ESSERE PROFESSIONISTA DELLA SECURITY
INTRODUZIONE
INFORMAZIONI
consentono di decidere, prevedere e impiegare le risorse di cui si dispone nel modo migliore, ottimizzando e utilizzando più efficacemente persone, mezzi, fondi e tempo
permettono ai decision maker di formulare giudizi più strutturato e di individuare soluzioni più efficaci, accurate e tempestive
l'attività di analisi svolge un'importante funzione di supporto decisionale per trovare risposte tempestive, valide e aderenti ai bisogni del fruitore/decisore
per questo è fondamentale affidarla a competenze e abilità professionali, e non lasciarla al giudizio o al parere di persone comuni
IL PROFESSIONISTA DELLA SECURITY NELLA REALTÀ CONTEMPORANEA
le questioni riguardanti la sicurezza richiedono oramai un approccio manageriale in senso stretto, che consenta si professionisti che se ne occupano di svolgere non solo funzioni di controllo e di presidio dei rischi , ma soprattutto di ricoprire un ruolo di indirizzo strategico e supporto decisionale business risk oriented
in quest'ottica il professionista della security deve ambire a diventare una figura chiave nelle attività strategiche di individuazione oggettiva detto punti di forza e delle debolezze organizzative con l' obiettivo di salvaguardare la continuità operativa/produttiva e la redditività d'impresa (la c.d. business intelligence)
al professionista della security sono richieste specifiche e adeguate capacità, attitudini, formazione, inclinazione ed esperienza
l'obiettivo della security è quello di proteggere gli asset fondamentali di un'organizzazione (proteggendone anche i processi chiave) tramite la prevenzione e la gestione di eventi di natura illecita o illegittima in grado di incidere sul benessere psico-fisico delle persone e danneggiare il patrimonio tangibile e intangibile dell'organizzazione
NUOVE SFIDE PER IL PROFESSIONISTA DELLA SECURITY: FUTURO INCERTO SENZA INNOVAZIONE
dinamismo, flessibilità, apertura al cambiamento, trasversalità e spirito di adattamento costituiscono i futuri concetti chiave di riferimento
la security contemporanea è molto di più che una semplice questione di sicurezza fisica
il moderno professionista della security deve abituarsi a convivere quotidianamente con il cambiamento e cercare di prepararsi in anticipo a esso
deve costantemente aggiornare le proprie competenze e conoscenze per sviluppare e conservare una visione concreta e aperta della realtà in cui agisce (a tutto campo)
si trova ad affrontare e a dover gestire continui complessi cambiamenti, che lo obbligano ad approcciare la sicurezza in modo globale a, trasversale, multiforme e quasi scientifico
concezione olistica, cooperativa, nell'interesse di tutti, con il contributo responsabile di tutti
è sempre più utile e necessario promuovere e stimolare un approccio proattivo alla gestione della security, creando all'interno delle organizzazioni e nelle persone una sensibilità generale alla sicurezza, che coinvolga tutti, a prescindere dal ruolo o dalle responsabilità ricoperte
oggi la security non può limitarsi soltanto a proteggere gli asset di un'organizzazione, ma deve essere ricompresa in un più ampio progetto di corporate management e business intelligence inserendosi nei processi fondamentali organizzativi, gestionali e decisionali dell'organo per passare da un ruolo tecnico operativo a uno anche strategico di "all risk assessment"
il progetto finale della security deve essere un abito sartoriale cucito su misura addosso alle esigenze e finalità dell'organizzazione a cui si applica (deve essere costruita ad hoc) nell'ottica di miglioramento continuo
il professionista della security deve progettare e implementare adeguati piani di sicurezza d'impresa, sufficientemente flessibili per adattarsi alle esigenze specifiche del contesto interno ed esterno in cui devono agire
fare Security Plan significa reinterpretare i princìpi classici del Security Risk Management (SRM) e calarli in maniera ponderata nella realtà operativa dell'organizzazione
DIFFONDERE LA CULTURA DELLA SICUREZZA A TUTTI I LIVELLI
focalizzare una politica della sicurezza sulla sola conformità dei comportamenti non è sufficiente: il fattore umano rimane determinante per il successo di ogni progetto di sicurezza
è per questo che la sicurezza, prima che sotto il profilo impiantistico e regolamentare, va affrontata con un approccio culturale, favorendo percorsi di sensibilizzazione che rendano più efficaci le strategie e le azioni preventive atte a garantirla
