate/segrete. Tali misure possono essere materiali e infrastrutturali, ma soprattutto formative
ed informative, atte a far conoscere il rischio e quindi evitare il pericolo.
emergency: fa riferimento a tutte quelle attivit di sicurezza personali e sociali che devono essere messe in atto
nel caso in cui il compito della security non sia sufficiente. Riguarda quindi la protezione e il contenimento del
pericolo.
La scienza della sicurezza quindi la disciplina che studia
il rischio (ma auspicando quello definito come accettabile)
nelle sue varie forme, dirette ed indirette, e ad essa fanno
riferimento molte aree tematiche e molte sottodiscipline.
Ogni area tratta un aspetto particolare della vita della persona, creando un insieme organico di cognizioni e misure,
al fine di produrre come risultato lincolumit e il benessere

25

PRIMO PIANO

proccio integrato di tutela ambientale, scelta delle opzioni

di security nonch tecnologie di supporto dell homeland
security.
Governo della security: impresa e qualit, certificazione
dei sistemi e delle professionalit,le norme ISO 150 9000
e loro evoluzione, il sistema della gestione aziendale secondo UNI EN ISO 9004, la security nei contratti esterni,
nella sicurezza privata, la selezione, lutilizzo e la gestione
dei servizi di sorveglianza, lorganizzazione della sicurezza
pubblica e privata, la definizione di una security policy, la sicurezza del top management, la tutela del patrimonio informativo.
SICUREZZA E QUALIT, binomio inscindibile
Lobbligo della previsione di security e di business continuity managers che gestiscano gli O.S.P.s sono lesempio lampante di tale fenomeno. Fenomeno, ricordiamo,
che si pu dire sia iniziato con la previsione a livello europeo ed internazionale dei cos detti standards, sia di

26

processo che di prodotto.

Gli standards sono definiti norme tecniche ma, nel
tempo, da disciplinari tecnici sono divenuti vera e propria
fonte normativa primaria, avendovi le leggi fatto riferimento
e, quindi, riconducendoli nellalveo dei propri dettati.
Successivamente, gli stessi modelli organizzativi della produzione e delle risorse hanno reclamato la presenza di atteggiamenti omogenei, che fossero in grado di garantire
quantomeno i presupposti sui quali costruire il risultato
economico delle singole aziende. Tra questi ultimi, il fattore
sicurezza man mano emerso preponderantemente, andandosi a collegare con un fenomeno a carattere giuridico,
che quello della tutela del consumatore. Fenomeno che,
tuttavia, nato proprio per garantire una sorta di funzione
di controllo qualit effettuata dallesterno alla struttura
aziendale.
Ecco che Sicurezza e Qualit si collegano e pi volte si
riallacciano in un continuum che entra prepotentemente a
far parte di quella Cultura aziendale classica e forse de-

Information Security n 16 dicembre 2012

finibile anche etica. Cultura che oggi declina anche in

moltissimi, ma non in tutti i Paesi i termini di Sostenibilit nei confronti della Terra e dei Diritti Umani ed Efficienza, verso gli interessi economici e sociali non solo del
Mercato ma della Convivenza civile.
Norme sulla sicurezza e modelli di comportamento per
evitare le responsabilit amministrative aziendali, regole di
autodisciplina sul comportamento etico, codice sulla sicurezza sul lavoro, normative ambientali, dettati dei codici civile e giurisprudenza, normative relative internazionali ed
inoltre il problema della tutela preventiva e successiva delle
Infrastrutture Critiche, le previsioni relative al segreto di
stato, laderenza agli standard, i principi di sostenibilit, rappresentano un quadro di riferimento unitario che, attraverso un corretto processo di Security Risk Management,
permette una sintesi tra norme, attivit, esigenze aziendali
ed esigenze statuali (9).
Il concetto stesso di S.R.M. sta a indicare la ricordata Qualit - in tutti gli aspetti della gestione - che garantisce correttezza, trasparenza, legalit, controllo e verificabilit dei
processi, finalizzate non solo alla difesa degli interessi degli azionisti di riferimento, ma anche e soprattutto dei vari
stakeholders (Fornitori, Consumatori, Comunit, Istituzioni).
E tale processo , anzi, collegato al percorso della Qualit
a cui le Aziende si devono improntare per motivi normativi
(internazionali, comunitari, statali, locali), regolatori (delle Autorit amministrative) oltre che di standardizzazione e di
etica.
Non ultime, le recenti normative in tema di anti-riciclaggio,
contrasto al crimine organizzato, anti-terrorismo. Questo
in linea con la moderna tendenza a considerare le Organizzazioni sociali quali parti importanti a volte addirittura
strutturali e magari anche critiche della civica convivenza, quindi gangli indispensabili per la gestione orizzontale della societ e per la creazione del benessere sociale.
Il percorso Sicurezza e Qualit diventa quindi vero e proprio
processo comunicativo di Valore (a valenza sia interna che
esterna) che ogni organizzazione anche non commerciale
attua, in cui ruolo specifico ed essenziale fornito ovviamente - dal Security Operational Plan, dal Disaster Recovery Plan nonch dallAnalisi dei Rischi e dove il Risk Assessment assume un ruolo di base che contribuisce a

PRIMO PIANO

Il percorso Sicurezza e Qualit diventa quindi vero e proprio

processo comunicativo di Valore (a valenza sia interna che
esterna) che ogni organizzazione anche non commerciale attua, in
cui ruolo specifico ed essenziale fornito dal Security Operational
Plan, dal Disaster Recovery Plan nonch dall'Analisi dei Rischi
fornire gli elementi necessari alla mitigazione di rischi ed al
soddisfacimento di obblighi connessi allesercizio di impresa e, quindi, alla funzione della Security, che pertanto occorre si munisca degli strumenti propri della Corporate Social Responsability.
A ben vedere, qualsiasi decisione strategica importante
(come ad es.: apertura di nuovi mercati, istituzione di nuovi
insediamenti, innovazioni tecnologiche, progetti dingegneria complessi, ) possono influenzare la qualit della
vita dei dipendenti o degli stackholders, quindi devono essere accompagnati da un processo di analisi e valutazione
dei possibili danni alle categorie interessate dallespletarsi
dellattivit dimpresa.
La creazione efficiente di valore risulta quindi oggettivamente essere un valido criterio, utile per indirizzare scelte
giuridiche di tutela ed agevolare economicamente le situazioni sociali di scambio, relazione, trasmissione di beni.
Esempi di ci si potranno vedere in ogni ambito: nella legislazione in tema di successione di imprese familiari, in
quella relativa alla tassazione dei patrimoni immobiliari,
piuttosto che nella legislazione sul lavoro, sugli appalti nei
settori esclusi od in quella dei gradi di procedimento giudiziario.
Ma lo stesso criterio di razionalit del percorso valore che
disciplina le garanzie nel settore delle IC
INFRASTRUTTURE CRITICHE EUROPEE, il cuore del problema
Infine, non pu non rilevarsi la specificit dellambiente
contestuale in cui ci muoviamo. Come non possiamo non
notare che le IC sono recentemente venute agli onori delle
cronache quasi certamente per lemergere della necessit
di costruire sistemi socio economici quanto pi possibile
saldi e, quindi, contrastare efficacemente il terrorismo; cosa
che ha portato il Consiglio dellUnione Europea a emanare
la Direttiva 2008/114/CE, proprio in tema di Infrastrutture
Critiche.
Come mi insegnate, pur in presenza di contrastate versioni,
con tale termine sidentificano sistemi, risorse e processi la
cui distruzione, interruzione - o anche parziale o momentanea indisponibilit - abbia leffetto di indebolire in maniera
significativa, non solo lefficienza e il funzionamento normale

