Please enable JavaScript.

Coggle requires JavaScript to display documents.

ESSERE PROFESSIONISTA DELLA SECURITY - Coggle Diagram

- - - - per questo è fondamentale affidarla a competenze e abilità professionali, e non lasciarla al giudizio o al parere di persone comuni
  - - - l'obiettivo della security è quello di proteggere gli asset fondamentali di un'organizzazione (proteggendone anche i processi chiave) tramite la prevenzione e la gestione di eventi di natura illecita o illegittima in grado di incidere sul benessere psico-fisico delle persone e danneggiare il patrimonio tangibile e intangibile dell'organizzazione
  - - - il moderno professionista della security deve abituarsi a convivere quotidianamente con il cambiamento e cercare di prepararsi in anticipo a esso
        
        deve costantemente aggiornare le proprie competenze e conoscenze per sviluppare e conservare una visione concreta e aperta della realtà in cui agisce (a tutto campo)
        
        si trova ad affrontare e a dover gestire continui complessi cambiamenti, che lo obbligano ad approcciare la sicurezza in modo globale a, trasversale, multiforme e quasi scientifico
        
        concezione olistica, cooperativa, nell'interesse di tutti, con il contributo responsabile di tutti
      - è sempre più utile e necessario promuovere e stimolare un approccio proattivo alla gestione della security, creando all'interno delle organizzazioni e nelle persone una sensibilità generale alla sicurezza, che coinvolga tutti, a prescindere dal ruolo o dalle responsabilità ricoperte
      - oggi la security non può limitarsi soltanto a proteggere gli asset di un'organizzazione, ma deve essere ricompresa in un più ampio progetto di corporate management e business intelligence inserendosi nei processi fondamentali organizzativi, gestionali e decisionali dell'organo per passare da un ruolo tecnico operativo a uno anche strategico di "all risk assessment"
      - il progetto finale della security deve essere un abito sartoriale cucito su misura addosso alle esigenze e finalità dell'organizzazione a cui si applica (deve essere costruita ad hoc) nell'ottica di miglioramento continuo
      - il professionista della security deve progettare e implementare adeguati piani di sicurezza d'impresa, sufficientemente flessibili per adattarsi alle esigenze specifiche del contesto interno ed esterno in cui devono agire
        
        fare Security Plan significa reinterpretare i princìpi classici del Security Risk Management (SRM) e calarli in maniera ponderata nella realtà operativa dell'organizzazione
  - - - è per questo che la sicurezza, prima che sotto il profilo impiantistico e regolamentare, va affrontata con un approccio culturale, favorendo percorsi di sensibilizzazione che rendano più efficaci le strategie e le azioni preventive atte a garantirla
      - è importante che le strategie e le scelte effettuate in materia di sicurezza siano condivise da tutta la compagine aziendale, al fine di creare una cultura della sicurezza e della prevenzione che consenta di operare in maniera efficace e sinergica
      - il fattore umano rappresenta un elemento imprescindibile per costituire e mantenere un sistema di sicurezza aziendale di qualità
  - - - fattore essenziale di qualsiasi sistema di sicurezza resta sempre l'uomo: livelli effettivi ed elevati di sicurezza si possono ottenere soltanto con il contributo sinergico e il coinvolgimento motivazionale di tutti i membri di un'organizzazione
        
        fare sicurezza non è un compito specifico o lo scopo esclusivo di pochi addetti ai lavori, ma è essenzialmente un modo di pensare e di agire che riguarda tutti e che tutti devono contribuire a raggiungere e a mantenere vivo
    - - la diffusione di una security awareness è fondamentale: ciascuno individuo è il primo responsabile della propria sicurezza
      - una "smart security" a livello aziendale si realizza attraverso 3 distinti momenti comunicativi:
        
        informazione: è il momento chiave di ogni strategia di controllo e contenimento dei rischi perché sensibilizza i lavoratori alle tematiche generali di sicurezza, informandoli sulle misure e attività di prevenzione e protezione messe in campo
        
        formazione: processo educativo attraverso il quale si trasferiscono ai soggetti del sistema prevenzionistico aziendale conoscenze e procedure utili all'acquisizione di competenze per lo svolgimento in sicurezza dei rispettivi compiti e all'identificazione, riduzione e gestione dei rischi in ambiente di lavoro
        