è importante che le strategie e le scelte effettuate in materia di sicurezza siano condivise da tutta la compagine aziendale, al fine di creare una cultura della sicurezza e della prevenzione che consenta di operare in maniera efficace e sinergica
il fattore umano rappresenta un elemento imprescindibile per costituire e mantenere un sistema di sicurezza aziendale di qualità
IL MODELLO PARTECIPATO DI SECURITY
creare una cultura partecipata della sicurezza e della prevenzione implica innanzitutto una gestione efficiente e accorta del fattore umano
fattore essenziale di qualsiasi sistema di sicurezza resta sempre l'uomo: livelli effettivi ed elevati di sicurezza si possono ottenere soltanto con il contributo sinergico e il coinvolgimento motivazionale di tutti i membri di un'organizzazione
fare sicurezza non è un compito specifico o lo scopo esclusivo di pochi addetti ai lavori, ma è essenzialmente un modo di pensare e di agire che riguarda tutti e che tutti devono contribuire a raggiungere e a mantenere vivo
la sicurezza è prima di tutto un approccio responsabile e consapevole di carattere preventivo e precauzionale, l'insieme di condotte e atteggiamenti individuali e collettivi adeguati e premianti capaci di renderci artefici del nostro successo nell'evitare il verificarsi di situazioni sfavorevoli o indesiderate
la diffusione di una security awareness è fondamentale: ciascuno individuo è il primo responsabile della propria sicurezza
una "smart security" a livello aziendale si realizza attraverso 3 distinti momenti comunicativi:
informazione: è il momento chiave di ogni strategia di controllo e contenimento dei rischi perché sensibilizza i lavoratori alle tematiche generali di sicurezza, informandoli sulle misure e attività di prevenzione e protezione messe in campo
formazione: processo educativo attraverso il quale si trasferiscono ai soggetti del sistema prevenzionistico aziendale conoscenze e procedure utili all'acquisizione di competenze per lo svolgimento in sicurezza dei rispettivi compiti e all'identificazione, riduzione e gestione dei rischi in ambiente di lavoro
addestramento: complesso delle attività dirette a insegnare ai lavoratori l'uso corretto di attrezzature e impianti di sicurezza (sistemi antintrusione, TVCC, controllo accessi, ecc.)
1) LA SICUREZZA COME PROFESSIONE
IL BISOGNO DI SICUREZZA
la vulnerabilità dipende dall'efficienza delle difese strutturali e tecnologiche esistenti, dall'idoneità e adeguatezza delle procedure organizzative e gestionali predisposte per rispondere agli eventi critici, e dall'efficacia della reazione delle risorse umane in caso di emergenza
la sicurezza non deve essere immaginata come un'entità chiusa o un obiettivo specifico, ma va concepita come un percorso, un progetto di crescita che punta al miglioramento continuo orientato all'eccellenza
LA PERCEZIONE DELLA SICUREZZA: L'IMPORTANZA DI SAPER COMUNICARE
la sicurezza non è solamente qualcosa di reale oggettivamente misurabile, ma anche una sensazione individuale emotivamente condizionata
c'è il rischio che si crei una errata percezione di insicurezza che, seppure non supportata da evidenze oggettive di fatti concreti, alimenta paure diffuse e sentimenti collettivi di preoccupazione e malessere sociale legati all'ansia di restare vittima di azioni criminose, vandalismi, comportamenti devianti e inciviltà comuni
anche i segnali deboli di malessere e disordine sociale devono essere immediatamente affrontati e arginati per evitare che possano degenerare in situazioni a più alto rischio
su questo assunto si basa la Broken Windows Theory: se una proprietà viene abbandonata e una finestra viene distrutta senza che venga subito riparata, le persone saranno portate a pensare che nessuno se ne preoccupa o ha la responsabilità o l'interesse di provvedere a ripristinare lo status quo ante
ben presto verranno rotte altre finestre e lo stato di disordine aumenterà e con esso aumenteranno l'inquietudine e la percezione di instabilità e insicurezza della gente e le loro rappresentazioni negative suggerite dal contesto
teorema di Thomas: se gli uomini definiscono certe situazioni come reali, esse sono reali nelle loro conseguenze, diventano cioè cause determinanti dei loro comportamenti e dei loro atteggiamenti, e di alcune conseguenze di entrambi
le persone possono trovarsi nella condizione di avvertire minacce che concretamente non esistono, ma le conseguenze che ne derivano diventano reali