Information Security n 16 dicembre 2012

27

PRIMO PIANO

Nel termine italiano sicurezza collassano due distinti concetti che

in altre lingue sono espressi da parole differenti; in inglese il
termine security corrisponde alla sicurezza intesa come
protezione da atti intenzionali che potrebbero ledere cose o
persone, mentre il termine safety riguarda la sicurezza delle
persone, intesa come loro incolumit

di un Paese, ma anche la sicurezza e il sistema economicofinanziario e sociale, compresi gli apparati della Pubblica
Amministrazione centrale e locale. In altre parole, le infrastrutture critiche sono quelle che consentono lerogazione
dei servizi che caratterizzano la vita dei paesi occidentali.
Linterdipendenza fra le strutture non fa solo s che le IC
siano fra loro strettamente interrelate, ma obbliga che lo
siano anche le misure poste per la loro protezione. Cooperazione, Comunicazione e Coordinazione non solo degli
obiettivi da raggiungere a livello nazionale, ma dellintero
contesto strutturale comunitario. Cos, tra laltro, esse si
connettono quindi strettamente al concetto di strutture
sensibili e di Trans European Networks, variamente collegate alla regolazione di trasporti, telecomunicazioni ed
energia.
Al fine di incrementare il livello strutturale e sistemico di protezione delle infrastrutture critiche, sia nazionali sia europee,
diversi sono gli obblighi cui devono sottostare i Paesi della
UE e gli operatori delle IC che ivi sono collocate.
Ad iniziare da quello che (A) per ogni infrastruttura deve essere formulato un Piano di Sicurezza per gli Operatori
(PSO o OSP in inglese). La Direttiva fornisce unindicazione
dei contenuti minimi che dovranno essere trattati nel piano;
in particolare, il PSO deve identificare i beni dellinfrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione. Lo scopo di questo piano
consiste nellidentificare quegli assets che soddisfano i requisiti per essere denominati Infrastrutture Critiche Europee.
In particolare il piano dovrebbe prevedere:
un momento di identificazione degli asset importanti;
una fase di risk assessment, durante la quale si devono
prendere in considerazione gli scenari riguardanti le minacce pi probabili;
la progettazione e la messa in atto delle procedure e delle
misure di prevenzione e protezione;
Per ogni IC (B) deve inoltre essere nominato un Funzionario di Collegamento in materia di Security con lo scopo di
facilitare la cooperazione e la comunicazione con le autorit nazionali competenti in materia di protezione delle IC;

28

la loro presenza il prerequisito per

poter formulare
il PSO.
A ci si aggiunga
che (C) in Italia
viene previsto il funzionario di sicurezza, quale responsabile delegato della tutela dlele informazioni
riservate o protette nelle strutture industriali complesse.
Il presente documento ha scopi ovviamente limitati.
Tra gli argomenti che non rientrano tra i suoi scopi c quello
di discettare su cosa e perch si pu definire i.C., E
per di tutta evidenza che questo sia un argomento cardine
di ogni serio tentativo di rendere il lavoro preventivo veramente tale, quindi capace di produrre apprezzabili risultati
di efficacia ed efficienza (10).
Tra i possibili oggetti di questa categoria di beni da tutelare
c probabilmente anche la MENTE UMANA, nonch il
BAGAGLIO TECNOLOGICO dei membri di un sistemapaese. e quanto ci sia importante oggi che si parla
di guerra della settima generazione, cio di GUERRA
NELLA NOOSFERA qui lo lasciamo solo immaginare.
Un solo e conclusivo riferimento fattuale per vogliamo
farlo: come e perch non si dovrebbero tutelare quelle
strutture atte ad esprimere quelle idee commerciali che
siano magari fonti di brevetti? Cio, appunto, le menti
umane.
MOTIVAZIONE PER AUMENTARE LA CONSAPEVOLEZZA
DEL RISCHIO: necessit di una resilienza largamente condivisa nella societ
In pratica, si vuole intendere che la coscienza e la comunicazione del rischio attengono strettamente alla capacit di
sopravvivenza di un sistema umano.
Nelle scienze dei materiali la resilienza (che termine ancora
poco diffuso in Italia) viene definita come la capacit di un
sistema nel tornare nel suo stato pre-perturbazione, dopo
averne subito, appunto, una. Il concetto stato introdotto

Information Security n 16 dicembre 2012

identit e feedback. Il sistema ha la possibilit di evolvere in stati multipli

e stabili, diversi da quello precedente da cui si partiti nellanalisi pre disturbo, ma la resilienza garantisce il mantenimento della vitalit delle funzioni e delle strutture del sistema (11).
A tale concetto se ne possono far seguire altri, tra cui
quello collegato alla SWARM THEORY, inizialmente studiato
per un impiego militare; in sostanza si vuole affermare che,
dati certi presupposti, un sistema si autodifende attaccando, dopo essersi scomposto in un nugolo di unit (12).
Il concetto di Sicurezza
Il termine viene dal latino (sine cura, cio senza preoccupazione) e pu essere definita come la conoscenza che
levoluzione di un sistema non produrr stati indesiderati.
Sostanzialmente significa conoscere le conseguenze delle
azioni nostre e di coloro di cui abbiamo la responsabilit o
custodia, vuol dire sapere che quello che faremo non provocher dei danni ad altri (persone, cose, ambiente, strutture, ...) In quanto come si diceva una volta (!) la libert di ognuno finisce dove inizia quella dellaltro. La
consapevolezza del rischio passa, quindi, anche per la
cultura del rispetto, elemento fondamentale per una sana
convivenza civile.
Il presupposto della conoscenza poi fondamentale da un
punto di vista epistemologico poich un sistema pu evolversi senza dar luogo a stati indesiderati, ma non per questo esso pu essere ritenuto sicuro. Solo una conoscenza
di tipo scientifico, basata quindi su osservazioni ripetibili,
pu garantire una valutazione sensata della sicurezza.
La sicurezza totale si ha in assenza di pericoli. In senso assoluto, si tratta di un concetto difficilmente traducibile nella
vita reale anche se lapplicazione delle norme di sicurezza
rende pi difficile il verificarsi di eventi dannosi e di incidenti

e si traduce sempre in una migliore qualit della vita.

