Ragionare come chi vuole violare la sicurezza di un sistema di protezione, di una struttura o di un luogo di lavoro, quindi analizzare i contesti e studiare soluzioni di prevenzione adeguate. Un compito complesso cui sono chiamati professionisti di alto livello. Ne parliamo con Stefano Scaini, Security & Safety Advisor
Aziende private, enti pubblici e in generale le istituzioni tutte sono costantemente sottoposte a una valutazione dei rischi connessi all’ambiente di lavoro e agli spazi fruiti da personale pubblico e privato e devono adeguarsi, senza esclusione, al cosiddetto “Documento di Valutazione dei Rischi”, o DVR, il quale disciplina in tali ambiti gli aspetti sia di prevenzione sia di mitigazione. La recente situazione emergenziale dovuta alla pandemia provocata dalla Covid-19 ha, inoltre, obbligato le organizzazioni a porre maggiore attenzione ad aspetti che prima non sempre erano considerati prioritari, e ha rappresentato l’occasione per una generale verifica degli standard raggiunti.
Ne abbiamo parlato con Stefano Scaini, Security & Safety Advisor, che dal 1993 fornisce servizi, consulenze e contributi didattici in merito a sicurezza, tecnologie e applicazioni civili e militari, con particolare riferimento agli aspetti dual-use e a quanto afferente ai settori Sicurezza, Protezione e Difesa di asset critici. «Per esperienza - dice - le idee più semplici sono quelle che hanno maggior applicazione e maggior efficacia, perché in questo campo una soluzione più è complessa più implica una miriade di procedure e protocolli da applicare».
Nello svolgimento del suo ruolo, quali sono le valutazioni che ha tratto nel corso della sua attività e in particolare nell’ultimo anno?
«In questo periodo devo dire che qualche problematica è emersa: chi ha l’obbligo di stilare e periodicamente aggiornare il DVR si sta infatti accorgendo che non tutto è pienamente conforme. Mi spiego meglio: per esempio, a fronte di un rischio biologico da inserire nel DVR - rischio magari inesistente ma in ogni caso da valutare obbligatoriamente nel caso come assente - sull’onda della pandemia da Covid-19 dilagante, tutti si sono premurati di aggiornare il Documento relativamente ai rischi biologici ad essa direttamente connessi. In realtà, non dovrebbe sussistere la necessità di aggiornare il DVR per rischi non direttamente connessi a numerose delle attività che invece l’hanno fatto, o meglio dovrebbe trattarsi di un allegato temporaneo relativamente al periodo pandemico, in quanto non afferente a rischi specifici dell’attività oggetto della valutazione. Questo per dire che regna una certa confusione. Ripeto, se il rischio pandemico per la Covid-19 non è specifico della tua attività, sarebbe sufficiente stilare un elaborato di valutazione da allegare al DVR per il tempo necessario».
Qual è il vero problema?
«Da quando un po’ tutti hanno messo mano ai DVR si sono accorti che in realtà molti altri problemi sono stati tenuti in considerazione, in primis il rischio security, che necessita di essere obbligatoriamente valutato da qualunque datore di lavoro, nessuno escluso».
Con il termine “security” si fa riferimento a un insieme molto ampio di possibilità, però…
«Assolutamente sì, con il termine “security” ci si riferisce a eventi di natura dolosa, alla criminalità, al terrorismo. Similmente, in quanto a gravità in termini di impatto, per molte aziende il vero problema è rappresentato dal cosiddetto “rischio reputazionale”; in determinati contesti, infatti, spiace dirlo ma è così, ha maggior peso la reputazione dell’azienda che la vita stessa di appartenenti ad essa. Con il DVR l’azienda è tenuta a valutare i rischi per tutti gli asset, tangibili o intangibili (tra questi ultimi anche la “reputazione”). Sarà poi premura dei livelli apicali decidere fino a che punto tutelarsi a fronte di un determinato tipo di rischio e della sua entità, decidendo o meno di abbassarne il valore residuale tramite gli strumenti del caso. Per quanto mi è stato possibile verificare, in molti casi il rischio security è stato sottovalutato, se non omesso. Mentre a norma è prevista in ogni caso la sua valutazione, salvo poi specificare che si tratti di un rischio di livello basso o molto basso. In tal senso è cruciale affidarsi a un consulente esperto, non facendo confusione tra “safety manager” e “security manager”, due figure con competenze differenti tra loro. Io stesso provengo dall’ambito safety, quindi sicurezza dei luoghi di lavoro ed eventi di natura colposa, a cui però posso aggiungere elevate competenze in ambito security maturate negli ultimi 15 anni di attività professionale».