l'idea che ci facciamo di alcune situazioni (anche astrattamente) o il significato che attribuiamo loro possono diventarne parte integrante e influire sui nostri stati d'animo e sulle condotte che poniamo in essere
favorendo adeguati e corretti processi formativi in materia di sicurezza, non soltanto si rendono più efficaci le strategie e le misure atte a garantirla, ma si trasmette una generale e rassicurante sensazione di tranquillità
è indubbio che siamo più preoccupati dei fenomeni che non conosciamo o non comprendiamo: la familiarità con le situazioni di rischio cui possiamo essere esposti induce a vedere detti rischi in modo differente, migliorando la nostra percezione della sicurezza
il professionista della security dovrà indurre il personale a un atteggiamento cosciente, consapevole e responsabile di prevenzione e prudenza
obiettivo fondamentale di una buona politica di sicurezza aziendale è quello di educare e sensibilizzare i lavoratori ai rischi professionali specifici, affinché imparino a utilizzare correttamente i dispositivi di protezione, ad applicare correttamente le procedure di sicurezza, nonché a prevenire e gestire le situazioni di crisi e di pericolo
la formazione del personale in materia di sicurezza favorisce la diffusione e il mantenimento in ambito lavorativo di un modello di "sicurezza partecipata" che si colloca tra la conoscenza (informazione) e la consapevolezza (formazione)
nella definizione delle politiche di sicurezza aziendale gioca un ruolo fondamentale l'approccio socio-psicologico e l'investimento nel fattore umano assume un'importanza primaria
è indispensabile saper comunicare qualcosa (contenuto) A qualcuno (ricevente) e occorre soprattutto saper comunicare CON qualcuno, tenendo conto del ruolo ricoperto, del bagaglio esperienziale e degli schemi interpretativi e comportamentali che possiede, senza dare nulla per scontato
il ruolo del professionista della security non deve essere né troppo teorico né troppo politico, ma deve sempre comprendere un certo grado di coinvolgimento pragmatico e di ingaggio direttamente sul campo
la consapevolezza della sicurezza è un processo cosciente, un atteggiamento continuo che può orientare un individuo verso determinate azioni, capaci di vincere i suoi tumori e le sue preoccupazioni
I VOLTI DELLA SICUREZZA
il termine "sicurezza" indica la condizione reale o percepita di tranquillità, di assenza di pericoli o rischi, di protezione da avversità, che permette di prevenire, eliminare o rendere meno gravi evenienze spiacevoli o imprevisti
la valutazione del perimetro di sicurezza considera i fattori di rischio, intesi come l'insieme delle variabili che concorrono a modificare i risultati previsti generando incertezza negli scenario ideali potenzialmente ipotizzati, esogeni (esterni all'organizzazione) e endogeni (gestibili attraverso processi organizzativi e gestione delle risorse umane) che possono ledere beni e la salute delle persone
è indispensabile promuovere e progettare politiche e interventi di "sicurezza integrata" che mettano in correlazione i problemi in una visione complessiva che tenga conto di tutti gli attori coinvolti
è quella che si definisce la "visione olistica" della sicurezza, l'approccio integrale, con il contributo di tutti, nell'interesse di tutti, in un'ottica di qualità e miglioramento continuo orientato all'eccellenza, di creazione e protezione dei valore aziendale
LA GESTIONE PROFESSIONALE DELLA SICUREZZA
la gestione della sicurezza va affrontata e costruita in modo da fornire soluzioni flessibili e “su misura”, capaci di adattarsi alle condizioni e al rischio presenti nei diversi contesti e in differenti situazioni
IL CAMPO ESCLUSIVO DELLA SECURITY: DAL RISK MANAGEMENT AL SECURITY RISK MANAGEMENT
il concetto di rischio esprime generalmente il rapporto esistente tra la probabilità di accadimento di un evento inatteso sfavorevole e l'impatto che si produrrebbe dal suo verificarsi
definizione ISO 31000:2018: "il rischio è, tecnicamente, la probabilità che si verifichi un evento indesiderato. Quanto è più la grande la probabilità e quanto più è indesiderato l'evento, maggiore è il rischio"
la gestione dei rischi può essere considerata efficace nella misura in cui è in grado di tutelare gli asset, supportare la mission, sostenere le performance e produrre e proteggere il valore di un'organizzazione
essa deve integrarsi nei modelli di business e nei processi di pianificazione strategica di ogni organizzazione