Nel termine italiano sicurezza collassano due distinti concetti che in altre lingue sono espressi da parole differenti; in
inglese il termine security corrisponde alla sicurezza intesa
come protezione da atti intenzionali che potrebbero ledere
cose o persone, mentre il termine safety riguarda la sicurezza delle persone, intesa come loro incolumit.
curioso notare per che in quasi tutte le lingue, il termine
sicurezza non viene molto bene differenziato da quello di
prevenzione., forse per retaggi culturali relativi alle differenti
accezioni culturali di caso e fortuna. Senza
entrare in posizioni filosofiche, si pu dire che un
comportamento umano (e robotico) mediamente
razionale tende a efficienziare la risposta agli
eventi sulla base di coscienza del rischio e preparazione anche psichica.

PRIMO PIANO

nelle scienze ecologiche negli anni Settanta, soprattutto

grazie alle analisi e ricerche di Holling e numerosi altri ecologi ed etologi, che hanno studiato a fondo la resilienza nei
sistemi ecologici, poi confrontandosi con diversi ricercatori
nel campo delle scienze sociali che hanno lavorato sul
concetto di resilienza nei gruppi.
Pertanto la resilienza viene definita come la capacit di un
sistema di assorbire un disturbo e di riorganizzarsi mentre
ha luogo il cambiamento, in modo tale da mantenere ancora essenzialmente le stesse funzioni, la stessa struttura,

Settori
I campi in cui la sicurezza un obiettivo primario sono numerosi, cos come vari sono i sistemi per raggiungere un
grado di sicurezza accettabile. Attivit lavorative in genere,
ma anche la vita domestica, gli hobby, il gioco e lo sport.
Proprio per questa grande pervasivit si possono ritenere
generalmente valide le quattro regole originariamente dette
per il web: 1. Ridurre la superficie di attacco; 2. Proteggere
su tutti i fronti; 3. Bloccare attacchi e tentativi di violazione;
4. Mantenere la continuit lavorativa.
Sicurezza (pubblica) nazionale
Un capitolo a parte costituito dalla sicurezza - anche internazionale - cio dalla difesa del sistema-paese che costituisce un dovere ed un onore di ogni cittadino.
Unattivit anche preventiva (sostanzialmente di Vigilanza,
Analisi ed Allarme) che contrasti possibili atti antagonistici
(di terrorismo, pirateria, sabotaggi, etc..) e catastrofi (terremoti, maremoti, uragani, etc.) compete ad ogni residente
nel territorio.
Al contrario, i relativi compiti di assistenza sono svolti da
personale specializzato ed autorizzato, ove necessario opportunamente coordinato da Cabine di Rega Crisi o Emergenza (la Protezione Civile coordina tutte le attivit di amministrazioni dello Stato, centrali e periferiche, regioni,
province, comuni, enti pubblici nazionali e territoriali, ogni
altra istituzione ed organizzazione pubblica e privata).
Tutti sappiamo quanto la qualit sia la chiave per la diminuzione dei rischi, qualit in termini di efficienza ed efficacia!
Sicurezza (privata) di luoghi, abitazioni, trasporti e strade
Nella vita quotidiana, per migliorare la sicurezza, diminuire
la possibilit di infortuni e incidenti, aumentando nel contempo la probabilit di risolvere favorevolmente le situazioni
di emergenza, sono necessarie azioni preventive ed orga-

Information Security n 16 dicembre 2012

29

PRIMO PIANO

nizzative adeguate, che includono:

analisi dei rischi; formazione delle persone addette alla sicurezza; formazione sul primo soccorso; dotazioni personali appropriate (abbigliamento, dispositivi di protezione
individuale, dispositivi di controllo, telerilevamento e telesoccorso); cassetta di pronto soccorso, obbligatoria negli
ambienti di lavoro, dove deve essere segnalata appropriatamente, del tipo stabilito per legge e reintegrata dopo
ciascun utilizzo, fortemente consigliata in casa; controllo periodico dei dispositivi antincendio, delle vie di fuga e del
piano di evacuazione nei locali a rischio incendio; controllo
periodico degli impianti elettrici, con particolare riferimento
allefficienza dei dispositivi di apertura per sovraccarico e
per dispersione e alla verifica dellimpianto di messa a
terra; controllo periodico di filtri e prese daria negli impianti
di aerazione e condizionamento; controllo e revisione periodica dei veicoli; custodia accurata e proporzionata al rischio di ciascun dispositivo e del materiale pericoloso, tossico o nocivo.

II - Regole di riferimento
Vorrei ben specificare che la presente lista vuole essere solo
un ausilio di indirizzo e non uno strumento operativo di indagine (13). Tra laltro qui di segutio verr fornita solo una
guida rapida e parziale di tutte le possibili rgole esistenti.
Ci, non solo perch la materia complessa ed in crescente evoluzione, ma soprattutto in quanto la funzione del
Security Manager probabilmente inscindibile da quella del
Compliance Man. e almeno collegata con quella del Business Continuity Man. forse la pi rischiosa (per usare
un gioco di parole!) tra le attivit aziendali strategiche ed apicali, trovandosi in cima ad una serie di sollecitazioni, problemi con stringenti esigenze di rispondere a fatti concreti
e, soprattutto, a pericoli probabili o ipotetici.
La personale esperienza ultradecennale in qualit di internal legal auditor & counsel mi ha fatto apprezzare lalta professionalit di coloro i quali erano addetti a svolgere, nei vari
livelli e ruoli, della mansione ed stata la loro esperienza e
sensibilit che ha potuto indirizzare correttamente il mio

operato per la soluzione di problemi concreti o l previsione

di quelli futuri da evitare o mitigare.
Quindi, le regole e le normative, di qualsiasi livello siano, potranno essere le pi disparate.
Peraltro, nel presente documento, per fornire un qualche
valore aggiunto ad una elencazione che, seppur forse di
qualche ausilio, sarebbe stata sterile, abbiamo fornito qualche spunto di riflessione sullr grandi linee di ispirazione delle
regolazioni.
Ci siamo contenuti ad indicare quelle che rispondono alle
linee essenziali della tipica funzione di unimpresa genericamente intesa, senza evidentemente entrare in specificit.
Non possono essere per dimenticate le normative introdotte per alcune moderne finalit, cio quelle per contrastare il riciclaggio di danaro sporco, il crimine organizzato,
ed il terrorismo. A breve, molto probabilmente, si aggiungeranno le norme per contrastare la cyber warfare.
A. LA TUTELA DELLA PRIVACY
La conoscenza del codice sulla privacy (D. Lgs. 196/2003)
(14) un presupposto fondamentale per tutti coloro che in
qualunque modo abbiano a che fare con il trattamento dei
dati personali di terzi.
La nuova normativa sulla tutela dei dati personali, comunemente definita privacy, entrata pienamente in vigore dal
1 aprile 2006. La normativa tutela non la persona, ma il dato personale (quindi la sua rappresentazione allinterno
di un meccanismo di memoria, anche non informatica) ovvero qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di
identificazione personale.
tenuto al rispetto della normativa chiunque tratti dati personali, quindi aziende, enti pubblici, professionisti, associazioni. Gli adempimenti previsti dalla normativa sono numerosi, e comprendono aspetti formali, organizzativi,
tecnologici. La quasi totalit di questi adempimenti, in vi-

