Security Manager: indispensabile per crescita qualitativa servizi erogabili
La figura del Security Manager è oramai prassi consolidata in Italia in realtà aziendali fortemente strutturate, sia pubbliche che private, o in quelle realtà dimensionalmente piccole ma caratterizzate da un management “illuminato”. In tutti questi casi, i vertici aziendali hanno intrapreso un percorso volto all'individuazione di professionalità esterne alla struttura (in alcuni casi si è deciso addirittura di internalizzare la funzione aziendale in ragione della delicatezza delle questioni trattate), dotate di competenze tecniche specifiche per avviare processi di analisi del rischio e per l'individuazione delle necessarie azioni di rimedio dello stesso. Tuttavia non esiste alcuna disposizione normativa di natura generale che obblighi a ricorrere al Security Manager. Il legislatore, che pure si caratterizza per la tendenza all'iper-normazione, in un settore tanto delicato ha per il momento lasciato fare ai singoli. Rappresentano un’eccezione alcune lodevoli iniziative a livello territoriale, quali la mozione approvata nell'agosto del 2020 dal Consiglio Regionale del Lazio che ha imposto l'istituzione della figura del Security Manager presso le infrastrutture ospedaliere regionali pubbliche e private. Ma una rondine non fa primavera. E, soprattutto, una mozione regionale non è una legge.
Il ragionamento deve tuttavia spostarsi su un livello più alto di analisi, facendo lezione anche di quanto accaduto negli ultimi mesi in Italia, per spiegare le ragioni per le quali, non certo soli in questa nostra convinzione, riteniamo fondamentale per la sicurezza del sistema Paese l'introduzione dell'obbligo del Security Manager.
Il 12 maggio scorso Roberto Cingolani ed Enrico Giovannini, ministri rispettivamente della Transizione Ecologica e delle Infrastrutture e Mobilità Sostenibile, hanno dato attuazione con decreto interministeriale alla figura del Mobility Manager prevista dalla legge n.77 del 17 luglio 2020. Obiettivo “la riduzione dell'impatto ambientale derivante dal traffico veicolare nelle aree urbane e metropolitane negli spostamenti sistematici casa-lavoro”. Come si legge nel comunicato stampa congiunto “le imprese e le pubbliche amministrazioni con singole unità locali con più di 100 dipendenti situate in un capoluogo di Regione, in una Città metropolitana, in un capoluogo di Provincia o in un Comune con popolazione superiore a 50.000 abitanti sono tenute ad adottare, entro il 31 dicembre di ogni anno, un piano degli spostamenti casa lavoro (PSCL) del proprio personale dipendente”. Si tratta di un processo di efficientamento assolutamente condivisibile, che si pone l’obiettivo ultimo dell’abbattimento della CO2 nelle nostre città e di contribuire a conseguire una sicurezza ambientale che ci consenta di vivere meglio. Sicurezza quindi.
Parimenti, lo scorso 3 agosto è stata approvata dal parlamento la legge che sancisce la nascita dell’Agenzia per la Cybersecurity e il 5 agosto il Consiglio dei Ministri ne ha individuato il direttore. Nell'articolato della legge istitutiva si definisce il concetto di cybersicurezza come “insieme delle attività […] necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico”. Il concetto di sicurezza che torna.
Sicurezza ambientale, sicurezza dello spazio virtuale. Misure necessarie, a valle di quanto accaduto e continua ad accadere, ma che ribadiscono l'approccio difensivo della nostra legislazione: si interviene per correggere una criticità, mai per prevenirla. Con costi economici e sociali più elevati, e un impatto negativo sulla percezione della sicurezza che richiede molto tempo per essere corretto.
