Copyright©2025 Antonio Di Fraia

Security Management

Inserisci qui il tuo testo...

La Security management racchiude tutte quelle attività di gestione, individuazione, valorizzazione e analisi del rischio che possono causare danni patrimoniali e non (furti, frodi, fuga di informazioni) all'interno di un'azienda, un ente o raggruppamento di beni e persone. I professionisti impegnati in questa attività sono chiamati security manager o responsabili della sicurezza.

La sicurezza aziendale o istituzionale è l'analisi e l'attuazione di strategie, politiche e piani operativi volti a creare prospettive innovative di valore per l'impresa o ente per prevenire, rispondere e superare eventi non competitivi che possono influenzare le risorse materiali, immateriali e umane di proprietà o per garantire una sufficiente competitività nel breve o medio termine.

Le unità produttive di medie dimensioni si avvalgono di professionisti specializzati per la presa in carico delle procedure di sicurezza aziendale: i security manager o responsabili della sicurezza sono responsabili interni che si occupano della prevenzione e della gestione razionale degli imprevisti quali furti, frodi, fughe di informazioni, differenze inventariali, eccessivi costi assicurativi ecc.

Attualmente le aziende e le istituzioni pubbliche sono costantemente esposte a rischi derivanti da attività illecite interne ed esterne che, se non adeguatamente monitorati, non solo danneggiano la reputazione, ma incidono anche sulla competitività e sulla redditività, con ripercussioni sulla sicurezza del personale e dei dipendenti quali, ad esempio, la solidità degli asset. Questi fattori hanno creato le condizioni affinchéla Security diventi un'attività di fondamentale, a cui deve essere attribuito un posto centrale nell'organizzazione e nel processo produttivo.

Sfortunatamente, in Italia, la sicurezza non è mai stata considerata come segmento fondamentale da Aziende o Enti ma spesso valutata come un costo privo di Return On Investment ed organizzata quindi con approcci di tipo emergenziale e contingente. Il modello anglosassone, ad esempio, concepisce e implementa la Security in modo strutturato e continuo ed affronta i "rischi" nelle sue componenti di base: Risk Analisys, Risk Assessment, Risk Management, Crisis Management, Disaster Recovery e Business Continuity.

Le componenti base della Security Management

Di seguito una breve descrizione delle componenti di base relative alla Security Management:

  • Risk Analisys. L'analisi del rischio implica l'esame di come i risultati e gli obiettivi del progetto potrebbero cambiare a causa dell'impatto dell'evento di rischio. Una volta identificati i rischi, vengono analizzati per identificare l'impatto qualitativo e quantitativo del rischio sul progetto in modo che possano essere intraprese le misure appropriate per mitigarli.
  • Risk Assessment. La valutazione del rischio è un processo sistematico di identificazione dei pericoli e la valutazione dei rischi associati all'interno di un luogo di lavoro, quindi implementazione di misure di controllo ragionevoli per rimuoverli o ridurli.
    Puoi approfondire nel nostro articolo dedicato: Cos'è il Risk Assessment
  • Risk Management. La gestione del rischio è il processo di identificazione, valutazione e controllo delle minacce al capitale e ai guadagni di un'organizzazione. Queste minacce, o rischi, potrebbero derivare da un'ampia varietà di fonti, tra cui incertezza finanziaria, responsabilità legali, errori di gestione strategica, incidenti e disastri naturali. Le minacce alla sicurezza IT e i rischi relativi ai dati e le strategie di gestione del rischio per alleviarli sono diventati una priorità assoluta per le aziende digitalizzate. Di conseguenza, un piano di gestione del rischio include sempre più i processi delle aziende per identificare e controllare le minacce alle sue risorse digitali, inclusi i dati aziendali proprietari, le informazioni di identificazione personale (PII) di un cliente e la proprietà intellettuale.

Ogni azienda e organizzazione corre il rischio di eventi imprevisti e dannosi che possono costare denaro all'azienda o causarne la chiusura definitiva. La gestione del rischio consente alle organizzazioni di tentare di prepararsi agli imprevisti riducendo al minimo i rischi e i costi aggiuntivi prima che si verifichino.