Rischi, analisi dei rischi e piani di sicurezza richiedono

necessariamente un approccio sistematico attraverso un
processo di SRM, proprio di una struttura di Security
Aziendale, che deve approcciare la problematica sicurezza
essenzialmente a 3 livelli di servizio: misure minime per la
Privacy; misure idonee per la Privacy; certificazione del
sistema informatico

30

Information Security n 16 dicembre 2012

mente come definito allart. 31, di: distruzione o perdita, anche accidentale, dei dati
stessi; accesso non autorizzato; trattamento non
consentito o non conforme alle finalit della raccolta.
Rischi, analisi dei rischi e piani di sicurezza richiedono
necessariamente un approccio sistematico attraverso
un processo di SRM, proprio di una struttura di Security
Aziendale, che deve approcciare la problematica sicurezza
essenzialmente a 3 livelli di servizio: (A) misure minime per

la Privacy; (B) misure idonee per la Privacy; (C) certificazione

del sistema informatico. Oltre a (D) certificazione del sistema
di gestione delle informazioni
Specifiche normative riguardano: le imprese, anche a secondo del loro settore (banche, negozi, ) ed anche in
base agli strumenti (videoterminali, video vigilanza, ...); gli
stabilimenti militari; i luoghi pubblici (metropolitane, ...) e
quelli aperti al pubblico (giardini, parchi, ).

PRIMO PIANO

gore dal 1997 sanzionata sia dal punto di vista amministrativo che penale. Le misure di sicurezza, la cui mancata
adozione sanzionata penalmente, sono in vigore dal 2001
(15).
La normativa impone esplicitamente leffettuazione e la
documentazione di unanalisi dei rischi (punto 19, Allegato
B Disciplinare Tecnico in Materia di Misure Minime di Sicurezza) e sancisce lobbligatoriet della redazione di un
documento programmatico sulla sicurezza contenente idonee informazioni riguardo, tra laltro, lanalisi dei rischi che
incombono sui dati (punto 19.3).
Si osservi che i dati cui si riferisce la norma sono quelli personali di cui lazienda titolare e che tali dati nella maggioranza dei casi non coincideranno completamente con le
informazioni aziendali da proteggere, poich critiche per
lazienda stessa.
Inoltre i rischi da considerare nellambito ella legge differiscono da quelli considerati a fini aziendali. Infatti, lobiettivo
del Codice, come definito allart. 1, quello di garantire il
rispetto dei diritti e delle libert fondamentali, nonch della
dignit dellinteressato, con particolare riferimento alla riservatezza, allidentit personale e al diritto alla protezione
dei dati personali. Pertanto, i rischi considerati dalla legge
sono quelli che potrebbero ledere tali diritti e, specificata-

B. LA RESPONSABILIT DELLIMPRESA
Necessaria premessa: lImpresa come istituto socialmente
apprezzato, oltre che come strumento giuridico di organizzazione del lavoro e del profitto, oggi possiede il senso
di garantire la creazione e la prosecuzione di un insieme di
valori. E, in sostanza, uno strumento efficiente ed efficace
per la trasmissione del valore. Essa, quindi, concretizza
gi in s - uno strumento socialmente valido sotto vari
aspetti etici ed economici e come tale deve essere protetto
(anche a danno di chi lha legittimamente posto in essere!).
Il D.lgs. 8 giugno 2001 n. 231 ha introdotto una disciplina
inedita in Italia, superando (proprio in base alla richiamata
concezione, di provenienza per della cultura germanica, che conosce varie forme di condivisione di mezzi e
di beni) lantico principio secondo cui societas delinquere
non potest ed introducendo
una forma di responsabilit
amministrativa dellimpresa,
come conseguenza di possibili comportamenti illeciti di
soggetti ad essa collegati, messi
o meno in atto allo scopo di favorire lente.
Tale innovazione ha dunque
messo decisamente in risalto funzioni aziendali
come Security e Internal
audit, ma anche organismi quale il Comitato di Sorveglianza, peraltro gi da
tempo esistenti in altri Paesi (germanici oltre che anglosassoni).
Una corretta articolazione delle suddette funzioni quindi necessaria affinch limpresa si doti di
idonei modelli organizzativo e gestionale atti a prevenire la
riconducibilit allimpresa di atti la cui commissione potrebbe essere oggetto di incriminazione per i reati riportati
nel citato D.lgs. 231, che non ha abolito la responsabilit
penale individuale propria dei soggetti che abbiano compiuto il fatto previsto come reato. Pertanto, tale tipo di responsabilit oggettiva non si proporrebbe qualora tali
soggetti (posti in posizione apicale allazienda stessa) non
abbiano commesso gli illeciti con favore o vantaggio dellente, ovvero i soggetti siano persone che ricoprono un

Information Security n 16 dicembre 2012

31

PRIMO PIANO
ruolo
sottoposto, o ancora siano
lavoratori autonomi.
importante notare
come ll D.Lgs. 231
estenda la sua portata
anche ad una tutela connessa alla materia pubblica di
contrasto alla criminalit organizzata, che sicuramente rappresenta una delle minacce pi insidiose per il sistema
produttivo sano di ogni Stato. Come se non bastassero le
normali bande criminali, negli ultimi anni le tradizionali
configurazioni organizzate sono state affiancate da altre associazioni a delinquere, tutte ora caratterizzate dalla trans
nazionalit e addirittura da specializzazioni, con anche presenza di strumenti elaborati quali apparati di intelligence e
strutture di analisi / previsione.
In questo contesto, alla logica di conseguire una concreta
e corretta concorrenza tra imprese, si unisce quella di preservare quanto pi possibile le ordinarie strutture sociali tendenti alla creazione di Benessere sociale, ma anche la logica di quella che chiamata network economy (che
rappresenta lattuale stadio di economia mondiale). Cos,
ad una necessaria concatenazione delle singole vicende di
un territorio (che, quindi, diventano connesse e con una
forte componente di virtualit) conseguente la nuova dimensione peer to peer, in cui i singoli soggetti pubblici
e privati, piccoli e grandi, - concorrono alla costruzione
del Comune benessere o della Comune rovina.
In sostanza, quindi, la lotta a tali forme di criminalit necessita di strumenti incisivi e di strategie integrate. Lallargamento della 231 a dette fattispecie, infatti, trova riferimento nella Decisione quadro 2008/841/GAI del 24 ottobre
2008 relativa alla lotta contro la criminalit organizzata,
che ha come scopo preminente il miglioramento delle
azioni comuni dellUE e dei suoi Stati membri al fine di contrastare la criminalit organizzata transnazionale mediante
ladozione di una strategia comune che combatta specialmente le infiltrazioni criminali o criminogene nelle piccole imprese e nel sistema appalti e forniture (16).

