Sicurezza

Security, fase necessaria (ma trascurata) nel risk assessment aziendale

La security è un elemento portante di un sistema organizzativo efficiente ed è collegata a tutti gli assets aziendali. Ma al centro di questo complicato meccanismo c’è pur sempre l’essere umano

05 Ago 2020

Matteo Codecasa

security & criminology advisor

Il problema della sicurezza è certamente uno dei più dibattuti e delicati degli ultimi anni, caratterizzato da una straordinaria varietà di aspetti e fattori, fino a divenire un problema della società stessa, e configurandosi come rischio e perdita di sicurezza dentro un’epoca, considerata tra le più insicure della storia occidentale. La sempre più crescente domanda di sicurezza e legalità si fa ovunque insistente e si richiedono adeguate risposte al fine di soddisfare questo bisogno di rassicurazione. Basti pensare che Abraham Maslow, psicologo statunitense, nella sua “scala dei bisogni umana” poneva al secondo posto il “bisogno di sicurezza”. Oggi più che mai, le aziende si trovano in prima linea per far fronte a tale necessità; eppure spesso viene sottovalutata o considerata solo a evento avvenuto, non tenendo in considerazione di quanto il tema della security risulti essere di vitale importanza nella salvaguardia del patrimonio, nel benessere dell’impresa, nella continuità aziendale, ma soprattutto nello sviluppo del risk assessment.

Definire il tipo di sicurezza

Bisogna fare una premessa doverosa; un concetto facile noto in tutto il mondo, Italia esclusa, ovvero la differenza tra safety e security. Due termini di origine anglosassone all’apparenza simili ma con una funzione ben precisa, che vi troviate in Francia o negli Stati Uniti, oppure in Medio Oriente o tra le fredde strade di Mosca, nella maggior parte del mondo difficilmente trovereste un paese nel quale sia confusa la parola safety, la quale richiama l’ambito della sicurezza sul lavoro (in Italia D.Lgs.81/08), antincendio e affini, con quello di security, che riguarda l’analisi dei rischi esogeni, siano essi fisici o informatici, di origine criminosa, atti a danneggiare gli assets personali e di proprietà delle aziende. Pensiamo ad esempio a una “server farm”, la quale possiede un altissimo livello di cyber-security, e questo, è noto a tutti, ma parte integrante della stessa è anche la physical security (sicurezza fisica), ovvero, il complesso di tutte quelle misure atte a prevenire o dissuadere da determinati attacchi ad un locale o edificio. Solo negli ultimi anni in Italia si comincia a parlare del concetto legato alla security, infatti alcune realtà, principalmente multinazionali, possiedono al loro interno veri e propri dipartimenti di sicurezza coordinati da security manager, che si configurano come figure di alto livello manageriale e con personale preposto all’analisi e alla formazione. Inoltre osserviamo anche la diffusione in ambito accademico di specifici corsi di laurea o alta formazione in tema sicurezza. I due concetti sono sì differenti, ma in sintonia nell’ambito aziendale, in quanto la sinergia dei due procedimenti, legate agli altri assets aziendali, creano un quadro completo nell’organigramma della stessa. Quindi, non solo la security è necessaria, ma è parte integrante della stessa impresa, risultando come “sintesi di attività diverse per oggetto e strumenti di intervento, atte a garantire all’impresa la costante disponibilità e integrità delle risorse necessarie per realizzare la propria mission, il tutto a beneficio dell’immagine dell’azienda e del grado di soddisfazione della clientela” (P.G. Piccioli).

