Approccio strutturato e responsabilità distribuite per tenere sempre al massimo il livello di guardia.
Il security manager di Sia, Roberto Masotti, è un ex Carabiniere cui è stato affidato il delicato compito di proteggere tutte le risorse della società, dai beni, ai dipendenti, dai dati alla rete. Da due anni a questa parte, l’azienda ha realizzato in concreto il concetto di business continuity, ovvero è in grado di continuare a operare al di là di ogni evento, senza interruzioni e perdita di dati o transazioni. "Siamo una delle poche aziende in Italia – sostiene Masotti – e abbiamo raggiunto questo risultato con un grande impegno sia di risorse sia economico. La business continuity va oltre il disaster recovery, che si realizza con il mirroring dei dati su un sito remoto. Per l’alimentazione, per esempio, abbiamo due collegamenti a centrali elettriche differenti, un sistema Ups e due motori diesel. Abbiamo realizzato due sale crisi completamente autonome, dotate anche di telefoni satellitari. Il palazzo è antisismico e a prova di alluvione, grazie a un fossato e quattro pompe pronte a entrare in funzione". E gli esempi potrebbero continuare a lungo, perché tutto, in Sia, è protetto a più livelli. Ogni pc, per esempio, richiede una strong authentication, con una carta a microchip che consente di attivare la firma digitale, oltre a essere dotato di personal firewall. Per i portatili dei consulenti e fornitori esterni, è disponibile una rete dati separata da quella dei dipendenti, senza alcun punto di contatto con le risorse interne. L’accesso a Internet è filtrato, e alcuni dipendenti possono accedere ai siti autorizzati solo durante l’intervallo di pranzo. Tutti gli attachment sospetti vengono bloccati, il patch management è gestito da persone dedicate e la tenuta dei firewall e degli Ids viene verificata in continuazione, con penetration test e vulnerability assessment effettuati con tool sempre diversi.
Un’organizzazione distribuita
Una serie di attività, come si vede, complessa e articolata, che richiede processi rigidissimi. Come opera la direzione sicurezza di Sia, per garantire l’eccellenza di una tale organizzazione? "Noi ci limitiamo a fare le regole per le singole business unit – spiega Masotti – e a vigilare che vengano rispettate. Siamo 14 persone, e lavoriamo assieme a 28 sistemisti, che chiamiamo Local security administrator e a 14 Management consultant che si occupano di qualità. Infatti, qualità, sicurezza e business continuity hanno molte attività sovrapposte, ed è necessario metterle a fattor comune. Il fatto di essere un’azienda certificata ci ha certamente aiutato ad avere un approccio strutturato".
La direzione sicurezza si occupa anche di scouting delle tecnologie, che vengono tutte verificate prima dell’acquisto, e di sviluppare soluzioni di sicurezza per il prodotti destinati ai clienti Sia. In più, esiste un’attività di monitoring, che verifica, attraverso dei cruscotti, le performance dei sistemi. Tutto ciò è continuamente soggetto a cambiamenti. "Quello che è stato fatto oggi domani deve essere rivisto: la sicurezza è qualcosa di dinamico", conclude Masotti.