32

Tra le norme internazionali, per limportanza che

riceve anche dalla indiretta influenza sulle case madri italiane o
straniere, c il Sarbanes-Oxley Act
del 2002.
Ritengo superfluo evidenziare che, anche e soprattutto in
questo caso, lopera di COMPLIANCE si proietta in una dimensione transanazionale.
La Sarbanes-Oxley Act, conosciuta anche come Public
Company Accounting Reform and Investor Protection Act
e comunemente chiamata Sarbox, una legge federale
USA emanata a seguito di diversi scandali contabili che
hanno coinvolto importanti aziende americane (come Enron, Arthur Andersen, WorldCom, Tyco International) e che
hanno causato grande e generalizzata sfiducia nel pubblico
- sia share holders / investitori che stake holders - , sollevando soprattutto dubbi circa le loro politiche di sicurezza aziendali oltre che sistemiche (17).
Oltre a ridefinire i compiti della SEC, la legge costituisce il
Public Company Accounting Oversight Board (ovvero il
consiglio di vigilanza sui bilanci delle aziende quotate). Secondo alcuni storici delleconomia, si tratta di uno degli atti
governativi pi significativi dai tempi del New Deal. I punti
su cui la legge focalizza la sua attenzione sono:
Promuove maggiore responsabilit per il management, per
quanto concerne laccuratezza delle informazioni contabili
sui bilanci e relazioni finanziarie;
Crea di una nuova autorit di controllo dei revisori esterni;
Aumenta le pene per i crimini contabili e illeciti fiscali;
Conferisce pi potere alla minoranza azionaria
C. GLI STANDARD INTERNAZIONALI
Lattivit di normazione da non confondere con quella

Information Security n 16 dicembre 2012

Note
1

di Carlo C. Carli, avvocato, conciliatore, consigliere giuridico militare si occupa da anni di Tutela della Sicurezza Economica
(specialmente per la tutela di brand, immagine e qualit prodotto)
delle Infrastrutture Critiche. E socio di AIIC e direttore Centro Studi
di AE/AGEIE focalizzato sulla analisi criticit. Oltre ad aver seguito, come consulente, varie imprese multinazionali dei settori industria e banca, ha accumulato una significativa esperienza inhouse negli uffici legale / legislativo / tributario di unimpresa
energetica internazionale.
LA. desidera ringraziare i vari Esperti del Settore Security, molti dei
quali fanno parte dellAssociazione AIIC. Dei vari utili lavori scientifici o pratici nel settore dar conto nei successivi interventi. Per
ora richiama solo il Workshop internazionale su Emergency Management for Critical Infrastructures Crises, svoltosi a Roma il
4.10.2012, presso lENEA e organizzato da AIIC.
2 E la mia cara vecchia tesi delle aree economiche complesse, pi
volte espressa e che deriva da quella sulla ciclicit in economia,
esposta da Isidoro Carli nel 1830, poi ripresa da Filippo Carli circa
un secolo dopo.
Essa trova anche fondamento giuridico, tra laltro, nella teoria degli ordinamenti giuridici parziali, magistralmente espressa dal
prof. A. Malintoppi (che spesso esemplificava richiamando gli or-

dinamenti regionali, nazionali e comunitari rispetto allordinamento

giuridico universale) e pi recentemente dal prof. E: Picozza (che
richiamava soprattutto il concetto di sub-ordinamento, quale
quello sportivo).
3 Vorrei rifarmi a precedenti studi: CARLI, C.C., Sicurezza nazionale al tempo della network warfare -risposte ordina mentali e
impatto economico delle piraterie unanalisi di economia criminologica, in: riv. Information Security, n. 13, sett. 2012, e idem,
Economia criminologica, limpatto economico del terrorismo, in:
Rivista SAFETY & SECURITY, settembre 2011, ma anche ad altri due studi dove pur non trattando direttamente la materia da
un punto di vista criminologico parlavo delle tematiche connesse allEconomic Security: idem, CORPORATE GOVERNANCE,
tra riforma della politica economica nazionale e diritto dei consumatori/risparmiatori, nel contesto del mercato internazionale, in:
riv. LImpresa c.i., n. 3, 1998 e idem, appalti e analisi economica
spunti per un audit giuridico-economica dei contratti di impresa verso un diritto dettato dalleconomia?, in: riv. Nuova Giurisprudenza Civile Commentata, p. 173, p. II, 2005.
4 Secondo Nomisma (Rapporto Nomos & Khaos2010-2011
sulle prospettive economico-strategiche) il mondo sta attraversando una fase di veloci cambiamenti, che hanno trasformato i
rapporti di potenza e le realt fondamentali in cui si sono formate
le percezioni e la mappa cognitiva delle lite politico-economiche
occidentali.
Innanzitutto, sono cambiate le relazioni tra gli ambiti pubblici e privati dellazione collettiva, provocando lavvento di quello che
stato definito da Zygmunt Bauman il mondo liquido ed accentuando la crisi della funzione politica, che ormai pare cavalcare gli
eventi, pi che governarli. Partita dalla sfera economico-finanziaria, con la deregulation degli anni ottanta, questa rivoluzione ha ora
raggiunto anche la sfera delle relazioni politiche, come hanno evidenziato per un verso la primavera araba, innescata dal cosiddetto web 2.0, e per un altro le scelte compiute in campo internazionale dagli Stati Uniti, che paiono aver optato per un
cambiamento di paradigma strategico, centrato sul concetto di
Smart Power. Il potere scaltro prescelto dallAmministrazione
Obama parrebbe implicare non solo una minor propensione a ricorrere alla forza, ma altres il tentativo dellAmerica di trasferire
una parte significativa degli oneri connessi al mantenimento della
stabilit internazionale ad un pi vasto numero di Paesi. Stati amici
ed alleati, in prima battuta, ma anche potenze finora considerate
come competitrici e rivali strategiche dellOccidente. Si tratta di un
mutamento profondo, suscettibile di alterare anche la valenza di
organizzazioni come la Nato, con rilevanti ripercussioni per i numerosi Stati europei, tra i quali lItalia, la cui membership atlantica
stata per decenni il riferimento fondamentale delle rispettive politiche di sicurezza.
5 Alcune sottodiscipline della scienza della sicurezza sono: sportiva: analizza laspetto agonistico; sanitaria: analizza il mondo
della medicina e della profilassi; ambientale; alimentare: analizza
il mondo dei cibi e delle diete dalla produzione al consumo; stradale: analizza il mondo delle strade, dei veicoli e della circolazione;
informatica: analizza luso delle reti telematiche rispetto alluso che
ne fa luomo; nucleare: si prefigge di eliminare i rischi associati alluso dellenergia nucleare; bancaria e finanziaria: analizzano il
mondo degli investimenti e dalla Borsa; antincendio; domestica;
elettrica; legale; personale; sociale; urbana; energetica; aerea.