con il termine risk management (gestione del rischio) si intende un articolato processo di identificazione, valutazione, trattamento e presidio (controllo e monitoraggio) dei rischi cui è esposta un'organizzazione, nell'ambito di un determinato contesto (interno ed esterno) di riferimento, fondato sulla preventiva attività di determinazione degli scenari e profili di rischio ritenuti coerenti con la mission dell'organizzazione stessa
il risk management guarda al futuro per prevenire e mitigare, con appropriate contromisure e nel modo più oculato e accettabile possibile, i rischi inattesi e ogni altro evento critico che possono incidere sfavorevolmente sul raggiungimento degli obiettivi e delle performance attesi, compresi quelli di profittabilità del business
tassonomia dei rischi: classificare i rischi è necessario perché non tutti i rischi possono essere misurati, gestiti e rappresentati allo stesso modo
classificazione proposta da prof. Giorgino
rischi puri: capaci di generare esclusivamente perdite nel caso in cui si verifichino (un'azienda li assume quando non ne può fare a meno)
rischi speculativi: sono i tipici rischi d'impresa e possono generare sia perdite che guadagni
rischi core: connaturati al tipo di attività svolta dall'impresa (ad esempio rischio rapina)
rischi non core: conseguenti all'attività aziendale non direttamente riferiti a processi fondamentali, cruciali e specifici
rischi diversificabili: riconducibili mediante la diversificazione (ad esempio rischio geografico)
rischi sistematici: non diversificabili in quanto interessano l'intera economia rappresentando una minaccia per tutte le attività
rischi strategici: relativi a fattori che possono intaccare la redditività e la sostenibilità nel tempo dell'impresa
rischi reputazionali: capaci di danneggiare l'immagine di un'azienda facendo venire meno la fiducia nei suoi confronti
rischi operativi: associati al contesto esterno in cui opera l'impresa o ai processi e ai sistemi aziendali nonché alla condotta delle persone all'interno dell'organizzazione
rischi finanziari: relativi a fattori riguardanti la finanza di impresa o che possono impattare su di essa (credito, mercato, liquidità, tasso, cambio, commodity)
rischi di compliance: associati a comportamenti e attività che non sono in linea con le norme (sia interne che esterne)
il risk management ha come finalità generale quella di garantire la salvaguardia dell'impresa dagli eventi (interni ed esterni) sfavorevoli e dai loro effetti incerti mediante il monitoraggio sistematico delle condizioni di rischiosità cui è esposta l'azienda
questo comporta il raggiungimento dei seguenti obiettivi intermedi
la trasformazione del rischio iniziale individuato in un profilo di rischio opportunamente valutato come "accettabile"
la riduzione al minimo degli effetti sull'azienda di eventi dannosi che potrebbero arrecare perdite o danni penalizzando i rendimenti attesi
il mantenimento della capacità produttiva dell'azienda e l'ottenimento dei risultati economici previsti anche in presenza di sinistri, implementando opportune contromisure di prevenzione e protezione
la riduzione al minimo della possibilità di cessazione definitiva dell'attività in presenza di sinistri di rilevante attività
in ragione di ciò il professionista della security deve promuovere un approccio di tipo manageriale alla gestione dei rischi aziendali, fornendo il proprio contributo specialistico nel processo globale di risk management focalizzandosi sui rischi di security
la norma UNI 10459:2017 con il termine Security indica "ogni attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni prevalentemente illecite esponendo le persone e le risorse (tangibili e intangibili) a potenziali effetti lesivi e/o dannosi
il security management è un modello gestionale dei rischi di security e per questo motivo è più corretto parlare di Security Risk Management (SRM), ossia di gestione delle variabili che rendono incerto il raggiungimento degli obiettivi pianificati da un'organizzazione
quindi il SRM rappresenta l'insieme delle attività gestionali, strategiche, organizzative e operative di individuazione, classificazione, analisi, valorizzazione e gestione dei rischi derivanti da attività illecite o illegittime che possono causare danni a beni, risorse e persone, mettendo a rischio gli asset fondamentali e incidendo sulla capacità di creare valore
I RISCHI DI SECURITY
l'attività di security risk management focalizza l'attenzione su quella particolare categoria di minacce che impattano per loro natura non soltanto sul patrimonio economico aziendale ma soprattutto su tutti i soggetti presenti nel luogo di lavoro (fornitori, visitatori, etc.)