Così, se dopo la Seconda Guerra Mondiale abbiamo deciso, più o meno consapevolmente, di barattare la crescita economica a tutti i costi a discapito dell'ecosistema nel quale siamo pur sempre costretti a vivere, oggi le conseguenze catastrofiche che stiamo sperimentando, e che possiamo solo in parte immaginare accadranno nel prossimo futuro, ci costringono ad orientarci verso un modello di crescita che auspichiamo ambientalmente sostenibile. Sempre ammesso che ciò risulti possibile, non essendone ancora univocamente definiti i nuovi parametri, i costi che comunque dovremo sostenere sotto ogni punto di vista potrebbero superare i benefici di cui ha goduto l'umanità, o meglio parte della popolazione mondiale. Se avessimo avuto la lungimiranza di analizzare sin dall'inizio i rischi derivanti dal nostro modello economico, pesando vantaggi e svantaggi anche nel lungo periodo, forse oggi saremmo più ricchi e più sicuri. Se da un lato “La favola delle api” di Mandeville si dimostra assolutamente incapace di descrivere la realtà in un sistema caratterizzato dall’estrema concentrazione di fattori produttivi quali capitale, forza lavoro altamente qualificata e degli investimenti in ricerca che si traduce in un incolmabile squilibrio di potere economico, politico e di benessere, d'altro canto la dimostrata fallacia del determinismo economico di stampo marxista avrebbe dovuto spingerci a definire una cornice di sviluppo scevra da approcci ideologici, che in genere mascherano interessi particolari.
Allo stesso modo, con la diffusione planetaria di internet a partire dalla fine del secolo scorso, e più recentemente dei social networks, si è deciso di barattare l'illusione dell'onniscienza e dell'onnipresenza con la tutela della nostra privacy e la sicurezza dei dati, a volte assai sensibili, che mettiamo a disposizione di realtà economiche, e oserei dire politiche, che travalicano il concetto quasi obsoleto di Stato. In una sorta di contrappasso dantesco, la fame di conoscenza si è tradotta in una perdita di controllo e verifica (che Popper mi perdoni!) dell'informazione. Volevamo sapere e il risultato è che non sappiamo più davvero cosa sappiamo, mentre chissà quale lontano profilatore sa tutto di noi. L'ennesima asimmetria in un mondo che non riusciamo più a governare… e così diventa possibile un suicidio collettivo come la Brexit, la probabile manipolazione dell’elezione presidenziale americana del 2016, la pirateria informatica tra organizzazioni, Stati, imprese, individui: naturale esito di un sistema, quello del web, nato come acefalo!
Perché non evitare la sindrome del “tanto non capita a me” anche al settore della sicurezza, nel senso anglosassone di safety and security, delle nostre organizzazioni produttive e del capitale umano che in esso lavora?
Il Security Manager è il professionista capace di definire i processi che, a valle dell'analisi di rischio, un’organizzazione deve adottare per prevenire i rischi propri dell'attività che svolge oppure quelli connessi al contesto in cui opera. Per certi versi è una figura complementare al mobility manager o all’esperto di cyber sicurezza. La sicurezza è un concetto amplissimo, che continua ad allargarsi e ad essere studiato nei suoi molteplici aspetti, che si intersecano su vari livelli, richiedendo figure altamente specializzate, ma capaci di utilizzare le medesime metodologie ed il medesimo linguaggio di base. Il fatto che nella riforma del comparto della sicurezza privata si sia deciso di introdurre obbligatoriamente negli istituti di Vigilanza una figura dotata di queste competenze ha rappresentato un passo in avanti nella qualificazione del settore.
Adesso è necessario indicare funzioni e compiti di questo professionista della sicurezza nella security, definendone le “best practices”.
Sarà un altro gradino verso la crescita qualitativa dei servizi erogabili, misurabile in termini di efficacia, e quindi di autorevolezza e credibilità nei confronti del mercato e della politica. Non possiamo più permetterci, a livello globale, locale ed anche individuale, di non valutare i rischi che le nostre azioni, le nostre attività, le nostre decisioni comportano per una serie, attentamente definita per priorità, di obiettivi.
Il rischio zero non esiste. Il rischio calcolato ci sembra però già molto.
a cura di Maria Cristina Urbano,
Presidente ASSIV