di Manlio La Duca
Gli scenari attuali entro cui le aziende operano sono oggetto di continue e profonde trasformazioni. Fattori di natura sia economico-competitiva che socio-politica determinano delle complessità sempre crescenti alimentate dall’intrecciarsi di fenomeni quali l’instabilità sociale, i mutamenti politici ed economici, il rapido sviluppo tecnologico, la progressiva dematerializzazione delle attività aziendali, la crescente apertura geografica alla competitività, l’intensificarsi dei rapporti internazionali.
Le aziende, di fronte a questi scenari, sono costrette a impegnarsi per conservare la competitività e mantenere integra nel tempo la propria capacità di ottenere soddisfacenti risultati economici garantendo la continuità delle operazioni ai propri clienti e fornitori, interno ed esterni. In particolare, in capo alle direzioni aziendali, sta sempre più maturando la consapevolezza che l’equilibrio aziendale possa essere intaccato, se non totalmente compromesso, da una serie di eventi di natura non competitiva.
In anni recenti, infatti, gli studiosi e gli operatori aziendali prendono atto dell’importanza dei fattori aventi origine non competitiva nel determinare il successo o l’insuccesso delle imprese o, addirittura nel provocarne il fallimento. L’impresa, come ogni organizzazione e come ogni essere umano, non è sottratta al pericolo che eventi di natura accidentale o dolosa possano lederne l’integrità o affliggerne la capacità produttiva e competitiva fino anche a determinarne l’estinzione.
Tali eventi sono innumerevoli, taluni del tutto simili a quelli che minacciano la persona o i beni di ognuno di noi; altri, invece, sono più caratteristici, peculiari allo svolgimento dell’attività caratteristica e/o al funzionamento delle organizzazioni ed al contesto socio/economico in cui le attività vengono effettuate. Eventi naturali, azioni criminose provenienti dall’esterno o all’interno dell’azienda, sono solo alcuni dei fattori che possono ingenerare gravi difficoltà nella gestione operativa e strategica dell’impresa. Si pensi ai rischi di incendio, truffa, furto, violazione del segreto industriale, contraffazione del prodotto, penetrazione, alterazione o blocco dei sistemi informatici, etc. Il verificarsi di tali rischi produce un danno economico-patrimoniale alle aziende e costituisce un ostacolo al normale svolgimento delle operazioni (Business Continuity, ISO 22301).
Tutte le risorse aziendali sono esposte a questo genere di rischi: le risorse materiali, quali gli impianti, gli edifici, i macchinari e gli oggetti preziosi; le risorse immateriali, cioè l’immagine aziendale, i brevetti, i marchi, le conoscenze e le informazioni; e le risorse umane, sia in quanto risorse produttive, sia in una prospettiva etico – morale che deve riconoscere nell‟uomo l’elemento fondamentale da sottoporre a protezione.
Oggi il successo aziendale, in alcuni settori come quello dell’IT, e del Hi TECH in generale, non è più basato sulla mera produzione di beni materiali, e, quindi, sul capitale finanziario, ma su valori cosiddetti “intangibili”: le informazioni, il know-how, le conoscenze, i brevetti, i marchi e tutte le opere dell’ingegno, in generale, hanno acquisito una crescente rilevanza nell’ambito della competitività aziendale, amplificando, pertanto, la loro esposizione ai rischi. La violazione del segreto industriale, la sottrazione di informazioni rilevanti, lo spionaggio industriale, la contraffazione e l’utilizzo non autorizzato di marchi e brevetti, gli attacchi di cybersecurity, rappresentano i principali rischi a cui il capitale intellettuale potrebbe essere esposto. Come si è detto, la risposta organizzativa dell’impresa contro questo complesso di rischi prende il nome di Security Management, espressione con cui si designa l’insieme delle attività svolte per salvaguardare il patrimonio materiale, immateriale ed umano dell’impresa, da eventi dolosi, colposi od accidentali che possano minare l’efficienza e l’efficacia dei processi di produzione di valore per gli azionisti e, più in generale, per tutti gli stakeholders. La figura e il ruolo del Security Manager stanno diventando sempre più importanti e pregni di significati all’interno delle organizzazioni aziendali. La “security” è una delle funzioni più nevralgiche di un’azienda e deve estrinsecare le proprie attività ed operazioni in modo pervasivo, attraverso l’intera organizzazione. Di riflesso, il Security Manager deve operare trasversalmente, a tutto campo, spaziando dai centri decisionali alle singole periferie operative.