        addestramento: complesso delle attività dirette a insegnare ai lavoratori l'uso corretto di attrezzature e impianti di sicurezza (sistemi antintrusione, TVCC, controllo accessi, ecc.)
- - - - c'è il rischio che si crei una errata percezione di insicurezza che, seppure non supportata da evidenze oggettive di fatti concreti, alimenta paure diffuse e sentimenti collettivi di preoccupazione e malessere sociale legati all'ansia di restare vittima di azioni criminose, vandalismi, comportamenti devianti e inciviltà comuni
      - anche i segnali deboli di malessere e disordine sociale devono essere immediatamente affrontati e arginati per evitare che possano degenerare in situazioni a più alto rischio
        
        su questo assunto si basa la Broken Windows Theory: se una proprietà viene abbandonata e una finestra viene distrutta senza che venga subito riparata, le persone saranno portate a pensare che nessuno se ne preoccupa o ha la responsabilità o l'interesse di provvedere a ripristinare lo status quo ante
        
        ben presto verranno rotte altre finestre e lo stato di disordine aumenterà e con esso aumenteranno l'inquietudine e la percezione di instabilità e insicurezza della gente e le loro rappresentazioni negative suggerite dal contesto
      - teorema di Thomas: se gli uomini definiscono certe situazioni come reali, esse sono reali nelle loro conseguenze, diventano cioè cause determinanti dei loro comportamenti e dei loro atteggiamenti, e di alcune conseguenze di entrambi
        
        le persone possono trovarsi nella condizione di avvertire minacce che concretamente non esistono, ma le conseguenze che ne derivano diventano reali
        
        l'idea che ci facciamo di alcune situazioni (anche astrattamente) o il significato che attribuiamo loro possono diventarne parte integrante e influire sui nostri stati d'animo e sulle condotte che poniamo in essere
        
        favorendo adeguati e corretti processi formativi in materia di sicurezza, non soltanto si rendono più efficaci le strategie e le misure atte a garantirla, ma si trasmette una generale e rassicurante sensazione di tranquillità
        
        è indubbio che siamo più preoccupati dei fenomeni che non conosciamo o non comprendiamo: la familiarità con le situazioni di rischio cui possiamo essere esposti induce a vedere detti rischi in modo differente, migliorando la nostra percezione della sicurezza
      - il professionista della security dovrà indurre il personale a un atteggiamento cosciente, consapevole e responsabile di prevenzione e prudenza
        
        obiettivo fondamentale di una buona politica di sicurezza aziendale è quello di educare e sensibilizzare i lavoratori ai rischi professionali specifici, affinché imparino a utilizzare correttamente i dispositivi di protezione, ad applicare correttamente le procedure di sicurezza, nonché a prevenire e gestire le situazioni di crisi e di pericolo
        
        la formazione del personale in materia di sicurezza favorisce la diffusione e il mantenimento in ambito lavorativo di un modello di "sicurezza partecipata" che si colloca tra la conoscenza (informazione) e la consapevolezza (formazione)
        
        nella definizione delle politiche di sicurezza aziendale gioca un ruolo fondamentale l'approccio socio-psicologico e l'investimento nel fattore umano assume un'importanza primaria
        
        è indispensabile saper comunicare qualcosa (contenuto) A qualcuno (ricevente) e occorre soprattutto saper comunicare CON qualcuno, tenendo conto del ruolo ricoperto, del bagaglio esperienziale e degli schemi interpretativi e comportamentali che possiede, senza dare nulla per scontato
      - il ruolo del professionista della security non deve essere né troppo teorico né troppo politico, ma deve sempre comprendere un certo grado di coinvolgimento pragmatico e di ingaggio direttamente sul campo
        
        la consapevolezza della sicurezza è un processo cosciente, un atteggiamento continuo che può orientare un individuo verso determinate azioni, capaci di vincere i suoi tumori e le sue preoccupazioni
  - - - la valutazione del perimetro di sicurezza considera i fattori di rischio, intesi come l'insieme delle variabili che concorrono a modificare i risultati previsti generando incertezza negli scenario ideali potenzialmente ipotizzati, esogeni (esterni all'organizzazione) e endogeni (gestibili attraverso processi organizzativi e gestione delle risorse umane) che possono ledere beni e la salute delle persone
      - è indispensabile promuovere e progettare politiche e interventi di "sicurezza integrata" che mettano in correlazione i problemi in una visione complessiva che tenga conto di tutti gli attori coinvolti
        