nei processi di valutazione dei rischi di origine criminosa e caratteristici della sicurezza anticrimine o security, assumono particolare rilievo:
gli interventi di prevenzione e mitigazione
i programmi di info-formazione e addestramento dei lavoratori
L'IMPORTANZA DELLA PREVENZIONE
con il termine "prevenzione" si intendono tutte le misure e azioni di deterrenza attiva in grado di impedire o ridurre la probabilità di accadimento di un evento sfavorevole incerto o aumentare le probabilità di scenari positivi
le attività e misure di "protezione" mirano a ridurre la gravità o a minimizzare l'impatto di un evento dannoso o sfavorevole, individuando idonee misure di compensazione e mitigazione
nell'ambito delle politiche di security, la prevenzione consiste nell'adottare opportune strategie in grado di:
potenziare le resistenze opposte agli eventi criminosi adottando difese tecnico-impiantistiche (protezioni attive) o strutturali (protezioni passive)
implementare un adeguato ed efficiente sistema di sicurezza organizzativa (norme e procedure ordinarie e di emergenza), verifiche e controlli di auditing
stimolare la diffusione, condivisione e interiorizzazione di una mentalità difensiva
"fare sicurezza" non significa reagire, ma prevedere e prevenire con spirito proattivo, guardare dietro e oltre le apparenze
prevenire significa anche prevedere, cioè supporre in anticipo, pronosticare, prefigurare gli eventi futuri, ipotizzare, prendere in considerazione ogni possibile situazione o fattore di rischio (anche altamente improbabile ma pur sempre ragionevolmente possibile) e per ognuno di essi valutare quante sono le probabilità di accadimento
IL PROFESSIONISTA DELLA SECURITY
LA NORMA UNI10459
delinea 3 livelli specialistici del professionista della security (secondo l’European Qualifications Framework)
Security Expert (EQF 5): professionista della security di livello propriamente operativo competente per una media complessità di security (c.d. Site Security Officer)
Security Manager (EQF 6): professionista della security di livello tattico e direttivo competente per una complessità medio-alta di security
Senior Security Manager (EQF 7): professionista della security di alto livello manageriale con responsabilità strategiche competente per la massima complessità delle attività di security
EVOLUZIONE NORMATIVA E DEL RUOLO PROFESSIONALE
lo standard ISO 31000:2018 sul risk management si pone l'obiettivo di mettere ogni organizzazione nelle condizioni di individuare, prevenire e gestire tutti i rischi incombenti nell'ambito della propria attività, attraverso un approccio strutturato
le norme ISO sui Sistemi di Gestione (SG) sono accumulate da 10 principi chiave alla base della c.d. "High Leveling Strutture" (HLS) le cui caratteristiche più importanti sono:
analisi del contesto, cioè la necessità di valutare tutti gli elementi, interni ed esterni, che possono avere impatto sul sistema e di individuare i bisogni e le aspettative degli stakeholder
approccio basato sulla valutazione dei rischi, al fine di individuare quegli elementi, fattori, circostanze o situazioni che possono costituire una minaccia o un'opportunità all'implementazione del sistema e al raggiungimento dei suoi obiettivi primari (è l'applicazione del cosiddetto "risk based thinking", approccio basato sul rischio)
leadership, come elemento motivazionale, culturale e valoriale indispensabile nell'applicazione sistemica, oltre che per promuovere la partecipazione, il coinvolgimento e la consultazione dei lavoratori
I RISCHI DI ORIGINE CRIMINOSA
SAFETY E SECURITY: L’APPROCCIO MULTIDISCIPLINARE ALLA SICUREZZA AZIENDALE
il termine italiano “sicurezza” riassume in sé due concetti assimilibali della tradizione anglosassone
safety: intesa come tutela e protezione della salute e del benessere individuale nei confronti dei rischi infortunistici derivanti da errori umani
security: orientata alla pianificazione e gestione di misure e accorgimenti tesi a prevenire e mitigare gli impatti di azioni criminose intenzionali
IL PROCESSO DI GESTIONE DEI RISCHI LAVORATIVI
LA VALUTAZIONE DEI RISCHI CRIMINOSI NELL'AMBITO DEL SISTEMA PREVENZIONISTICO AZIENDALE
un processo logico e strutturato di gestione dei rischi aziendali deve snodarsi attraverso 4 passaggi fondamentali:
1) identificazione, classificazione, analisi, ponderazione, trattamento e mitigazione delle fonti di pericolo e dei fattori di rischio per la salute e l'incolumità dei lavoratori
2) applicazione concreta e documentata di misure e azioni preventive e protettive idonee a tutelare i lavoratori sulla base degli scenari di rischio individuati
3) definizione di un programma di miglioramento progressivo nel tempo dei livelli di sicurezza e verifica periodica della sostenibilità e attuabilità del modello di sicurezza aziendale adottato