Information Security n 16 dicembre 2012

PRIMO PIANO

normativa costituita nellelaborare documenti a carattere essenzialmente tecnico; essi non essendo atti normativi, comportano un conseguente ambito di applicazione
volontaria. Tuttavia, siccome forniscono riferimenti certi agli
operatori e possono quindi avere una chiara rilevanza contrattuale, esse sono quasi sempre applicate in modo simile
a quanto avveniva ad es. per gli usi (di borsa, ). Inoltre,
sempre pi spesso le norme primarie o secondarie in
bianco vi fanno rinvio espresso. E il caso di quelle norme
il cui oggetto abbia un impatto rilevante sulla sicurezza di
lavoratori, cittadini, ambiente. In ogni caso, a mano a mano
che si diffonde luso delle norme come strumenti contrattuali e che, di conseguenza, diventa sempre pi vasto il riconoscimento della loro indispensabilit, la loro osservanza
diventa quasi imposta dal mercato.
Oggi lattivit di normazione ha per oggetto anche la definizione di processi, servizi e livelli di prestazione; anzi oggi
la normazione si occupa anche di definire gli aspetti di sicurezza, organizzazione aziendale (UNI EN ISO 9000) e
protezione ambientale (UNI EN ISO 14000), cos da tutelare
persone, imprese e ambiente.
In particolare la citata norma UNI 10459 relativa alla Security - prevede la figura professionale del Security Manager; essa ovviamente assume pi vigore laddove ne ripresentata la centralit nel sistema di sicurezza aziendale,
quando la norma UNI 10891 che regola gli Istituti di Vigilanza Privata, a quella rimanda.
Valenza internazionale assume poi la figura del Security Manager quando ne tracciato il ruolo negli standard internazionali, fra cui laustraliano ASZ, che norma il Security
Risk Management.

33

PRIMO PIANO

Concetti chiave della Scienza della Sicurezza sono:

Sicurezza: conoscenza che levoluzione di un sistema in un dato
senso non manifesti stati indesiderati.
Rischio: probabilit che si verifichi un dato evento caratterizzato
da una determinata gravit del danno sulle persone, sulle cose
e/o sullambiente.
Pericolo: propriet intrinseca di una sostanza, di una attrezzatura di lavoro o in generale di un evento, avente potenziale di
creare danno.
Analisi: studio della statistica, dellambiente in questione, delle
persone che operano e dellattivit che si svolge, al fine di produrre una valutazione del rischio.
Prevenzione: messa in opera ed in esercizio di tutte le misure derivate dallanalisi, per prevenire che accadano eventi pericolosi
(e quindi dannosi).[2]
Protezione: messa in opera ed in esercizio di tutte le misure per
proteggere persone e cose dal rischio residuo. La protezione si
distingue in collettiva e individuale, attiva o passiva. Le misure
di protezione collettiva hanno priorit rispetto a quella individuale.
La protezione attiva quella che gli stessi operatori devono attivare (predisporre caschi, scarpe, estintori), mentre quella passiva interviene anche senza il comando umano (un esempio
limpianto sprinkler antincendio).
Gestione: insieme di attivit che si realizzano in fase sia normale
che critica. La g. in normale esercizio quellinsieme di attivit
come formazione, informazione, manutenzioni, verifiche, esercitazioni, adeguamenti normativi, procedure. La g. in emergenza la messa in atto delle protezioni manuali, quindi le evacuazioni, le chiamate di emergenza, il contenimento, lo
spegnimento, il confinamento e lallontanamento.
7 La percezione del rischio coinvolge dei meccanismi di tipo psicologico: in genere la mente umana tende a valutare come pi
rischiose le situazioni che hanno una maggiore gravit (ovvero le
situazioni che possono provocare la morte), mentre tende a valutare come meno rischiose le situazioni a cui associata una
gravit minore (ad esempio le situazioni che possono provocare
un danno fisico non irreversibile).
Un altro meccanismo psicologico che altera la percezione del rischio quello per cui generalmente si valutano come meno rischiose le condizioni di cui si ha il controllo: ad esempio in genere
una persona tende ad essere meno preoccupata se la persona
stessa a guidare rispetto alla situazione in cui lautista una seconda persona.
La scienza della sicurezza quindi non tiene conto della percezione
del rischio, bens del rischio reale.
8 va dalla sicurezza fisica dellinfrastruttura, al controllo della protezione delle strategie produttive dellimpresa, alla sicurezza delle
infrastrutture critiche, alla sicurezza nazionale, alla sicurezza informatica, alla sicurezza sul lavoro, della fedelt dei dipendenti,
della rete di informazione-comunicazione, dellintroito merci, del
trasporto protetto e sicuro dei prodotti, della privacy, ecc
9 Mi sembra molto interessante riportare una considerazione di
VACCA (R., I grandi blackout: inevitabili - o no? ovvero: I grandi
blackout: sono Atti di Dio? , in: Il Messaggero, 29/9/2004):
. Faremo bene a comprarci gruppetti elettrogeni e a riempirci
la casa e la borsa di batterie? Non ne sono convinto e non ne
sono convinti anche molti ingegneri progettisti e gestori di grandi
reti elettriche. La prima ragione che la somiglianza fra blackout,

34

incendi e terremoti solo un dato empirico.