        è quella che si definisce la "visione olistica" della sicurezza, l'approccio integrale, con il contributo di tutti, nell'interesse di tutti, in un'ottica di qualità e miglioramento continuo orientato all'eccellenza, di creazione e protezione dei valore aziendale
  - - - definizione ISO 31000:2018: "il rischio è, tecnicamente, la probabilità che si verifichi un evento indesiderato. Quanto è più la grande la probabilità e quanto più è indesiderato l'evento, maggiore è il rischio"
    - - essa deve integrarsi nei modelli di business e nei processi di pianificazione strategica di ogni organizzazione
    - - il risk management guarda al futuro per prevenire e mitigare, con appropriate contromisure e nel modo più oculato e accettabile possibile, i rischi inattesi e ogni altro evento critico che possono incidere sfavorevolmente sul raggiungimento degli obiettivi e delle performance attesi, compresi quelli di profittabilità del business
    - - classificazione proposta da prof. Giorgino
        
        rischi puri: capaci di generare esclusivamente perdite nel caso in cui si verifichino (un'azienda li assume quando non ne può fare a meno)
        
        rischi speculativi: sono i tipici rischi d'impresa e possono generare sia perdite che guadagni
        
        rischi core: connaturati al tipo di attività svolta dall'impresa (ad esempio rischio rapina)
        
        rischi non core: conseguenti all'attività aziendale non direttamente riferiti a processi fondamentali, cruciali e specifici
        
        rischi diversificabili: riconducibili mediante la diversificazione (ad esempio rischio geografico)
        
        rischi sistematici: non diversificabili in quanto interessano l'intera economia rappresentando una minaccia per tutte le attività
        
        rischi strategici: relativi a fattori che possono intaccare la redditività e la sostenibilità nel tempo dell'impresa
        
        rischi reputazionali: capaci di danneggiare l'immagine di un'azienda facendo venire meno la fiducia nei suoi confronti
        
        rischi operativi: associati al contesto esterno in cui opera l'impresa o ai processi e ai sistemi aziendali nonché alla condotta delle persone all'interno dell'organizzazione
        
        rischi finanziari: relativi a fattori riguardanti la finanza di impresa o che possono impattare su di essa (credito, mercato, liquidità, tasso, cambio, commodity)
        
        rischi di compliance: associati a comportamenti e attività che non sono in linea con le norme (sia interne che esterne)
    - - questo comporta il raggiungimento dei seguenti obiettivi intermedi
        
        la trasformazione del rischio iniziale individuato in un profilo di rischio opportunamente valutato come "accettabile"
        
        la riduzione al minimo degli effetti sull'azienda di eventi dannosi che potrebbero arrecare perdite o danni penalizzando i rendimenti attesi
        
        il mantenimento della capacità produttiva dell'azienda e l'ottenimento dei risultati economici previsti anche in presenza di sinistri, implementando opportune contromisure di prevenzione e protezione
        
        la riduzione al minimo della possibilità di cessazione definitiva dell'attività in presenza di sinistri di rilevante attività
      - in ragione di ciò il professionista della security deve promuovere un approccio di tipo manageriale alla gestione dei rischi aziendali, fornendo il proprio contributo specialistico nel processo globale di risk management focalizzandosi sui rischi di security
        
        la norma UNI 10459:2017 con il termine Security indica "ogni attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni prevalentemente illecite esponendo le persone e le risorse (tangibili e intangibili) a potenziali effetti lesivi e/o dannosi
        
        il security management è un modello gestionale dei rischi di security e per questo motivo è più corretto parlare di Security Risk Management (SRM), ossia di gestione delle variabili che rendono incerto il raggiungimento degli obiettivi pianificati da un'organizzazione
        
        quindi il SRM rappresenta l'insieme delle attività gestionali, strategiche, organizzative e operative di individuazione, classificazione, analisi, valorizzazione e gestione dei rischi derivanti da attività illecite o illegittime che possono causare danni a beni, risorse e persone, mettendo a rischio gli asset fondamentali e incidendo sulla capacità di creare valore
  - - - nei processi di valutazione dei rischi di origine criminosa e caratteristici della sicurezza anticrimine o security, assumono particolare rilievo:
        
        gli interventi di prevenzione e mitigazione
        
        i programmi di info-formazione e addestramento dei lavoratori
  - - - nell'ambito delle politiche di security, la prevenzione consiste nell'adottare opportune strategie in grado di:
        
        potenziare le resistenze opposte agli eventi criminosi adottando difese tecnico-impiantistiche (protezioni attive) o strutturali (protezioni passive)
        
        implementare un adeguato ed efficiente sistema di sicurezza organizzativa (norme e procedure ordinarie e di emergenza), verifiche e controlli di auditing
        