4) definizione dei ruoli che compongono il sistema prevenzionistico aziendale, secondo un modello partecipativo che preveda per ciascuno di essi specifiche responsabilità e percorsi formativi dedicati
la mappatura dei rischi costituisce la fase più complessa e delicata dell'intero processo di gestione
il concetto di rischio è legato non solo alla capacità di calcolare la probabilità che un evento pericoloso accada (che è in funzione della frequenza di accadimento, del livello di esposizione e della vulnerabilità intrinseca del contesto considerato), ma anche alla capacità di definirne il danno provocato (espresso in termini di magnitudo o gravità delle conseguenze che possono derivare)
PERICOLO: è rappresentato dall'evento calamitoso che può verificarsi (la causa)
RISCHIO: è rappresentato dalle sue possibili conseguenze, cioè dal danno che ci si può attendere (l'effetto)
EQUAZIONE DEL RISCHIO
Rischio = Probabilità X Danno
il professionista della security deve focalizzarsi soprattutto sull'attività preventiva di riduzione delle probabilità di accadimento dell'evento con la consapevolezza che in nessun caso i rischi potranno essere completamente azzerati, ma ridotti a livelli residui fisiologicamente accettabili
il principio ALARP (as low as reasonably practicable) afferma che il rischio residuo deve essere il più basso possibile
in questa fase devono essere dettagliati e mappati i seguenti punti:
i processi comunicativi e do consultazione interaziendali in materia di sicurezza
la condivisione degli obiettivi di sicurezza da raggiungere
le criticità e le fonti di rischio che si intende prevenire, eliminare o mitigare
i ruoli, le responsabilità e i comportamenti da adottare
garantire la sicurezza dei luoghi di lavoro non è un semplice atto tecnico-documentale ma un processo evolutivo continuo che richiede un approccio metodologico, organizzativo, partecipativo ed educativo di ampio respiro, capace di cogliere e valutare tutti i rischi che minacciano i lavoratori, adottando contromisure preventive e correttive
è bene individuare chiaramente i ruoli dell'organizzazione aziendale che, secondo competenze e poteri proporzionati, attuano le misure di prevenzione e protezione adottate dal datore di lavoro
i rischi di natura criminosa o "rischi di security" rappresentano quelle minacce di matrice interna e/o esterna classificate come atipiche o emergenti, che impattano per loro natura non soltanto sul patrimonio economico aziendale ma soprattutto su tutti i soggetti presenti nel luogo di lavoro mettendone a rischio l'incolumità fisica e il benessere psicologico
I RISCHI "PURI" DI SECURITY
sono i rischi di security in senso stretto riconducibili e connessi al verificarsi di attività criminali illecite o illegali, deliberate, volontarie e intenzionalmente finalizzate a creare danni
reati predatori o per scopo di lucro (ad esempio i reati contro la persona e il patrimonio)
eventi lesivi, atti violenti e azioni illecite o illegali comprese quello di stampo terroristico, dolosi e intenzionali
I RISCHI PSICO-SOCIALI
sono i rischi professionali che traggono origine da complesse dinamiche conflittuali (manifeste o implicite) di interazione sociale e che incidono sfavorevolmente sull'incolumità fisica o sul benessere psicologico e mentale del lavoratore
stress lavoro-correlato
violazioni dell'integrità personale (violenze verbali, fisiche o psicologiche)
molestie o abusi sessuali
I RISCHI DI NATURA TERRORISTICA
è necessario che le aziende considerino e analizzino tale tipologia di rischio all'interno dei propri D.V.R. sviluppando appositi piani di mitigazione dei rischi terroristici e delle azioni criminose di elevata entità che comportano conseguenze mortali
LA SICUREZZA DI VIAGGIO ("TRAVEL SECURITY")
I RISCHI CHIMICI, BIOLOGICI, RADIOLOGICI, NUCLEARI O ESPLOSIVI
il duty of care impone al datore di lavoro il dovere di salvaguardare i propri dipendenti anche quando questi si trovano a operare in trasferta svolgendo un'attenta attività di sensibilizzazione, informazione e formazione
tra i compiti del professionista della security c'è la predisposizione della scheda rischi (country risk assessment) del paese straniero contenente le good practices comportamentali e le travel policy aziendali da adottare per agire in sicurezza
la velocità di reazione al verificarsi di un evento CBRNe è decisiva per il contenimento dei danni e il contrasto dell'attacco subito
è fondamentale prevedere una dettagliata catena conseguenziale che porti all'attivazione delle strutture operative e sanitarie, e al compimento delle azioni di risposta individuate per ogni singola criticità, al fine di ripristinare le condizioni di sicurezza iniziali