  • Crisis Management. La gestione delle crisi è il processo mediante il quale un'organizzazione affronta un evento dirompente e inaspettato che minaccia di danneggiare l'organizzazione o i suoi stakeholder. È considerato il processo più importante nelle pubbliche relazioni.
    Tre elementi sono comuni a una crisi:
    1) una minaccia per l'organizzazione;
    2) l'elemento sorpresa;
    3) un breve tempo decisionale.
    Contrariamente alla gestione del rischio, che implica la valutazione delle potenziali minacce e l'individuazione dei modi migliori per evitarle, la gestione delle crisi implica la gestione delle minacce prima, durante e dopo che si sono verificate. Si tratta di una disciplina all'interno del contesto più ampio della gestione costituita da abilità e tecniche necessarie per identificare, valutare, comprendere e far fronte a una situazione grave, soprattutto dal momento in cui si verifica per la prima volta al punto in cui iniziano le procedure di recupero.
  • Disaster Recovery. Il ripristino di un'emergenza come misura precauzionale può aumentare notevolmente la resilienza di un'unità aziendale per far fronte a battute d'arresto che potrebbero altrimenti tradursi in perdite significative e incidere sui ricavi.
    Anche le relazioni con i clienti potrebbero essere seriamente messe a repentaglio se tali calamità finiscono per influenzare le date di consegna o la qualità dei prodotti e delle soluzioni fornite. Il Disaster Recovery (DR) costituisce parte integrante del piano di continuità aziendale di un'organizzazione. Le strategie di ripristino di emergenza sono progettate in base a fattori chiave di continuità aziendale come l'obiettivo del punto di ripristino (RPO) e l'obiettivo del tempo di ripristino (RTO).
    Una strategia di Disaster Recovery (DR) richiede un'attenta analisi di tutte le dipendenze che influenzano direttamente e indirettamente la posizione fisica di una business unit nel corso di una giornata lavorativa. Implica anche una stima accurata del numero di risorse che sarebbero necessarie per implementare il piano di ripristino di emergenza. Queste risorse dovrebbero ricevere di volta in volta una formazione adeguata e un trasferimento di conoscenze.
  • Business Continuity. La pianificazione della continuità aziendale è il processo di creazione di sistemi di prevenzione e ripristino per affrontare potenziali minacce per un'azienda. Oltre alla prevenzione, l'obiettivo è consentire le operazioni in corso prima e durante l'esecuzione del ripristino di emergenza.
    La resistenza di un'organizzazione al fallimento è la capacità di resistere ai cambiamenti nel suo ambiente e continuare a funzionare. Spesso chiamata resilienza, è una capacità che consente alle organizzazioni di sopportare i cambiamenti ambientali senza doversi adattare in modo permanente, oppure l'organizzazione è costretta ad adottare un nuovo modo di lavorare che si adatta meglio alle nuove condizioni ambientali.

Security Manager: compiti e specializzazioni

Ora, grazie alle precise direttive europee, il nostro Paese ha colmato questa lacuna. È cresciuto in maniera esponenziale il concetto di sicurezza e c'è stata una crescente domanda di formazione, che è il presupposto fondamentale per migliorare la professionalità e ottenere la relativa certificazione di qualità, proprio come quella che occorre ad un Security Manager.

Il Security Manager o responsabile della sicurezza è la figura di riferimento per l'organizzazione, la gestione e l'assunzione di responsabilità della sicurezza di un'azienda con il compito di prevenire e gestire con razionalità gli imprevisti o gli incidenti all'interno della stessa. (definizione https://it.wikipedia.org)

Il Security Manager è una delle figure più esperte di sicurezza aziendale. I suoi compiti, condivisi tra i vari reparti aziendali, sono ben definiti e non devono in alcun modo ostacolare la produttività o redditività aziendale. Egli riveste un ruolo importante a supporto dei Clienti ed opera in diversi contesti, garantendo sempre la massima professionalità e il perfetto controllo, anche in situazioni critche di forte pericolo e stress emotivo.
Tra le varie funzioni che svolge il security manager segnaliamo alcuni esempi:

  • Valutazione, analisi e gestione dei rischi aziendali (Risk Management)
  • Realizzazione ed esecuzione del piano di security aziendale
  • Prevenzione di eventuali attacchi informatici o di spionaggio industriale
  • Protezione dell'immagine aziendale
  • Avviamento, organizzazione e gestione di tutti i servizi di Sicurezza informatica
  • Definizione di piani strategici per il contenimento dei costi
  • Risoluzione di eventuali controversie legali
  • Gestione di tutti i servizi di sicurezza fisica e d'intelligence
  • Elaborazione analisi statistiche e report valutativi

In considerazione di quanto sopra, tenendo conto dei crescenti obiettivi riguardanti il segmento della sicurezza, soprattutto in termini di complementarità e sussidiarietà, la figura del Security Manager ha assunto un particolare rilievo.

Infatti, la norma UNI 10459:2017, nella valutazione dei rischi che possono compromettere gli asset umani, materiali ed immateriali di un'impresa o di un Ente, classifica tre livelli di specializzazione:

  1. Security Expert, professionista della Security di primo livello orientato ad una "media" complessità di gestione della sicurezza, considerate l'Organizzazione e le attività svolte;
  2. Security Manager, professionista della Security di secondo livello orientato a una "medio-alta" complessità di gestione della sicurezza, considerate l'Organizzazione e le attività svolte;
  3. Senior Security Manager, professionista della Security di terzo livello orientato alla "massima" complessità di gestione della sicurezza, considerate l'Organizzazione e le attività svolte.