        stimolare la diffusione, condivisione e interiorizzazione di una mentalità difensiva
- - - - Security Expert (EQF 5): professionista della security di livello propriamente operativo competente per una media complessità di security (c.d. Site Security Officer)
      - Security Manager (EQF 6): professionista della security di livello tattico e direttivo competente per una complessità medio-alta di security
      - Senior Security Manager (EQF 7): professionista della security di alto livello manageriale con responsabilità strategiche competente per la massima complessità delle attività di security
  - - - le norme ISO sui Sistemi di Gestione (SG) sono accumulate da 10 principi chiave alla base della c.d. "High Leveling Strutture" (HLS) le cui caratteristiche più importanti sono:
        
        analisi del contesto, cioè la necessità di valutare tutti gli elementi, interni ed esterni, che possono avere impatto sul sistema e di individuare i bisogni e le aspettative degli stakeholder
        
        approccio basato sulla valutazione dei rischi, al fine di individuare quegli elementi, fattori, circostanze o situazioni che possono costituire una minaccia o un'opportunità all'implementazione del sistema e al raggiungimento dei suoi obiettivi primari (è l'applicazione del cosiddetto "risk based thinking", approccio basato sul rischio)
        
        leadership, come elemento motivazionale, culturale e valoriale indispensabile nell'applicazione sistemica, oltre che per promuovere la partecipazione, il coinvolgimento e la consultazione dei lavoratori
- - - - safety: intesa come tutela e protezione della salute e del benessere individuale nei confronti dei rischi infortunistici derivanti da errori umani
      - security: orientata alla pianificazione e gestione di misure e accorgimenti tesi a prevenire e mitigare gli impatti di azioni criminose intenzionali
  - - - 1) identificazione, classificazione, analisi, ponderazione, trattamento e mitigazione delle fonti di pericolo e dei fattori di rischio per la salute e l'incolumità dei lavoratori
        
        la mappatura dei rischi costituisce la fase più complessa e delicata dell'intero processo di gestione
        
        il concetto di rischio è legato non solo alla capacità di calcolare la probabilità che un evento pericoloso accada (che è in funzione della frequenza di accadimento, del livello di esposizione e della vulnerabilità intrinseca del contesto considerato), ma anche alla capacità di definirne il danno provocato (espresso in termini di magnitudo o gravità delle conseguenze che possono derivare)
        
        PERICOLO: è rappresentato dall'evento calamitoso che può verificarsi (la causa)
        
        RISCHIO: è rappresentato dalle sue possibili conseguenze, cioè dal danno che ci si può attendere (l'effetto)
        
        EQUAZIONE DEL RISCHIO
        Rischio = Probabilità X Danno
        
        il professionista della security deve focalizzarsi soprattutto sull'attività preventiva di riduzione delle probabilità di accadimento dell'evento con la consapevolezza che in nessun caso i rischi potranno essere completamente azzerati, ma ridotti a livelli residui fisiologicamente accettabili
        
        il principio ALARP (as low as reasonably practicable) afferma che il rischio residuo deve essere il più basso possibile
      - 2) applicazione concreta e documentata di misure e azioni preventive e protettive idonee a tutelare i lavoratori sulla base degli scenari di rischio individuati
        
        in questa fase devono essere dettagliati e mappati i seguenti punti:
        
        i processi comunicativi e do consultazione interaziendali in materia di sicurezza
        
        la condivisione degli obiettivi di sicurezza da raggiungere
        
        le criticità e le fonti di rischio che si intende prevenire, eliminare o mitigare
        
        i ruoli, le responsabilità e i comportamenti da adottare
      - 3) definizione di un programma di miglioramento progressivo nel tempo dei livelli di sicurezza e verifica periodica della sostenibilità e attuabilità del modello di sicurezza aziendale adottato
        
        garantire la sicurezza dei luoghi di lavoro non è un semplice atto tecnico-documentale ma un processo evolutivo continuo che richiede un approccio metodologico, organizzativo, partecipativo ed educativo di ampio respiro, capace di cogliere e valutare tutti i rischi che minacciano i lavoratori, adottando contromisure preventive e correttive
      - 4) definizione dei ruoli che compongono il sistema prevenzionistico aziendale, secondo un modello partecipativo che preveda per ciascuno di essi specifiche responsabilità e percorsi formativi dedicati
        
