Proseguiamo con il nostro decalogo del buon Security Manager, ovvero l’insieme di quei precetti fondamentali riguardanti questa professione. Nell’uscita precedente di S News (n.d.r. Cristhian Re: Il Decalogo del Security Manager) ne avevamo illustrati cinque. Ora tocca ai rimanenti cinque.
Una precisazione a beneficio di tutti, in particolare dei lettori più esigenti e severi: lungi da noi l’ambiziosa pretesa di completare con dieci tocchi di pennello la Gioconda della Security. Impossibile racchiudere forzosamente in dieci punti il complesso ruolo e gli articolati compiti di chi svolge questo mestiere. Per i dettagli si rimanda sempre alle norme e agli standards (nazionali e internazionali), anche solo per trarne puntuale ispirazione laddove si nutrano dubbi di natura interpretativa o applicativa.
È pensiero dello scrivente, tuttavia, che norme e standards tendano a tracciare il profilo del “tuttologo”. Nella realtà non è così. Ad oggi (e sono trascorsi vent’anni dal mio ingresso in azienda) non ho avuto ancora il privilegio di imbattermi in un professionista del nostro settore esperto in tutte e ventotto le attività indicate dalla UNI 10459, solo per citare una norma ad esempio. Ho avuto, invece, l’onore di incontrare grandi specialisti da cui ho imparato a coltivare la virtù cardinale della prudenza e provare un senso di vertigine di fronte a materie che non si padroneggiano. Mutuando l’art. 55 il Codice di Procedura Penale, l’umiltà aiuta a non commettere errori o, come più spesso accade, a impedire che quelli già commessi o in corso vengano portati a conseguenze ulteriori.
Un giorno chiedo al mio professore di educazione fisica del Liceo, Elvio Grilli, quale sia l’atleta migliore nell’atletica leggera. Sono gli anni in cui furoreggiano sul tartan Ben Johnson, Carl Lewis e Linford Christie. Mi attendo uno di questi nomi e, invece, senza esitazione risponde: Dan O’Brien. Dan chi? Ribatto attonito io. Il decatleta Dan O’Brien, rincalza lui. Secondo Grilli il decathlon è la disciplina più completa in assoluto, in quanto comprende prove di velocità, salto, lancio e resistenza. Per i polivalenti decatleti non conta eccellere in una prova, ma cercare di non flettere (troppo) nelle altre.
Questo sforzo di sintesi, dunque, non vuole minimamente esaurire la tematica in poche battute, ma raggiungere un sufficiente livello di astrazione per offrire una visione di insieme utile a un manager quanto più tondo.
IL DECALOGO
6. Maturare in Azienda una Security a tuttotondo cogliendo le opportunità emergenti senza dimenticare quelle già emerse
In un quadro caratterizzato dalla globalizzazione e da contesti operativi sempre più complessi e in continua evoluzione, l’azienda deve adeguarsi adattandosi e rispondendo alle innumerevoli sollecitazioni esterne, con un approccio e un modus operandi quanto più rigoroso che non indulga all’improvvisazione e alla estemporaneità.
L’incremento di settori d’interesse (sinonimi di sviluppo e crescita) o di possibili minacce (perdite, danni) per l’Azienda, corrisponde ad altrettante aree d’intervento per la Security. Le opportunità emergenti in nuovi ambiti professionali sono espressione diretta del mutamento di scenario in termini d’interazione e polarità. Conformandosi alle nuove circostanze secondo il principio “dell’infinitamente elastico”, si accrescono le possibilità di controllo del fenomeno o, perlomeno, di disporre di margini di manovra sufficienti.
La Security è chiamata a procedere per geometrizzazione dei nuovi fattori in gioco (quali ad esempio: risk management, compliance management, infrastrutture critiche, fraud management) dotandosi di idonei strumenti, strutture e competenze per il conseguimento di una sicurezza globale, cioè a tuttotondo, capace di rispondere con efficacia a un montante numero di sfide.
7. Coniugare security e valore: da “proteggere” il valore a “creare il valore della Security”
Il valore economico dell’impresa è costituito dall’insieme di capitale intellettuale e di assets tangibili. Il capitale intellettuale è la conoscenza a disposizione in un’impresa e capace di generare vantaggio competitivo, come il capitale umano, il capitale delle relazioni e il capitale dell’organizzazione (capitale strutturale, assets intangibili e proprietà intellettuale). Gli assets tangibili, invece, sono rappresentati dal capitale reale (capitale fisico e capitale finanziario).
Nel corso degli ultimi trent’anni la Security ha subito una profonda trasformazione che ne ha mutato i tratti. Orientata in origine principalmente sulla tutela di beni di natura tangibile, ha gradualmente e progressivamente abbracciato il patrimonio aziendale nella sua interezza.
Con l’adozione delle logiche di processo in cui le attività sono parametrabili e misurabili in funzione della contribuzione al successo e alla competitività dell’azienda, la Security ha compiuto un ulteriore balzo in avanti passando da un modello sostanzialmente (omeo)statico di protezione a uno virtuoso di creazione di valore. Lo schema precedente assimila il nuovo e dall’unione ne è scaturito un paradigma innovativo caratterizzato da uno stato di “equilibrio dinamico”, così definito da Matteo Rampin.
