Sicurezza

Infrastrutture energetiche, la rivoluzione del Security Manager parte dal Friuli Venezia Giulia

Con una legge regionale, il FVG ha stabilito che anche nel settore pubblico dovrà esserci un professionista dalle competenze certificate per proteggere reti e servizi fondamentali. Il punto con Alessandro Manfredini, presidente di Aipsa

Aggiornato il 25 Mag 2023

sicurezza-energetica

Ai principi di marzo il Consiglio regionale del Friuli Venezia Giulia ha approvato la legge “Misure per la semplificazione e la crescita economica” con la quale stabilisce che le infrastrutture critiche regionali dovranno essere protette da una figura specializzata: il Security Manager. Si tratta di un atto antesignano e riformatore: “È la prima volta che una Regione italiana stabilisce per legge che le proprie infrastrutture critiche debbano essere poste sotto il controllo diretto di un Security Manager certificato”, commenta Alessandro Manfredini, presidente di Aipsa, l’Associazione italiana professionisti della security aziendale. Questa legge regionale, rinominata legge Omnibus per l’ampiezza del suo raggio d’azione (che va dall’economia circolare al sostegno all’imprenditoria femminile), prevede la “gestione integrata di tutti i rischi di natura dolosa e/o criminosa, colposa o accidentale” rivolti ai sistemi il cui funzionamento è indispensabile per garantire la salute, la sicurezza e il benessere economico delle persone, centrali elettriche e reti di distribuzione del gas incluse.

La figura certificata del Security Manager

“Siamo di fronte a una rivoluzione vera e propria, che testimonia la rinnovata sensibilità in materia di sicurezza integrata”, aggiunge Manfredini, perché la figura codificata dalla norma UNI 10459 “ha il compito di procedere ad effettuare un’accurata analisi del rischio delle infrastrutture critiche e predisporre un piano di intervento in grado di metterle al riparo da eventuali interferenze esterne”.
Difatti, la norma tecnica di riferimento certifica conoscenze ed esperienza nel prevenire e contrastare i rischi operativi, come quelli informatici, e reputazionali delle aziende. Per proteggere al meglio le nostre infrastrutture ed evitare interruzioni nell’erogazione di servizi indispensabili, le competenze distintive del Security Manager, attuale e futuro, “prescindono dal settore: visione strategica, capacità di leadership, predisposizione ad assumersi responsabilità, capacità di delegare. Ma soprattutto tanta, tanta competenza e più esperienza possibile”.

La rivoluzione parte dalla regione Friuli Venezia Giulia

L’estensione a livello nazionale della figura del Security Manager è quanto auspicato da Aipsa, associazione che per sua natura punta a valorizzare quest’ordinamento professionale. Fatte salve le grandi aziende private, dove “negli ultimi anni sono stati compiuti importanti passi avanti e il Security Manager è ormai una figura presente e riconosciuta con ruolo apicale”, evidenzia il presidente, la figura fatica a ritagliarsi una posizione strategica nelle Pmi e nel settore pubblico: “Siamo ancora indietro. Si predilige l’impiego di collaboratori e consulenti che però operano in maniera settoriale: c’è chi pensa alla sicurezza cibernetica e chi alla vigilanza privata. C’è chi si occupa di far viaggiare in sicurezza manager e dirigenti e chi monitora la supply chain. Ciò che spesso manca è una figura che coordini tutto questo lavoro, in un’ottica di integrazione e con un approccio olistico alla security, che oggi è l’unico davvero efficace”.

La sua centralità aumenta: assistiamo sempre più spesso ad attacchi cyber di diversa matrice rivolti a infrastrutture critiche nel settore energia, di cui circolano notizie più all’estero che in Italia. “Gli attacchi cibernetici sono in crescita e questo è un fatto. Ciò che ci deve preoccupare, però, è notizia di stampa, perché significa che sono andati a buon fine, anche solo parzialmente. Nelle ultime settimane sono state prese di mira le Asl, con il sequestro di informazioni sensibili di milioni di persone da parte di criminali interessati a un riscatto monetario. Ecco perché la prima regola per evitare il susseguirsi di effrazioni è non pagare mai. La seconda è dotarsi di un Security Manager per proteggersi al meglio”.

La sicurezza del settore energetico

Con la tendenza alla delocalizzazione produttiva, all’elettrificazione e alla digitalizzazione delle nostre città, gli attacchi rivolti all’approvvigionamento di materie prime sembrano aumentare, ma quali saranno le minacce più pericolose per il settore energetico? “Il settore è fortemente condizionato dalla spinta della digitalizzazione, pertanto è esposto anch’esso alla minaccia cibernetica. Oggi i grandi operatori di servizi essenziali di pubblica utilità sono per lo più società private che hanno strutturato in modo ‘industriale’ i loro processi di messa in sicurezza del business. L’obiettivo è mettere in sicurezza la supply chain, fatta da piccole o medie aziende che non hanno ancora una postura di cyber sicurezza adeguata e potrebbero rappresentare un tallone d’Achille per le infrastrutture critiche del Paese”.

Oltre alle minacce di natura “antropica” esistono quelle “meteorologiche”, frutto degli effetti dei cambiamenti climatici. In un recente convegno, cui ha partecipato anche Aipsa, è emersa la necessità di passare dall’attuale gestione dell’emergenza alla pianificazione sistematica della prevenzione, tema verticale che interessa più ambiti. Come si declina la proposta di Aipsa per far sì che si concretizzi a livello italiano una strategia della prevenzione? “Il rischio zero non esiste e ragionare in termini di resilienza non basta più. Non è sufficiente avere sensori sui ponti, in grado di comunicare il grado di solidità di un cavalcavia in seguito a un terremoto. Occorre prima sviluppare una catena di comando in grado di definire le priorità di intervento in seguito a un evento calamitoso, attraverso un’analisi del rischio di tutte le infrastrutture presenti su un territorio: dalle telecomunicazioni all’energia, dalla sanità ai trasporti”.

Per sviluppare questo piano integrato “occorre prima definire una gerarchia organizzativa e individuare un coordinatore. Serve un intervento politico il coordinamento a livello di Presidenza del Consiglio dei Ministri, non solo in ambito cyber ma anche in tutti gli altri domini che riguardano aziende pubbliche e private”.

Articolo originariamente pubblicato il 25 Mag 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5