Security manager: differenze tra le versioni

Il '''Security manager''' è la figura di riferimento per l'organizzazione, la gestione e l'assunzione di [[responsabilità]] della [[sicurezza]] di un'[[azienda]].

In quest'ottica la moderna figura del ''Security manager'' nel rispetto della dottrina della [[scienza della sicurezza]] deve essere in grado di presidiare rischi e minacce a tutto campo in relazione agli scenari sempre in evoluzione nel campo tecnico, informatico, economico, finanziario, ecc. in un contesto sempre più globalizzato ed interconnesso con le realtà più disparate<ref> L’esperto della sicurezza (o security manager) deve avere competenze necessarie indubbiamente vaste e di natura eterogenea tra loro anche dal punto di vista tecnico-specialistico. In genere, possiede una laurea in [[ingegneria elettronica]], [[ingneria informatica|informatica]] o delle comunicazioni, ma può aver conseguito anche solo un diploma ad indirizzo tecnico. Il security manager deve comunque possedere: competenze tecniche, conoscenze giuridico-legali e di [[criminologia]] con riferimento specifico ai crimini informatici e alla tutela delle informazioni, nozioni sul rischio e sulla protezione aziendale, sulla tutela di [[marchio|marchi]] e [[brevetto|brevetti]] e infine conoscenze per l’analisi delle frodi aziendali, competenza per quel che riguarda Internet e tutte le problematiche inerenti a server, reti e periferiche, competenze su piattaforme hardware e software e le modalità del commercio elettronico, familiarità con i più diffusi protocolli di comunicazione e con linguaggi come [[linguaggio Java|Java]] e [[Html]] e [[Xml]], conoscenza di sistemi di [[algoritmo|algoritmi]] [[crittografia|crittografici]], [[protocollo di rete|protocolli]] di [[autenticazione]] e gestione delle [[chiave (crittografia)|chiavi]], padronanza della [[lingua inglese]] e capacità di lavorare in team e alla disponibilità ad orari flessibili. È ritenuto fondamentale, inoltre, un orientamento al problem ''[[problem solving]]'' e la capacità di imporre i necessari provvedimenti di sicurezza elaborati. Spesso, infatti, è proprio il cliente del security manager ad ostacolarne il lavoro, magari inconsapevolmente, per ignoranza sull’argomento o semplice trascuratezza (così Isfol - elaborazione editoriale - il 27.07.2010) </ref>.

Così, il ''Security manager'' dovrà possedere una buona padronanza del ''[[business]]'', delle tecniche per garantire la ''sicurezza fisica'', la ''[[privacy]]'' e la ''[[governance]]'' ed essere quindi un soggetto di riferimento in grado di operare nell'azienda in modo trasversale fornendo rilevanti capacità di supporto e di comunicazione verso i terzi. Importantissima per quest'ultima, la capacità di gestire un partenariato pubblico-privato a tutto campo<ref> La problematica molto attuale della sicurezza ha visto nascere in Italia, corsi universitari e non, ideati appositamente per affrontare un tema che sta divenendo sempre di maggiore rilievo.

L’[[Università di Bologna]], all’interno della [[Facoltà di Scienze Politiche]] e in convenzione con AssoSicurezza di Milano, come l'[[Università di Roma Tor Vergata]], all'interno della [[Facoltà di Giurisprudenza]], hanno istituito un ''Corso di Perfezionamento'', rivolto a laureati, in ''Security Management'' e ''Security Manager'' </ref>.

Il concetto contemporaneo di ''sicurezza'' che chiama in causa il ''Security manager'' abbraccia un contesto molto ampio che va dalla sicurezza fisica dell'infrastruttura, al controllo della protezione delle strategie produttive dell'impresa, alla sicurezza delle [[infrastrutture critiche]], alla [[sicurezza nazionale]], alla [[sicurezza informatica]], alla [[sicurezza sul lavoro]], della fedeltà dei dipendenti, della rete di informazione-comunicazione, dell'introito merci, del trasporto protetto e sicuro dei prodotti, della privacy, ecc.<ref> Negli [[USAStati Uniti d'America]] e nel nord dell’Europa il ruolo e l’importanza nella strategia dell’azienda dell’esperto della sicurezza sono da tempo riconosciuti e sfruttati; in [[Italia]], al momento, le società che offrono un servizio di sicurezza online sono ancora poche, ma il mercato sembra essere in espansione.