SECURITY PLAN:
PROGRAMMARE PER PREVENIRE
fare sicurezza vuol dire soprattutto fare prevenzione: prevenire è meglio che curare ma è sovente più complicato in quanto richiede capacità che non possono essere improvvisate
LO SCOPO DEL SECURITY PLAN
è la gestione metodica e strutturata dei processi di security
pianificare significare non lasciare le cose al caso, non basarsi sull’improvvisazione ma applicare modelli e metodi efficaci di prevenzione e previsione, sviluppando il pensiero prospettico
chi ha pensiero prospettico sa leggere i segnali di cambiamento, sa farsi le domande giuste sul futuro e concepire alternative e linee d’azione efficaci e coerenti
fare security plan significa attingere ai principi del risk management enunciati nella norma ISO 31000:2018
il principio ispiratore comune a tutti i modelli internazionali di risk management è il c.d. "ciclo di Deming", ovvero il ciclo di PCDA (Plan - Do - Check - Act)
è un metodo di gestione iterativo in 4 fasi utilizzato per il controllo e il miglioramento continuo dei processi e dei prodotti
si parte dalla pianificazione, si effettua una prova pratica, si verificano i risultati, si apportano le correzioni del caso e, se tutto funziona, si mette a sistema per poi ricominciare nuovamente il processo e migliorarlo ulteriormente, senza fine
LE PREMESSE DEL SECURITY PLAN
un Security Plan, per risultare davvero efficace, deve essere costruito su misura ("tailored solution"), ad hoc, con caratteristiche e requisiti unici, personalizzati per ogni progetto e conformi alle reali esigenze di sicurezza dell'organizzazione
la sicurezza totale e assoluta non esiste e il concetto di sicurezza come qualcosa di statico (punto di arrivo) è sbagliato
va costruito un percorso e vanno definiti (e continuamente affinati) gli obiettivi e le risorse necessarie per raggiungerli secondo i seguenti principi:
il principio "trade off della security": compromesso tra i rischi che si corrono e i danni che si potrebbero subire
principio di precauzione, cioè preparandosi ad affrontare anche rischi possibili seppure improbabili adottando comportamenti previdenti in relazione a ipotetici scenari peggiori
principio di revisione continua: processo dinamico e mutevole che si rinnova nel tempo e richiede verifiche periodiche per individuare gli anelli deboli ed evitare il pericolo della falsa sicurezza
l'elemento più critico da considerare e gestire, l'anello debole della catena resta sempre e comunque il fattore umano (people risk) che rappresenta il punto centrale di ogni progetto di sicurezza
LE FASI OPERATIVE DEL PROCESSO DI SECURITY PLAN
tale processo consiste in un insieme di step sequenziali attraverso un procedimento analitico e strutturato
1) COMMITTMENT: l'organizzazione individua il fabbisogno, gli obiettivi di security e le risorse necessarie per raggiungerli
2) RISK ASSESSMENT: il security manager individua, esamina, valuta e misura i rischi ai quali l'organizzazione deve far fronte
3) RISK TREATMENT: il security manager espone tutti i fattori di rischio individuati (reporting) al fine di agevolare il management nel prendere decisioni per affrontare le problematiche di security e decidere le modalità di trattamento (mitigazione dei rischi)
4) MONITORAGGIO E RIESAME: fase trasversale a tutto il processo di Security Plan e prevede che ogni rischio deve essere tenuto sotto costante controllo
I. Risk identification: ricerca dei rischi, delle minacce e delle vulnerabilità, ossia di quelle variabili aleatorie che possono causare effetti inattesi e indesiderati sul raggiungimento degli obiettivi
II. Risk analysis: descrizione qualitativa della natura dei rischi (incident reporting) e definizione del livello di rischio (entità del rischio), raccogliendo i necessari input informativi e considerando tutti i possibili danni che possono derivarne (diretti, indiretti, consequenziali)
III. Risk evaluation: ponderazione o stima dell'accettabilità o tollerabilità dei rischi, attraverso una comparazione indicizzata dei risultati dell'analisi del rischio con i criteri di rischio scelti come benchmark
lo scopo è quello di redigere un elenco (risk inventory) il più esaustivo possibile di tutti i fattori e le circostanze da cui potrebbero avere origine effetti incerti capaci di favorire, accelerare, ostacolare, impedire o ritardare il raggiungimento degli obiettivi
è senza dubbio la fase più delicata, dispendiosa e importante dell'intero processo di Security Plan, in termini di tempo e complessità di analisi ma è necessaria per costruire solide fondamenta
non esistono tecniche preconfezionate o schemi logici universali che possano garantire l’individuazione di tutti i rischi possibili e, quindi, va accettato questo limite metodologico
