Se per security si intende l’insieme di procedure, processi, tecnologie ed elementi fisici volte alla prevenzione di attività dolose in danno di persone o cose, la Cybersecurity è definibile come una particolare branca della Security costituita dall’insieme di procedure, mezzi e tecnologie per la protezione dei sistemi informativi al fine di garantirne disponibilità, confidenzialità e integrità.
Costruire un efficace legame procedurale e una completa integrazione tra i settori della sicurezza fisica e cyber costituisce la chiave di volta in termini di incremento del livello di protezione e di resilienza dell’organizzazione intera.
Se da un lato i sistemi di videosorveglianza e controllo accessi sono tipologie di impianti particolarmente diffusi per la protezione da atti illeciti e non solo, spesso non sono adeguatamente protetti dal rischio di minacce cyber. D’altro canto la sicurezza dei locali che ospitano datacenter, server, sistemi informativi in genere deve essere garantita da misure di sicurezza fisica adeguatamente efficaci.
Esempi scolastici di questa interdipendenza tra le due aree della security possono essere rappresentati banalmente da un software di gestione di controllo accessi e un CED: il primo deve essere protetto da minacce informatiche che possono minarne l’operatività così come essere veicolo di sabotaggi così come il secondo deve essere ospitato in un locale che abbia determinate caratteristiche costruttive, dotato di un sistema antintrusione e di controllo accessi etc.
Questa interdipendenza è spesso riconosciuta anche a livello normativo: basti pensare alle prescrizioni di sicurezza fisica presenti nella ISO 27001, nei framework di cybersecurity , nelle normative bancarie dove unitamente alle prescrizioni di sicurezza informatica, logica e di continuità operativa troviamo una serie dettagliata di requisiti di sicurezza fisica che devono essere garantiti.
Accade meno spesso il contrario, ovvero che normative nate come strettamente di sicurezza fisica, diano prescrizioni in materia di sicurezza informatica: la CEI 79-3 e la EN 50131 non forniscono prescrizioni, ad esempio, su quelli che potrebbero essere i requisiti, anche di massima, dei software di gestione degli impianti TVCC o antintrusione. Qualche accenno lo troviamo invece nella EN 50600 relativa alle misure di sicurezza per i datacenter.
Prof. Adriani