La security aziendale deve quindi saper offrire una soluzione concreta ai problemi, dimostrarsi orientata al risultato, calarsi nel quotidiano, e in particolare, esprimersi in modo partecipativo e condiviso, trasferendo a tutti i livelli aziendali una diffusa cultura della prevenzione e della sicurezza fondata su processi di comunicazione virtuosi e sul coinvolgimento consapevole e responsabile di tutti, nell’interesse del sistema. Molto spesso però, imprenditori, dirigenti e amministratori, sia della piccola che media impresa, considerano la security come un fattore non necessario se non in presenza di un evidente danno, sia di natura vandalica, oppure di un furto e/o rapina, arrecando così alla medesima ingenti danni sulla produzione, sul fatturato, spendendo tempo e denaro per sistemi o servizi non adeguati alle proprie esigenze, causando un circolo vizioso che si ripercuote sulla società stessa. È necessario che anche le piccole e medie imprese favoriscano lo sviluppo di questa cultura al fine di migliorare le condizioni dell’intero sistema. A trarre beneficio della situazione, non sono solamente le regole e le procedure, ma soprattutto chi le esegue e in quale modalità; è così che l’individuo diventa fattore essenziale del sistema sicurezza.

Risk assessment, risk management e valutazione del rischio criminoso

Tutti sanno che, grazie a specifiche norme e leggi, un’azienda è tenuta a garantire la sicurezza dei propri dipendenti e dei luoghi di lavoro degli stessi, con la stesura di un apposito documento di valutazione dei rischi, detto DVR. Il risk assessment o valutazione del rischio criminoso, deve essere considerato allo stesso modo, configurandosi come la prima fase del risk management, resta inteso che l’elenco accurato e completo dei rischi di natura criminosa, deve essere elaborato congiuntamente dal responsabile del servizio prevenzione e protezione, con l’assistenza del professionista della security. In altre parole l’assessment è una valutazione (probabilistica) dei rischi aziendali, mirata alla stima quantitativa e qualitativa degli stessi, dove sicurezza sul lavoro, sicurezza fisica e cyber-security si uniscono con un unico obiettivo: la protezione di cose e persone. Un valido aiuto per i professionisti del settore è la normativa UNI EN ISO 31000, la quale classifica in cinque livelli, i rischi:

  • Livello uno: accettabile;
  • Livello due: medio-basso;
  • Livello tre: medio-alto;
  • Livello quattro: alto;
  • Livello cinque: catastrofico.

Se prendiamo come esempio la valutazione del rischio rapina, risulterà più complessa, rispetto alla valutazione di un rischio furto. Nel caso di un furto, il professionista deve valutare le probabilità che il fatto possa avvenire e quale possa essere l’entità del bottino asportato dai malviventi. Risulta evidente che se analizziamo un rischio rapina, il quale può comprendere traumi fisici e psichici a una o più persone, è alquanto più complessa.

Ma cosa intendiamo per rischi aziendali e nello specifico, quali rischi si potrebbero presentare? Prima di tutto, dobbiamo partire dal presupposto che ogni situazione aziendale è a sé, o meglio, si può definire un’azione da intraprendere con un calcolo matematico sul grado di rischio applicabile (come nell’elenco riportato), ma sarà differente per ogni realtà; è per questo che l’assessment è di fondamentale importanza nella corretta stesura. I rischi aziendali si presentano come tutte quelle circostanze che possono arrecare danni di qualsiasi genere all’azienda e alle persone che vi operano; tali rischi possono essere numerosi, come ad esempio rischi reputazionali, casi di spionaggio industriale, rischi emergenti (che potrebbero danneggiare il business di un’azienda), rischio finanziario, rischi strategici, rischi di gestione delle informazioni.

WHITEPAPER
Quali sono i mobile malware più diffusi?
Mobility
Cybersecurity

Come abbiamo detto quindi, un’operazione di risk assessment prevede l’individuazione nei diversi processi aziendali, di tali rischi e della relativa pericolosità; sarà invece compito del risk management di minimizzare o di eliminare quelli individuati, nonché monitorarli costantemente. Il risk assessment svolge un importante ruolo preventivo, in quanto, permette all’azienda di individuare gli episodi potenzialmente dannosi, la frequenza con cui possono manifestarsi, le conseguenze che possono derivarne, e di agevolare la stessa in modo da poter operare in totale sicurezza nonché migliorare progressivamente il proprio business. Particolare attenzione va posta alla sicurezza fisica, che vale tanto quanto quella informatica per la protezione degli asset di un’azienda. Nel caso di un insuccesso della sicurezza fisica, si creano danni a tutte le misure di sicurezza (anche informatiche) dell’impresa, offrendo informazioni, dati, prodotti all’attenzione dei malviventi.