La analogie fra fenomeni del tutto diversi non ci permettono di fare
previsioni. Talora le analogie sono del tutto fuorvianti. La teoria del
caos studia fenomeni in cui un apparente disordine , in effetti,
prevedibile e ripetitivo. Si applica a fenomeni elettrici e idrodinamici che devono essere studiati con precisione raccogliendo milioni di dati per distinguere il caos dal rumore casuale. Non corretto invocare teorie di cui si arguiscono solo possibili applicazioni,
senza averle validate in modo rigoroso.
In secondo luogo le cause di incendi e terremoti si possono analizzare in modo molto rozzo. La struttura di foreste e sottoboschi
e ancor pi quella degli strati geologici profondi poco nota. Non
conosciamo i numeri. Possiamo solo arguire quali siano i meccanismi rilevanti.
Invece possiamo conoscere esattamente come sono fatte le reti
elettriche. Il loro comportamento governato dalla struttura di progetto, dai regolatori e dai programmi dei computer preposti a monitorare e gestire la rete. Questi reagiscono in modo prevedibile
anche a eventi casuali (ad es. cortocircuiti) e provvedono a modificare la rete stessa. Possono escluderne alcune parti, togliendo
energia ad alcuni utenti per non danneggiare la maggioranza. Possono inserire nuovi generatori. Questultimo intervento possibile,
per, solo se il gestore provvede a tenere in funzione - calde, ma
erogando potenza minima - un numero adeguato di centrali di riserva.
difficile costruire modelli adeguati di grandi reti complesse. Il loro
funzionamento dipende anche dalla competenza e dalla tempestivit degli operatori. Ricordiamo che Chernobyl, la pi grave catastrofe nella storia della generazione di energia, fu causato dalla
temeraria stupidit degli addetti a quella centrale. E bene studiare
la teoria delle reti. Ma non va dimenticato che i modelli matematici sono sempre rozze approssimazioni della realt e che operatori e utenti meglio addestrati possono essere decisivi per evitare
sia guasti minori, sia grandi catastrofi.
10 Sull arg. del passaggio culturale tra societ moderna e postmoderna, v. tra gli altri: OHMAE, K., Strategie creative, Milano,
1985; TOFFLER. A., L azienda flessibile, Milano, 1990; FARSON, R., Il management per paradossi - modelli di leadership per
il XXI secolo Milano, 1998; STACEY, R. D., Management e caos
- la creativit nel controllo strategico dell impresa, Milano, 1996;
OLIVETTI, A., Tecnica delle riforme, 1951, ed. mov. comunit.
Inoltre: CARLI, C.C., L impresa a gruppo ed il bilancio consolidato
- trasparenza gestionale privata, nell ambito delle nuove tendenze economico sociali, in: Impresa, c. i., 1995, 2, 260; CARLI,
C.C., L azione amministrativa: trasparenza, efficienza, controlli.
Dalla motivazione dell avviso di accertamento alla trasparenza
amministrativa, in: Impresa, c.i., 1995, 1, 71.
11 Gli studiosi della resilienza quindi dei problemi connessi alla
dinamica dei sistemi sociali ed ecologici - riconoscono alcune sue
caratteristiche cruciali:
Latitudine - lammontare massimo cui un sistema pu cambiare
senza perdere la propria abilit al recupero (prima, quindi, di oltrepassare una soglia che, se sorpassata, pu rendere difficile
o impossibile il recupero stesso).
Resistenza - la facilit o la difficolt di cambiare il sistema, o meglio, quanto e come il sistema resistente a subire un cambiamento.
Precariet indica quanto sia vicino lattuale stato di un sistema

Information Security n 16 dicembre 2012

lucidit della struttura sistemica. Tra queste, quelle inserite negli

ATTI DEL CONVEGNO SULLA FUNZIONE DEL SECURITY MANAGER, svoltosi a Roma il 13 novembre 2012, presso la Scuola
Superiore di Polizia.
Non cito ciascun interventore per non fare torti. Vorrei invece evidenziare il peculiare taglio dato alliniziativa, tesa a far emergere
limportanza e la necessit di una PARTNERSHIP TRA PUBBLICO E PRIVATO.
Ora, e lItalia in questo ha una lunga esperienza nellistituto delle
PARTECIPAZIONI STATALI, il concetto di operazione stato riscoperto oltreoceano ed applicato dapprima nel settore militare
per fini tattici (si parla in questo caso di CIVIL-MILITARY COOPERATION), la cui applicazione stata peraltro varia, a seconda
del settore operativo, dellarea di intervento, delle forze impiegate
in campo.
Oggi, si tende a vederne unapplicazione di tipo strategico e non
pi a fini (esclusivamente) militari, per arrivare ad un miglior raggiungimento degli scopi prefissati per una o unaltra amministrazione in questo o quel settore. Ne vengono, cos, ad avere applicazione settori quali lINTELLIGENCE (a vocazione innanzitutto
verso lesterno) e la POLIZIA (a vocazione specialmente allinterno).
Tuttavia, ed ancora unaltra peculiarit italiana, esistono altri
esempi, quali la MAGISTRATURA ONORARIA che pur facendo
molto parlare di s (non sempre positivamente), costituisce una
risposta insostituibile allesigenza di servizi giudiziari e, pi in generale, di Sicurezza sociale.
Altro recente evento, per me denso di inputs, stata la 3a CONFERENZA ANNUALE SULLINFORMATION WARFARE, svoltasi in
Roma, presso lAula Magna dellUniversit La Sapienza l8 novembre del c.a. Essa ha avuto come scopi (A) individuare metodologie per lelaborazione di una strategia di sicurezza cibernetica
nazionale per il sistema-Italia e (B) far emergere esistenti ovvero
richiamare la necessit di introdurne - innovazioni organizzative
nellambito della architettura cognitiva e decisionale di sicurezza

Information Security n 16 dicembre 2012

PRIMO PIANO

ad un limite o una soglia.

Panarchia - utilizzato per ricordare che - a causa delle interazioni
a diverse scale - la resilienza di un sistema ad una particolare
scala dipender dalle influenze di stati e dinamiche alle scale sopra e sotto il sistema stesso.
Adattabilit - la capacit degli attori di un sistema di influenzare
la resilienza del sistema stesso. In un sistema sociale ed ecologico questa caratteristica riguarda proprio la capacit di gestire
la resilienza da parte delluomo.
Trasformabilit - la capacit di creare fondamentalmente un
nuovo sistema quando le condizioni ecologiche, economiche e
sociali rendono il sistema stesso non pi mantenibile. La capacit di mantenere un sistema adattativo ed operare quindi con
una governance di tipo adattativa, aiuta a creare adattabilit e
trasformabilit negli stessi sistemi sociali ed ecologici.
12 La swarm intelligence (traducibile come: teoria dello sciame intelligente) un termine coniato per la prima volta nel 1988 da Gerardo Beni, Susan Hackwood e Jing Wang in seguito a un progetto ispirato ai sistemi robotici. Esso prende in considerazione lo
studio dei sistemi auto-organizzati, nei quali unazione complessa
deriva da unintelligenza collettiva, come accade in natura nel caso
di colonie di insetti o stormi di uccelli, oppure branchi di pesci, o
mandrie di mammiferi. Secondo la definizione di Beni e Watt la
swarm intelligence pu essere definita come: Propriet di un sistema in cui il comportamento collettivo di agenti (non sofisticati)
che interagiscono localmente con lambiente produce lemergere di pattern funzionali globali nel sistema.
Caratteristiche
Ogni individuo del sistema dispone di capacit limitate;
Ogni individuo del sistema non conosce lo stato globale del sistema;
Assenza di un ente coordinatore (ad esempio in uno sciame di
api, lape regina non coordina lattivit delle altre
13 Desidero sottolineare che, tra le varie fonti a cui mi sono ispirato, ce ne sono alcune che sono state addirittura illuminanti per