I nuovi scenari tecnici, economici e di mercato, che configurano un mondo in crescita esponenziale, condizionato dagli incessanti sviluppi tecnologici e dalla globalizzazione, sempre più interconnesso e interdipendente, richiedono un nuovo modo di presidiare rischi e minacce. Il security management è, dunque, quell’attività di protezione aziendale destinata in prevalenza a prevenire azioni di tipo criminale, volta cioè alla costituzione di procedure, difese, prassi contro gli eventi dolosi, ma anche colposi e accidentali, di origine interna ed esterna. La security è una delle funzioni nevralgiche di una società e di un’impresa in generale; all’interno, poi, di un tipo di imprese più a rischio, per la stessa natura delle loro attività “critiche”, la sicurezza e la prevenzione sono ormai obbligatorie, al pari di figure già consolidate da anni, anche perché normate già da leggi dello stato, come il safety manager o RSPP. Esse, infatti, sono riconosciute sempre più da molte aziende come un fattore “abilitante e competitivo del vantaggio”; addirittura clienti “top class”, apicali nelle supply chain, prima di instaurare relazioni d’affari con fornitori chiave, sono soliti effettuare degli audit specifici di security, preliminari all’instaurazione stessa delle relazioni.
L’obiettivo principale della “security aziendale” negli anni 70 ed 80, funzione ancora nella sua fase embrionale, era quello di difendersi dalle offese esterne barricandosi nel perimetro del proprio insediamento e cercando di relegare all’esterno le insidie e quindi i rischi, soprattutto quelli puri. Conseguenza di questo atteggiamento sono le misure che l’azienda adotta per proteggersi. Sono soprattutto le misure di sicurezza fisica (physical security) quelle che per prime vengono realizzate, in concomitanza con il controllo degli accessi e con la realizzazione delle procedure operative necessarie per regolamentare e disciplinare con molta più rigidità rispetto al passato i servizi interni di sorveglianza e di controllo. Si tratta di un modello di security definibile “Castle based” con un focus basato sul patrimonio tangibile/fisico e sulla sicurezza perimetrale fisica e logica. Il successivo periodo della seconda metà degli anni ‘80 e di tutti gli anni ‘90 è stato, invece, caratterizzato da importanti innovazioni tecnologiche che coinvolgono ogni settore, cambiando in modo sostanziale non solo il lavoro manuale attraverso l’automazione, ma anche quello intellettuale mediante l’impiego dei sistemi informatici. Questi sono gli anni connotati dal fenomeno delle grandi ristrutturazioni aziendali e dal sorpasso del settore dei servizi sul settore industriale; anni nel corso dei quali si delinea tutta una nuova serie di rischi che minacciano ogni settore aziendale.
I nuovi rischi, in questa fase, sono connessi alle grandi trasformazioni che le aziende affrontano per essere sempre più competitive. Si assiste a fenomeni nuovi quali il “white collar crime” ed il “tampering”, il “phishing” e gli attacchi “cyber”, assieme a vecchi fenomeni quali il sabotaggio della produzione o del prodotto, come sempre accade in clima di forti tensioni sociali ed economiche. La necessità di adeguare la funzione di security ai nuovi compiti determina il nascere di iniziative culturali e associative tali da supportare gli sforzi di adeguamento alle nuove realtà che interessano le aziende.