        è bene individuare chiaramente i ruoli dell'organizzazione aziendale che, secondo competenze e poteri proporzionati, attuano le misure di prevenzione e protezione adottate dal datore di lavoro
  - - - reati predatori o per scopo di lucro (ad esempio i reati contro la persona e il patrimonio)
      - eventi lesivi, atti violenti e azioni illecite o illegali comprese quello di stampo terroristico, dolosi e intenzionali
  - - - stress lavoro-correlato
      - violazioni dell'integrità personale (violenze verbali, fisiche o psicologiche)
      - molestie o abusi sessuali
  - - - tra i compiti del professionista della security c'è la predisposizione della scheda rischi (country risk assessment) del paese straniero contenente le good practices comportamentali e le travel policy aziendali da adottare per agire in sicurezza
  - - - è fondamentale prevedere una dettagliata catena conseguenziale che porti all'attivazione delle strutture operative e sanitarie, e al compimento delle azioni di risposta individuate per ogni singola criticità, al fine di ripristinare le condizioni di sicurezza iniziali
- - - - chi ha pensiero prospettico sa leggere i segnali di cambiamento, sa farsi le domande giuste sul futuro e concepire alternative e linee d’azione efficaci e coerenti
    - - il principio ispiratore comune a tutti i modelli internazionali di risk management è il c.d. "ciclo di Deming", ovvero il ciclo di PCDA (Plan - Do - Check - Act)
        
        è un metodo di gestione iterativo in 4 fasi utilizzato per il controllo e il miglioramento continuo dei processi e dei prodotti
        
        si parte dalla pianificazione, si effettua una prova pratica, si verificano i risultati, si apportano le correzioni del caso e, se tutto funziona, si mette a sistema per poi ricominciare nuovamente il processo e migliorarlo ulteriormente, senza fine
  - - - va costruito un percorso e vanno definiti (e continuamente affinati) gli obiettivi e le risorse necessarie per raggiungerli secondo i seguenti principi:
        
        il principio "trade off della security": compromesso tra i rischi che si corrono e i danni che si potrebbero subire
        
        principio di precauzione, cioè preparandosi ad affrontare anche rischi possibili seppure improbabili adottando comportamenti previdenti in relazione a ipotetici scenari peggiori
        
        principio di revisione continua: processo dinamico e mutevole che si rinnova nel tempo e richiede verifiche periodiche per individuare gli anelli deboli ed evitare il pericolo della falsa sicurezza
        
        l'elemento più critico da considerare e gestire, l'anello debole della catena resta sempre e comunque il fattore umano (people risk) che rappresenta il punto centrale di ogni progetto di sicurezza
  - - - 1) COMMITTMENT: l'organizzazione individua il fabbisogno, gli obiettivi di security e le risorse necessarie per raggiungerli
      - 2) RISK ASSESSMENT: il security manager individua, esamina, valuta e misura i rischi ai quali l'organizzazione deve far fronte
        
        I. Risk identification: ricerca dei rischi, delle minacce e delle vulnerabilità, ossia di quelle variabili aleatorie che possono causare effetti inattesi e indesiderati sul raggiungimento degli obiettivi
        
        lo scopo è quello di redigere un elenco (risk inventory) il più esaustivo possibile di tutti i fattori e le circostanze da cui potrebbero avere origine effetti incerti capaci di favorire, accelerare, ostacolare, impedire o ritardare il raggiungimento degli obiettivi
        
        è senza dubbio la fase più delicata, dispendiosa e importante dell'intero processo di Security Plan, in termini di tempo e complessità di analisi ma è necessaria per costruire solide fondamenta
        
        non esistono tecniche preconfezionate o schemi logici universali che possano garantire l’individuazione di tutti i rischi possibili e, quindi, va accettato questo limite metodologico
        
        II. Risk analysis: descrizione qualitativa della natura dei rischi (incident reporting) e definizione del livello di rischio (entità del rischio), raccogliendo i necessari input informativi e considerando tutti i possibili danni che possono derivarne (diretti, indiretti, consequenziali)
        
        permette di classificare e comprendere la causa, la natura e il livello dei rischi (determinandone le modalità di compimento, i possibili autori e vittime, il contesto di riferimento ipotizzabile, la collocazione temporale, le potenziali conseguenze e la probabilità che si verifichino) e supporta le decisioni riguardanti il trattamento dei rischi adottando le strategie e i metodi più appropriati
        