35

PRIMO PIANO

nazionale, allo scopo di potenziarne le capacit tanto di prevenzione che di reazione efficace e tempestiva per eventuali minacce o attacchi di cyber-war contro interessi vitali o infrastrutture
critiche nazionali.
14 I dati sensibili nel diritto italiano sono i dati personali la cui raccolta e trattamento sono soggetti sia al consenso dellinteressato
sia allautorizzazione preventiva del Garante per la protezione dei
dati personali.
Secondo il Codice (d.lgs. 196/2003, art.4) sono considerati sensibili i dati personali idonei a rivelare: origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale
Tale elenco viene considerato chiuso, nel senso che non lecito
procedere per analogia. Per esempio stato chiarito che la condizione sociale, le prestazioni sociali ricevute, titoli di studio formazione e esperienze di lavoro, la solvibilit del debitore, il reddito
percepito o patrimonio posseduto non rientrano nel trattamento
severo riservato ai dati sensibili (ma sono comunque tutelati dalla
legge sulla privacy).
Ci in parte in contraddizione con il senso comune, in quanto
notoriamente vi pi resistenza a rendere noto il proprio reddito
o il proprio stato di indigenza che non a dichiarare le proprie opinioni politiche o sindacali (p.es. partecipando a manifestazioni
pubbliche). Questa apparente contraddizione spiegata dalla finalit della legge sulla privacy: tutela dei diritti e libert fondamentali, ma anche della dignit delle persone ovvero dellidentit
personale.
Il legislatore stesso, allart.27, ha trattato in modo severo anche i
dati giudiziari.
15 Per rispettare gli Accordi di Schengen e per dare attuazione alla
direttiva 46/95/CE del Parlamento europeo, e del Consiglio, relativa alla tutela dei dati personali, nonch alla libera circolazione di
tali dati, venne emanata la legge 31 dicembre 1996 n. 675. Col
passare del tempo, a tale norma si sono affiancate ulteriori leggi,
riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessit normativa immancabilmente creatasi in
seguito allapprovazione di norme diverse ha reso indifferibile
lemanazione di un Testo Unico, il D.lgs. 30.06.2003 n. 196, Codice in materia di protezione dei dati personali (in vigore dal
2004) che ha riordinato interamente la materia, dove le disposizioni sono per la maggior parte pressoch identiche a quelle
contenute nella L. 675/1996.
In data 25 gennaio 2012, la Commissione Europea ha approvato
la proposta di un regolamento sulla protezione dei dati personali,
che andrebbe a sostituire, una volta definitivamente approvato, la
direttiva 95/46/CE in tutti e 27 stati membri dellUnione Europea,
e in Italia andr quindi a prendere il posto del D.lgs. 196/2003.
Alcune delle novit del regolamento: (A) restano ferme le definizioni
fondamentali, ma con alcune aggiunte (dato genetico, dato biometrico); (B) viene introdotto il principio dellapplicazione del diritto
UE anche ai trattamenti di dati personali non svolti nellUE, se relativi allofferta di beni o servizi a cittadini UE o tali da consentire
il monitoraggio dei comportamenti di cittadini UE; (C) si stabilisce
il diritto degli interessati alla portabilit del dato (ad. es. nel caso
in cui si intendesse trasferire i propri dati da un social network ad
un altro) ma anche il diritto alloblio, ossia di decidere quali in-

36

formazioni possano continuare a circolare (in particolare nel

mondo online) dopo un determinato periodo di tempo, fatte salve
specifiche esigenze (ad esempio, per rispettare obblighi di legge,
per garantire lesercizio della libert di espressione, per consentire la ricerca storica); (D) sar eliminato lobbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un Privacy officer (data protection officer)per le imprese al di
sopra di un certo numero di dipendenti; (E) sar introdotto il requisito del privacy impact assessment, oltre al principio generale detto privacy by design; (F) sar introdotto lobbligo per tutti
i titolari di notificare allautorit competente le violazioni dei dati
personali (personal data breaches); (G) le autorit nazionali di
controllo, dovranno assicurare indipendenza(in Italia il Garante per
la Protezione dei dati personali) e saranno dotate pi specificamente poteri (anche sanzionatori).
Gli scopi del d.lgs. 196/03 mirano al riconoscimento del diritto del
singolo sui propri dati personali e, conseguentemente, alla disciplina delle diverse operazioni di gestione (tecnicamente trattamento) dei dati, riguardanti la raccolta, lelaborazione, il raffronto,
la cancellazione, la modificazione, la comunicazione o la diffusione
degli stessi. Allart. l del T.U. viene riconosciuto il diritto assoluto
di ciascuno sui propri dati: Chiunque ha diritto alla protezione dei
dati personali che lo riguardano e quindi pertiene ai diritti della
personalit.
Tuttavia, il diritto alla riservatezza diverso rispetto al diritto sui propri dati personali (che riguarda solamente informazioni circa la propria vita privata), ma pi in generale ingloba ogni informazione relativa alla persona, pure se non coperta da riserbo (sono dati
personali ad esempio il nome o lindirizzo della propria abitazione).
Lo scopo della legge quello di evitare che il trattamento dei dati
avvenga senza il consenso dellavente diritto, ovvero in modo da
recargli pregiudizio. Nel Testo Unico, Titolo II articoli da 8 a 10,
sono a tal scopo definiti i diritti degli interessati, la modalit di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o
tratta dati personali e le responsabilit e sanzioni in caso di danni.
16 Ne consegue, che la funzione di Security - se da una parte deve
essere costantemente impegnata nellattivit di studio, sviluppo e
attuazione di strategie, politiche e piani operativi volti a prevenire
e superare ogni comportamento colposo o doloso che potrebbe
provocare danni diretti o indiretti alle risorse personali, materiali dallaltra costituisce una funzione che deve curare un costante
raccordo con le istituzioni, dando eventualmente luogo ad una sinergia pubblico - privato (ruolo in cui sono esperti i militari che
ancora una volta in modo antesignano hanno creato la cos
detta Civil Military Cooperation).
17 Si trattava, in origine, di due diversi disegni di legge proposti dal
deputato Mike Oxley (repubblicano, eletto nellOhio) e dal senatore Paul Sarbanes (democratico eletto nel Maryland): i due disegni furono unificati da una commissione bicamerale nellatto finale approvato il 24 luglio 2002 con grandissima maggioranza in
entrambe le camere, e firmato dal presidente George W. Bush il
30 luglio. La legge mira ad intervenire per chiudere alcuni buchi
nella legislazione, al fine di migliorare la corporate governance e
garantire la trasparenza delle scritture contabili, agendo tuttavia
anche dal lato penale, con lincremento della pena nei casi di falso
in bilancio e simili. Viene inoltre aumentata la responsabilit degli
auditor allatto della revisione contabile.

Information Security n 16 dicembre 2012