8. Presidiare impatti della crisi finanziaria mediante la razionalizzazione degli investimenti di sicurezza e loro riconoscimento dai vertici e nei bilanci aziendali
Gli impatti economici di una crisi finanziaria producono effetti di breve e di lungo periodo. Entrambi sono affrontati (e auspicabilmente risolti) con interventi di natura macro-economica da Governi e da organismi e Istituzioni internazionali e sovranazionali, affinché le disfunzioni del sistema si riequilibrino nel più breve tempo possibile evitando, così, che tali effetti contagino e alterino l’economia reale causando perniciose conseguenze di più lungo periodo.
In tale contesto e, soprattutto, in relazione dell’imprevedibilità del fenomeno, dell’effettiva portata e dei relativi sviluppi, gli investimenti di sicurezza, sebbene contribuiscano certamente ad arginarne i danni e alla tenuta interna di un’azienda, non riescono a incidere direttamente e profondamente nella risoluzione della crisi, né a competere in termini di volume di capitali richiesti e di rapidità nell’azione di contrasto con i veri attori (Governi, ecc.) chiamati nell’arena decisionale.
Al verificarsi di una crisi finanziaria il Security Manager ha il precipuo compito di individuare le aree critiche più esposte a una componente eterogenea di rischi e, nel contempo, razionalizzare l’insieme degli investimenti ottimizzando le risorse di cui dispone. Una volta operata una selezione efficiente degli investimenti, grazie alla definizione di aree d’intervento e alla rigorosa analisi dei ritorni economici, i vertici aziendali non potranno che riconoscerne la validità e, conseguentemente, inserirli nei bilanci aziendali.
9. Massimizzare le sinergie con il Sistema Paese e con le Istituzioni
Le Infrastrutture Critiche (IC) e gli Operatori di Servizi Essenziali (OSE) sono, evidentemente, componenti strategiche di un Paese per il mantenimento delle funzioni vitali della società, della salute, della sicurezza nazionale, della crescita economica e del benessere sociale dei cittadini. L’eventuale danneggiamento o distruzione determinerebbe un grave impatto. Dal funzionamento continuo e coordinato dell’insieme di IC e OSE dipende lo sviluppo e la qualità della vita nei Paesi industrializzati.
Ne costituiscono un esempio: il sistema elettrico ed energetico, le reti di comunicazione, il sistema sanitario, le reti e le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale), i circuiti economico-finanziari, le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze, ecc. Per ragioni di carattere economico, sociale, politico e tecnologico tali soggetti sono diventati sempre più interdipendenti.
L’approccio alla materia, in ragione dell’elevatissimo grado di complessità e interconnessione, oltre a richiedere un enorme sforzo da parte delle aziende interessate sia in termini economici sia in termini operativi, prevede altresì la collaborazione e il sostegno delle istituzioni statali, le uniche in grado fungere da collante e di massimizzare le sinergie con il Sistema Paese in una visione di chiaro impianto strategico nazionale.
10. Comunicare e valorizzare la security in azienda migliorando la percezione della sicurezza con attività specifiche di “marketing e comunicazione” interne
Assunta la teoria schneieriana secondo cui la sicurezza è un processo e non un mero prodotto, ne discende che per garantire il business in modo efficace occorre mettere in atto, come in una spirale virtuosa, processi tesi al proprio miglioramento, all’ottimale utilizzo delle risorse e alla riduzione del rischio.
In aderenza all’architettura generale dei processi, il diagramma di flusso in figura mostra come la valorizzazione della Security sia il prodotto (OUT) derivante dall’immissione (IN) di due elementi, coscienza (intesa come consapevolezza, percezione) e conoscenza, nelle attività di marketing e comunicazione interne.
Il marketing (qui nell’accezione di dare impulso a qualcosa per farla avanzare e progredire) e la comunicazione (dal lat.: che compie il suo incarico insieme con altri; mettere in comune, far partecipe) di principi, scopi e metodiche della Security contribuiscono a diffonderne capillarmente la cultura all’interno dell’Azienda e a radicarne saldamente i fondamenti, consentendo la formulazione di nuovi e più efficaci paradigmi cognitivi.
Tipiche operazioni di promozione e comunicazione interne della Security sono costituite da quelle specifiche attività di informazione e sensibilizzazione, tese alla condivisione dei capisaldi e delle relative applicazioni pratiche.
di Cristhian Re
Chi è Cristhian Re
Attualmente Chief Security Officer & General Services di Acciai Speciali Terni. Laurea in Scienze Politiche e Lettere Moderne, MA in Intelligence and Security, ufficiale in congedo dei Carabinieri, CBCI, PFSO, Lead Auditor ISO 37001, 9001, 27001, 22301, 20000, autore de “La misura della sicurezza” e “Propedeutica all’analisi del rischio”. Ha maturato la sua esperienza nell’industria della Difesa (Alenia Aeronautica e Finmeccanica), nel settore di produzione dell’Energia (Edipower), delle Multiutilies (A2A). Membro del Comitato Scientifico di S News, è curatore della rubrica Il Dazebao della Security.
