Oltre l’arte dell’in-sicurezza: il nuovo approccio minaccia-centrico
Vi siete mai chiesti per quale ragione, al supermercato, i pannolini si trovino accanto alle birre di qualità? O perché cioccolato e snack siano posizionati vicino alle casse, le spezie negli angoli più remoti, i prodotti stagionali mescolati a quelli di uso quotidiano, e i prodotti per la pulizia non lontani dagli alimentari freschi? E che dire degli scaffali a tema, spesso affiancati a prodotti apparentemente non correlati? Per ciascuna di queste collocazioni, tutt’altro che casuali, esiste una spiegazione: uno studio approfondito, una strategia precisa finalizzata a stimolare l’acquisto di articoli spesso non preventivati (per gli opportuni approfondimenti si rimanda agli autorevoli testi di settore Category Management: Gestione e sviluppo delle categorie di prodotto di G. Frazzoni e Visual Merchandising: Strategie e tecniche per la comunicazione del punto vendita di F. R. Rinaldi).
Negli ultimi venticinque anni ho assistito all’esplosione di una disciplina, la Security, semplice nei suoi tratti essenziali, che fino alla fine degli anni ’90 era appannaggio di pochi. A differenza di altre funzioni aziendali, la Security ha subito una sorta di rigenerazione dando vita a nuove (sotto)discipline diverse ma correlate, la maggior parte delle quali oggi riconosciute nella norma UNI 10459 come competenze e conoscenze fondamentali per il professionista della sicurezza. Senza dimenticare l’intensa opera del Legislatore negli ultimi cinque anni in tema cyber e della generale acquiescenza che ne è seguita nell’intero settore. Si pensi al rovesciamento del rapporto cyber v/s information security, il contenuto si è fatto contenitore, la parte che indica il tutto, sostanzialmente una sineddoche che dovrebbe irritare gli addetti ai lavori.
Il nuovo approccio minaccia-centrico
Evidentemente la Minaccia è divenuta così complessa che l’approccio ora scelto è quello della risposta puntuale e immediata al bisogno specifico. Si è creato un trinomio: minaccia-misura-disciplina che ha completamente riscritto le regole della materia. Da asset-centrica la Security si è trasformata in minaccia-centrica. Significa che si è passati dal focus sul patrimonio aziendale a quello sulla vulnerabilità intrinseca, dal pieno al vuoto. Da una visione unitaria a una parcellizzata e compartimentata che ha generato le molteplici (sotto)discipline e le relative iperspecializzazioni professionali, facendo così oscillare la Security tra il modello on demand e quello take away. Un cambio di paradigma epocale. In sintesi, sono sorte parecchie professioni che prima non esistevano. E, prima ancora delle professioni, nuove discipline ciascuna delle quali correlata a determinate minacce.
Nell’adattarci al mutato quadro di riferimento, dobbiamo abituarci a concepire la Security non più come un’unica entità monolitica, ma come una specie di “catalogo virtuale” di soluzioni, competenze e strumenti. Un catalogo dinamico, in continua evoluzione, che consente all’azienda di selezionare in modo mirato e flessibile ciò che serve in funzione delle minacce percepite e delle particolari esigenze del momento.
Il Security Manager moderno
In questo scenario, il Security Manager – se vogliamo ancora usare questa definizione convenzionale – assume un ruolo molto simile a quello del Category Manager nei supermercati. Come quest’ultimo non si limita a vendere un singolo prodotto, ma gestisce un’intera categoria fatta di articoli diversi, ciascuno con caratteristiche, fornitori e targets specifici, così il Security Manager moderno deve saper selezionare, coordinare e promuovere una combinazione di misure e competenze di sicurezza, spesso molto diverse tra loro, per costruire un’offerta coerente, efficace e su misura.
Proprio come il Category Manager studia i comportamenti di acquisto, analizza dati di mercato e posiziona strategicamente i prodotti per stimolare l’interesse e soddisfare i bisogni dei clienti, il Security Manager deve analizzare il contesto aziendale, valutare le minacce emergenti e orchestrare risorse interne ed esterne, tecnologie, processi e competenze specialistiche per la tutela delle persone e degli assets materiali e immateriali. L’analisi, pertanto, muoverà dalla minaccia e non più dal patrimonio aziendale, sebbene a beneficiarne sarà sempre quest’ultimo. Un cambiamento che tocca la sostanza delle cose e non la sola forma, come invece una prima superficiale lettura potrebbe far credere.
Forse non ce ne siamo ancora accorti, ma prima ancora che la figura del Security Manager si riuscisse ad affermare pienamente nel panorama aziendale italiano, essa appare già insidiata da almeno una ventina di professionisti di Security di minore spessore manageriale, ma di elevatissima competenza tecnica capaci di rispondere a quella data minaccia.
La sfida del Security Manager
Nel prossimo futuro, la sfida del Security Manager per la sua stessa sopravvivenza sarà quella di presentarsi come un gestore integrato di complessità, capace di dialogare e coordinare specialisti di cybersecurity, compliance, investigazioni, sicurezza fisica, formazione e altro ancora, abbandonando quella aura di onniscienza tracciata irrealisticamente dalla norma UNI. Egli dovrà necessariamente evolvere da “esperto unico” – teoricamente chiamato a spaziare, come recita la norma, dal diritto alla comunicazione, dall’intelligence agli audit, dalla sicurezza informatica alla gestione delle crisi, dall’ingegneria elettronica alla vigilanza, dalla Business Continuity alla privacy, dalla travel alla due diligence, e così via – a manager di un ecosistema di soluzioni, molto simile al Category Manager, che sa scegliere e combinare prodotti e servizi diversi per intercettare anzitempo e rispondere al bisogno interno di sicurezza.