Il concetto sicurezza in senso lato generalmente si identifica nella [[safety]], [[security]] ed [[emergency (sicurezza)|emergency]]:

===Il risk management===

Il ''risk management'' è l'analisi del rischio globale e relativa gestione attraverso l'esame degli scenari del rischio, della strategia di gestione e controllo del rischio, dell'identificazione e valutazione del rischio, del rischio di ''compliance'', degli strumenti di controllo, dell' ''enterprise risk management'' e della crisi di ''management''.

===Lo scenario di riferimento===

Attiene laalla valutazione e presa in carico del rischio, nonché lall'evoluzione del rischio: da quello fisico a quello strategico, l'esame dei riferimenti legislativi della ''security'', la strutturazione della funzione della ''security'' e le sue interrelazioni interne ed esterne, la collocazione organizzativa nonché la missione ed il ruolo della funzione di ''security''.

Rientra in questo campo l'attività preliminare di ''intelligence'': analisi del territorio, dell'azienda, del contesto competitivo, delle vulnerabilità, delle tipologie di rischio di un approccio integrato di tutela ambientale, scelta delle opzioni di ''security'' nonché tecnologie di supporto dell' ''homeland security''.

===Governo della security===

Ovvero, il governo della ''security'': impresa e qualità, certificazione dei sistemi e delle professionalità, le norme ISO 150 9000 e loro evoluzione, il sistema della gestione aziendale secondo UNI EN ISO 9004, la ''security'' nei contratti esterni, nella sicurezza privata, la selezione, l'yutilizzoutilizzo e la gestione dei servizi di sorveglianza, l'organizzazione della sicurezza pubblica e privata, la definizione di una ''security policy'', la sicurezza del ''top management'', la tutela del patrimonio informativo.

===Sicurezza delle informazioni===

[[File:CIASeal of the Central Intelligence Agency.svg|thumb| stemma della CIA (nello scudo brandito dall'aquila).<ref>[{{Cita web |url=http://www.americanheraldry.org/pages/index.php?n=DesignAward.CIA |titolo=Simple Arms a Rarity in American Government Heraldry (Americanheraldry.org)] |accesso=12 febbraio 2012 |urlarchivio=https://web.archive.org/web/20120322035042/http://www.americanheraldry.org/pages/index.php?n=DesignAward.CIA |dataarchivio=22 marzo 2012 |urlmorto=sì }}</ref>]]

Riguarda la sicurezza dei sistemi di elaborazione dati, le tipologie di attacco, le tecniche di difesa HW e SW, la sicurezza dei sistemi di telecomunicazione, la tutela delle informazioni, la tutela dei dati personali in applicazione del D. Lgs. 196/2003 sulla ''privacy'', la sicurezza della base dei dati: autorizzazioni, piani di ''bachupbackup'' e procedure di ''disaster recovery'', meccanismi di ''tracing'' e di ''auditing'', ''firewall'' per l'interconnessione con la rete internet, ecc.

===Relazioni istituzionali===

È uno degli aspetti più delicati fra tutte le competenze del ''security manager'' cui è richiesta la capacità di alimentare costantemente un partenariato pubblico-privato. In tale ottica egli dovrà rapportarsi con le conseguenze dell'impatto dell'azienda sul territorio e sulla popolazione. A seondoseconda dei casi dovrà relazionarsi e collaborare con le forze di polizia, gli istituti di vigilanza privata, uffici pubblici interconnessi con l'attività aziendale, organi di informazione (stampa, redazioni on-line e radio) e talora anche con [[storia dei servizi segreti italiani|servizi di informazione e sicurezza]] italiani o stranieri, ufficialmente contattabili -questi ultimi- attraverso i canali [[ambasciata|ambasciate]]-[[consolato (diplomazia)|consolati]].