Prevenzione e formazione

Le misure che possono essere utilizzate per porre sotto controllo il rischio sono: di tipo fisico (ad esempio casseforti, vetri stratificati, porte blindate e simili), di tipo elettronico (impianti di controllo accessi, impianti antintrusione, di videosorveglianza e simili), di tipo antropico; nello specifico quest’ultimo tipo di difesa si caratterizza dell’ausilio di guardie particolari giurate, della formazione dei dipendenti, nonché all’adozione di modelli di comportamento adeguati, in particolare, si configura di notevole importanza per l’intera strategia di messa in sicurezza del rischio. Questi tre aspetti il professionista dovrà valutarli ed esaminarli congiuntamente, perché solo con l’adozione integrata di queste tre tipologie si può assicurare un efficace sistema di prevenzione e mitigazione del rischio. Anche in questo caso le normative vengono in nostro aiuto, per quanto riguarda le difese fisiche, il cui obiettivo è quello di ritardare l’attacco; abbiamo, ad esempio la EN 1303 che disciplina le serrature o la EN 11431 per le casseforti, per le difese elettroniche, per le quali, l’obiettivo non riguarda ritardare l’attacco ma segnalare il fatto che il medesimo è in atto; abbiamo la CEI 79:3 e la EN 50131 che pongono le linee guida per la progettazione e la gestione di un impianto antintrusione a regola d’arte, e infine, ma non per questo meno importanti, le difese antropiche, ovvero, le procedure che si basano essenzialmente sull’operato dell’uomo. Sebbene banale, il fattore umano è alla base di un corretto sistema di sicurezza, in primo luogo perché fa riferimento alla messa a punto di procedure e modelli di comportamento, che permettono al lavoratore di sfruttare al meglio i dispositivi di sicurezza che ha a disposizione, in modo da mitigare il rischio stesso; in secondo luogo si dispone di personale come guardie giurate, forze dell’ordine e personale preposto, che può contribuire alla prevenzione del rischio o mettere sotto controllo le conseguenze.

Pensiamo anche a quanti di noi, in ufficio, scrivono su un post-it le credenziali di accesso a una determinata cartella o server e, a quante persone, specialmente se a contatto con il pubblico, possano aguzzare la vista su quel piccolo pezzo di carta; una svista direte voi, che però potrebbe portare a conseguenze dannose per tutto il sistema. Per questo il nostro comportamento deve essere attento e responsabile e parte integrante del sistema stesso, solo in questo modo potremo veramente mitigare il rischio. Purtroppo, l’aspetto formativo viene molto spesso sottovalutato dalle aziende. L’impiego di tempo e la formazione dedicata all’illustrazione dei corretti modelli di utilizzo dell’impiantistica anticrimine, contribuiscono in modo determinante a ridurre l’esposizione al rischio del lavoratore.

Conclusioni

In conclusione, abbiamo quindi visto come la security si configuri come portante di un sistema organizzativo efficiente e collegata a tutti gli assets presenti in azienda e non solo, abbiamo visto anche come l’essere umano ancora una volta è posto al centro di questo complicato meccanismo e, cosa più importante, come un buon sistema di sicurezza possa proteggere non solo la nostra azienda ma l’intero sistema, dalla nostra casa alla nostra città. In sintesi, per costruire la sicurezza occorre uscire dalle “pareti” della propria impresa e occorre che tutti, dal piccolo ufficio fino alla grande industria, facciano la loro parte, che si colleghino ad altre imprese che operano nel quartiere, questo è il primo passo per promuovere efficaci iniziative per la sicurezza dell’azienda e del territorio stesso, migliorando anche la comunicazione con le forze dell’ordine. La corretta applicazione e gestione della security fornisce le basi per un benessere aziendale e sociale.

@RIPRODUZIONE RISERVATA
C
Matteo Codecasa
security & criminology advisor

Articolo 1 di 5