permette di classificare e comprendere la causa, la natura e il livello dei rischi (determinandone le modalità di compimento, i possibili autori e vittime, il contesto di riferimento ipotizzabile, la collocazione temporale, le potenziali conseguenze e la probabilità che si verifichino) e supporta le decisioni riguardanti il trattamento dei rischi adottando le strategie e i metodi più appropriati
ha lo scopo di aiutare a prendere decisioni su quali rischi vanno affrontati e con quali priorità di trattamento (risk rating) quantificando le probabilità di accadimento di ogni rischio e il danno che può cagionare (risk score) per decidere con metodo come farvi fronte e in che ordine di importanza e urgenza
i risultati di questa attività di analisi possono essere indicizzati e rappresentati in modo grafico utilizzando una Risk Assessment Matrix: la sua applicazione genera una quantificazione del rischio residuo (grado di rischiosità) rappresentando una sorta di scala che esprime la priorità degli interventi da porre in essere per limitare o trattare il rischio
consiste nel selezionare e implementare (dandone attuazione concreta) una o più opzioni, misure idonee a modificare il profilo di rischio dell'organizzazione, in linea con gli obiettivi dell'impresa e del security risk management (la logica sottostante è quella classica costi-benefici)
il rischio residuo deve essere sinteticamente documentato (risk reporting) e sottoposto a monitoraggio, revisione e, se del caso, ulteriori trattamenti
modalità di trattamento ex ante: privilegiano il momento della prevenzione e indicano le misure di trattamento che possono modificare i possibili effetti indesiderati prima che si manifestino
modalità di trattamento ex post: tutte le azioni organizzative idonee alla gestione delle emergenze e che vanno attuate dopo che l'evento rischioso si è manifestato, ossia le misure di contenimento, trattamento e riduzione del danno entro livelli ritenuti accettabili
risk avoidance (non assunzione)
risk reduction (riduzione)
risk differentiation (diversificazione)
risk transfer (trasferimento o copertura)
risk sharing (condivisione)
risk retention (accettazione o mantenimento del rischio)
Business Continuity Management - BCM: garantire l'operatività dell'organizzazione in situazioni di temporanea emergenza e assicurare il rapido recupero dell'ordinaria attività operativa
Crisis Management: garantire la sopravvivenza e la reputazione dell'organizzazione in situazioni di straordinaria difficoltà operativa e gestionale, ripristinandone il normale assetto e funzionamento
Contigency Plan (piano di riserva): quando un rischio è impossibile da controllare, l'alternativa consiste nell'attuare un piano capace di garantire un accettabile livello di sicurezza anche in condizioni inaspettate e impreviste di difficoltà operativa ed emergenza
fase di revisioni periodiche e follow-up (risk monitoring) volta a verificare l'efficace tenuta nel tempo e il buon funzionamento del piano di sicurezza che è stato progettato e implementato in termini di risultati raggiunti rispetto agli obiettivi prefissati
la fase di feedback, invece, consiste in una verifica o un riscontro informativo (finale o di percorso) nell’ottica del risultato che si vuole raggiungere
ex ante per esaminare l'evoluzione dei fattori che insistono sul contesto aziendale e comprendere e anticipare il loro impatto sulle performance e sul grado di rischio dell'organizzazione
ex post per osservare e rilevare tempestivamente e con ancora maggiore attenzione il manifestarsi di nuovi rischi aziendali evidenziando i possibili ambiti di miglioramento che faranno da input a una nuova fase di risk assessment & treatment
questa attività di risk control può consistere anche in audit di terze parti a garanzia della massima imparzialità e oggettività critica e di valutazione dei risultati ottenuti
SECURITY COACHING: LA SICUREZZA È PARTECIPAZIONE
IL FATTORE UMANO NELLA SECURITY
la prevenzione dei reati di natura criminosa si attua attraverso 3 possibili strategie, complementari e sinergiche tra loro
1) soluzione di carattere tecnico-tecnologico e impiantistico, realizzabile mediante l'utilizzo appropriato ed efficace di sistemi antintrusione e mezzi-strumenti di protezione e difesa attivi e passivi, impianti di videosorveglianza e dispositivi di controllo e regolamentazione degli accessi ai siti sensibili
2) soluzione a livello organizzativo e procedurale
3) soluzione che prevede il coinvolgimento attivo e responsabile delle persone nei processi di security, diffondendo e condividendo una cultura della sicurezza fatta di condotte e atteggiamenti realmente improntati al buon senso e alla prevenzione delle situazioni di rischio (la più efficace)