In cosa consiste nel dettaglio la differenza tra le due figure citate?
«Quando ti confronti con qualcuno, criminale o terrorista che sia, che intende “bucare” la sicurezza di un sistema di protezione, di una struttura o di un luogo di lavoro, è necessario uno sforzo di fantasia e creatività: bisogna ragionare come colui che, consapevole di una falla nel sistema, tenterà di approfittarne in maniera proattiva. Nel management della safety, quindi della sicurezza sul lavoro, invece si tratta di valutare determinati aspetti in base alla normativa vigente: hai un contesto che vedi e devi attentamente andare a matchare quello che deve essere lo stato dell’arte, che è quello che la normativa ti dice, con la situazione con la quale ti stai confrontando, facendo soprattutto un lavoro di compliance (conformità) tra la normativa vigente e le pratiche seguite o da seguire».
Operativamente, quali aspetti deve considerare in modo prioritario un “security manager” che si occupa di sicurezza fisica?
«Il professionista deve guardare alla pianificazione della sicurezza da un punto di vista fisico unitamente a quello tecnologico: sicuramente il fencing (recinzione) e la sensoristica a esso applicata, insieme all’intero sistema di videosorveglianza, la fanno da padrone. Se sul perimetro di un sito da proteggere hai 50 o 100 telecamere non puoi pensare di avere h24 una o più persone che fisicamente guardino una miriade di monitor. Ci sono quindi dei sistemi automatici con sensori che avvertono che sta succedendo qualcosa e una determinata telecamera si attiva permettendo a chi è in control room di vedere quello che sta accadendo. A fare la differenza sono le caratteristiche della protezione perimetrale, la sensoristica applicata a questa recinzione e il sistema di videosorveglianza che porta il mio sguardo nel punto in cui il sensore si è attivato, costituendo il primo step per garantirmi dei livelli di protezione adeguati. Per non parlare della parte di comunicazione, che deve essere il più rapida possibile e consentire a chi si recherà sul posto di farlo con gli strumenti adeguati al tipo di penetrazione in corso. Buona parte del mio lavoro - mi occupo essenzialmente di sicurezza fisica - consiste proprio nell’andare in un sito e studiarne le caratteristiche in maniera discreta. Per farlo, solitamente, viene organizzata col management una visita all’interno della struttura, mi vengono fornite informazioni, planimetrie, tutto quello che possono e vogliono dare, poi però c’è anche una corposa parte di reperimento di informazioni non in chiaro, reperibili per esempio attraverso internet. Io mi devo comportare come chi intende compiere l’effrazione, cosa che implica per esempio il recarmi sul sito durante la notte, oltre che di giorno, nei giorni festivi come in quelli feriali, verificare quando arrivano le merci, come si aprono i cancelli, come vengono gestiti i varchi. L’obiettivo è capire tutti i modi possibili e immaginabili, se ce ne sono, per entrare».
Questa tipologia di attività di chiama “red teaming”.
«Esatto, sono i cosiddetti “penetration test” fisici, ovvero io cerco di ‘bucare’ il sistema di protezione e tu devi cercare di fermarmi in tempo. Ci sono sempre il “red team” e il “blu team”, i primi sono i “cattivi”. Io impersono l’ipotetico effrattore e ti mostro come ho fatto, poi come professionista ti propongo delle soluzioni. Analizzo il contesto, gli strumenti che hai, e ti segnalo dove si trova l’eventuale vulnerabilità. Non bisogna dare per scontato nessun tipo di tentativo, essere aperti mentalmente e lavorare senza preconcetti: è questo l’unico modo per valutare adeguatamente il rischio security, che è notevolmente complesso e presenta innumerevoli variabili».