        III. Risk evaluation: ponderazione o stima dell'accettabilità o tollerabilità dei rischi, attraverso una comparazione indicizzata dei risultati dell'analisi del rischio con i criteri di rischio scelti come benchmark
        
        ha lo scopo di aiutare a prendere decisioni su quali rischi vanno affrontati e con quali priorità di trattamento (risk rating) quantificando le probabilità di accadimento di ogni rischio e il danno che può cagionare (risk score) per decidere con metodo come farvi fronte e in che ordine di importanza e urgenza
        
        i risultati di questa attività di analisi possono essere indicizzati e rappresentati in modo grafico utilizzando una Risk Assessment Matrix: la sua applicazione genera una quantificazione del rischio residuo (grado di rischiosità) rappresentando una sorta di scala che esprime la priorità degli interventi da porre in essere per limitare o trattare il rischio
      - 3) RISK TREATMENT: il security manager espone tutti i fattori di rischio individuati (reporting) al fine di agevolare il management nel prendere decisioni per affrontare le problematiche di security e decidere le modalità di trattamento (mitigazione dei rischi)
        
        consiste nel selezionare e implementare (dandone attuazione concreta) una o più opzioni, misure idonee a modificare il profilo di rischio dell'organizzazione, in linea con gli obiettivi dell'impresa e del security risk management (la logica sottostante è quella classica costi-benefici)
        
        modalità di trattamento ex ante: privilegiano il momento della prevenzione e indicano le misure di trattamento che possono modificare i possibili effetti indesiderati prima che si manifestino
        
        risk avoidance (non assunzione)
        
        risk reduction (riduzione)
        
        risk differentiation (diversificazione)
        
        risk transfer (trasferimento o copertura)
        
        risk sharing (condivisione)
        
        risk retention (accettazione o mantenimento del rischio)
        
        modalità di trattamento ex post: tutte le azioni organizzative idonee alla gestione delle emergenze e che vanno attuate dopo che l'evento rischioso si è manifestato, ossia le misure di contenimento, trattamento e riduzione del danno entro livelli ritenuti accettabili
        
        Business Continuity Management - BCM: garantire l'operatività dell'organizzazione in situazioni di temporanea emergenza e assicurare il rapido recupero dell'ordinaria attività operativa
        
        Crisis Management: garantire la sopravvivenza e la reputazione dell'organizzazione in situazioni di straordinaria difficoltà operativa e gestionale, ripristinandone il normale assetto e funzionamento
        
        Contigency Plan (piano di riserva): quando un rischio è impossibile da controllare, l'alternativa consiste nell'attuare un piano capace di garantire un accettabile livello di sicurezza anche in condizioni inaspettate e impreviste di difficoltà operativa ed emergenza
        
        il rischio residuo deve essere sinteticamente documentato (risk reporting) e sottoposto a monitoraggio, revisione e, se del caso, ulteriori trattamenti
      - 4) MONITORAGGIO E RIESAME: fase trasversale a tutto il processo di Security Plan e prevede che ogni rischio deve essere tenuto sotto costante controllo
        
        fase di revisioni periodiche e follow-up (risk monitoring) volta a verificare l'efficace tenuta nel tempo e il buon funzionamento del piano di sicurezza che è stato progettato e implementato in termini di risultati raggiunti rispetto agli obiettivi prefissati
        
        ex ante per esaminare l'evoluzione dei fattori che insistono sul contesto aziendale e comprendere e anticipare il loro impatto sulle performance e sul grado di rischio dell'organizzazione
        
        ex post per osservare e rilevare tempestivamente e con ancora maggiore attenzione il manifestarsi di nuovi rischi aziendali evidenziando i possibili ambiti di miglioramento che faranno da input a una nuova fase di risk assessment & treatment
        
        la fase di feedback, invece, consiste in una verifica o un riscontro informativo (finale o di percorso) nell’ottica del risultato che si vuole raggiungere
        
        questa attività di risk control può consistere anche in audit di terze parti a garanzia della massima imparzialità e oggettività critica e di valutazione dei risultati ottenuti
- - - - 1) soluzione di carattere tecnico-tecnologico e impiantistico, realizzabile mediante l'utilizzo appropriato ed efficace di sistemi antintrusione e mezzi-strumenti di protezione e difesa attivi e passivi, impianti di videosorveglianza e dispositivi di controllo e regolamentazione degli accessi ai siti sensibili
      - 2) soluzione a livello organizzativo e procedurale
      - 3) soluzione che prevede il coinvolgimento attivo e responsabile delle persone nei processi di security, diffondendo e condividendo una cultura della sicurezza fatta di condotte e atteggiamenti realmente improntati al buon senso e alla prevenzione delle situazioni di rischio (la più efficace)