Safety vs Security: cosa sono, differenze e come monitorarle

Safety e Security sono due facce di una stessa medaglia. Se da un lato, la Security si occupa della protezione da danni intenzionali causati da fattori esterni, quali furti o attacchi informatici, la Safety si concentra sulla prevenzione di danni non intenzionali causati da pericoli fisici, come incidenti o disastri naturali. Tuttavia, le due definizioni sono accomunate da un unico approccio distintivo che vede la convergenza tra proattività e reattività, in termini di adozione di misure in risposta a potenziali minacce e a valle di un incident.

È un tema cui devono far fronte tanto le organizzazioni pubbliche quanto le imprese private, per assicurare l’erogazione di un servizio o la business continuity. In ambito Energy & Utilities, Safety significa, ad esempio, implementare una sensoristica atta a rilevare fughe di gas o sbalzi anomali di tensione, mentre la Security può riguardare la salvaguardia da attacchi informatici del sistema SCADA - Supervisory Control and Data Acquisition. In un ambito totalmente diverso come il Pharma, la Safety si occupa, ad esempio, di controllare gli accessi alle camere sterili o pianificare la manutenzione predittiva degli impianti, mentre la Security implementa piani di controllo contro il furto dei medicinali.

Ma in cosa si differenziano concretamente i concetti di Safety e Security?

Safety e Security: le differenze fondamentali

È possibile riassumere le differenze principali in 4 punti:

• Prevenzione e protezione. In genere, le misure di safety sono implementate in anticipo proprio per evitare che si verifichino lesioni o incidenti diretti o collaterali. Al contrario, le misure di security sono messe in atto in risposta ad attività criminali o violenze che hanno già avuto luogo.

• Copertura. L'ambito della security è molto più ampio di quello della safety e può estendersi anche a livello internazionale. Ad esempio, i governi sono responsabili nel garantire la sicurezza dei propri cittadini attuando misure di sicurezza alle frontiere e nello spazio aereo (homeland security). Sebbene le misure di safety siano essenziali per proteggere gli individui e le organizzazioni dai danni fisici, quelle di security coprono una gamma più ampia di aree, come ad esempio le infrastrutture fisiche, informatiche e tutti gli aspetti della sicurezza nazionale. Ad esempio, le misure di sicurezza fisica come serrature e sistemi di allarme sono progettate per impedire l'accesso non autorizzato, mentre le misure di sicurezza informatica mirano a proteggere dalle minacce online e dalle violazioni dei dati.

• Educazione e formazione. La safety è di solito affrontata attraverso programmi di istruzione e formazione che mirano a sensibilizzare l’individuo sui potenziali pericoli e su come evitarli. Al contrario, i rischi per la security vengono spesso affrontati attraverso la tecnologia e le misure di sicurezza. Questo approccio prevede l'implementazione di soluzioni come barriere, telecamere di sorveglianza e sistemi di controllo accessi atti a contrastare il verificarsi di danni intenzionali. Ad esempio, una banca può installare telecamere di sicurezza per scoraggiare i furti o un aeroporto può utilizzare i metal detector in una zona filtro atta ad impedire ai passeggeri di trasportare armi.

• Una delle principali differenze tra gli incidenti di safety e di security è il lasso di tempo in cui essi si manifestano. I primi possono verificarsi inaspettatamente e sono in genere il risultato di eventi imprevisti. Scivolamenti, inciampi, folgorazioni o cadute, ad esempio, possono verificarsi in qualsiasi momento e sono spesso il risultato di errori umani o fattori ambientali (disastri naturali come terremoti o uragani possono verificarsi senza preavviso e causare danni significativi). Al contrario, gli incidenti di security sono quasi sempre pianificati in anticipo e possono richiedere del tempo per essere messi in atto. Ad esempio, un'organizzazione terroristica può impiegare mesi o addirittura anni a pianificare un attacco, raccogliere informazioni e sviluppare un piano d'azione. Analogamente, un criminale informatico può dedicare settimane o mesi alla ricerca delle vulnerabilità di una rete prima di lanciare un attacco.

Strumenti e tecnologie per monitorare e mantenere elevati livelli di safety e security

Sono oggi disponibili sul mercato strumenti e tecnologie avanzate per implementare la safety e la security. Esse rivestono un ruolo cruciale sia per monitorare e prevenire gli incidenti alle persone, agli asset e alle infrastrutture, sia per rispondere in maniera efficace agli attacchi. Tra queste troviamo:

• PSIM - Physical Security Information Management. È la piattaforma integrata che raccoglie e i dati provenienti dai sensori IoT, da sistemi di controllo fisico o altre apparecchiature dedicate (videocamere, allarmi antincendio, ecc.) per avere consapevolezza della situazione.
• Incident Management Platform. È il sistema software che gestisce il processo di risoluzione dell’incidente. L’obiettivo principale è quello di ripristinare il più rapidamente possibile il servizio, e per farlo è necessario capire che cosa sta succedendo, in quale luogo e quali sono le contromisure possibili. A fronte di una segnalazione o di un allarme, la piattaforma innesca il processo di risoluzione e ne segue il flusso fino al completo ripristino della normalità.
• ACS - Access Control System. L’ACS regola e monitora l’ingresso a locali o risorse garantendo l'accesso solo a persone autorizzate. Gli ACS si basano su tecnologie di base come i lettori di badge RFID, o più avanzate come i lettori biometrici (impronte digitali, riconoscimento facciale, ecc.), o altro ancora (smart card, NFC – Near Field Communication, Bluetooth, ecc..).
• BMS - Building Management System. Il BMS gestisce, monitora e controlla le infrastrutture e gli impianti di un edificio, per ottimizzare l'efficienza energetica, garantire il comfort degli occupanti e garantire la sicurezza dell'edificio, come, ad esempio, l’illuminazione, la climatizzazione, l’antincendio, o, infine, le scale mobili. Il BMS è, nei fatti, la piattaforma necessaria per lo Smart Building.

Tutte le tecnologie disponibili rischiano, però, di non essere efficaci se non vi è una visione olistica e integrata della safety e della security. Se, cioè, non contribuiscono tutte, ognuna per la sua specificità, a una gestione centralizzata e consapevole delle situazioni di emergenza. Va sottolineato, inoltre, il contributo fondamentale deli Analytics e dell’Intelligenza Artificiale in tale contesto: l’analisi dei dati migliora la capacità di risposta dei singoli sistemi. La correlazione dei dati provenienti da fonti diverse consente una visione chiara e predittiva delle situazioni di emergenza, soprattutto per gli incidenti.

8 best practice da promuovere per un ambiente di lavoro sicuro

Per essere efficiente sul fronte della prevenzione, è importante che il Security Manager promuova le seguenti best practice:

• Stabilire procedure chiare e protocolli di sicurezza.

• Condurre audit e ispezioni regolari.

• Investire in attrezzature e forniture di qualità.

• Incoraggiare i dipendenti a segnalare eventuali condizioni o pratiche non sicure.

• Promuovere una cultura della sicurezza nei luoghi di lavoro.

• Stabilire chiare conseguenze per le violazioni della sicurezza.

• Premiare i dipendenti più virtuosi.

• Investire in programmi di educazione e formazione.

Tutte queste buone pratiche si riflettono in industry specifiche, richiedendo competenze e piani di azione mirati. In particolare, nel settore edile, la safety è senz’altro una priorità assoluta e richiede investimenti in dispositivi di protezione individuale, sistemi anticaduta, impalcature e protocolli di ispezione delle attrezzature. Nel settore sanitario, invece, le misure di sicurezza includono protocolli di controllo delle infezioni, procedure di identificazione dei pazienti, protezione dei farmaci e manipolazione sicura di materiali pericolosi. Anche nel manufacturing e nei traporti l’attenzione è rivolta alla protezione dei lavoratori, alla prevenzione degli incidenti che possono coinvolgere macchinari e veicoli o, più in dettaglio, all’ergonomia e movimentazione di materiali pericolosi, ai sistemi di controllo del traffico e alle procedure di risposta alle emergenze. Infine, settori come l’industria alimentare e dell’ospitalità affrontano problemi legati all’antincendio, alla sicurezza alimentare e al controllo della folla. Le misure di sicurezza da garantire includono sistemi di allarme antincendio, estintori, conservazione degli alimenti e monitoraggio della temperatura, piani di evacuazione e formazione sulla sicurezza alimentare.

Affrontare l’emergenza: quali sono le strategie più efficaci

Anche in ambito security, occorre garantire il rispetto di buone pratiche. Ecco le più importanti:

• Stabilire procedure di superamento dell’incident chiare

• Assicurarsi che ingressi e uscite della struttura siano sicuri e monitorati 

• Installare telecamere di sicurezza nel rispetto della privacy

• Crittografare i dati sensibili ed eseguirne regolarmente il backup

• Installare un’infrastruttura IT adeguatamente protetta in termini fisici e logici

• Prevedere uno o più ambienti di disaster recovery qualora necessario

• Prevedere gruppi di continuità statici e dinamici per fronteggiare adeguatamente i blackout e garantire la continuità operative e del business.

Sicurezza e protezione sono due concetti distinti, entrambi fondamentali in termini di protezione di individui e società. Gli obiettivi, gli ambiti, le responsabilità, l'approccio, le tempistiche, le minacce e le normative sono differenti: comprendere queste differenze è fondamentale per i Security Manager di organizzazioni pubbliche e private, così dada sviluppare conoscenze e strumenti sempre più efficaci, volte alla mitigazione dei rischi e adottare misure di prevenzione sempre più efficaci e globali.