Da centro di costo a “enabler” del business, l’evoluzione della Security all’interno delle aziende.

Si è svolto a Milano, il 17 maggio, il convegno annuale di AIPSA (Associazione Italiana Professionisti della Sicurezza Aziendale) dal tema "Comunicazione della security: esperienze a confronto". La comunicazione come punto centrale di ogni attività è il segno distintivo del nostro tempo: informare, formare, pubblicizzare sono tante facce di un medesimo processo che è quello di mettere a disposizione degli altri il valore che viene prodotto da ogni specifica attività. Questo processo può svolgersi verso molteplici direzioni, anche all'interno della stessa azienda quando una funzione aziendale offre i propri servizi alle altre; in questo caso la comunicazione interna assume un'importanza strategica per la realizzazione del business. E questo perché lo scambio di informazioni, la conoscenza delle possibilità e delle capacità delle altre funzioni è la base per una proficua collaborazione tra tutte le componenti aziendali ed è, in questo senso, determinante per il successo dell'azienda stessa.

La sicurezza aziendale mette in luce il suo valore

La Security aziendale era, sino a poco tempo fa, considerata un costo ora invece è stato messo in evidenza come questa concorra attivamente alla creazione del business rovesciando completamente i vecchi approcci. Non sempre però il vero (e potremmo dire anche nuovo, in un certo senso) ruolo della Security era o è esattamente percepito da tutte le realtà aziendali e dagli utenti in generale. Per questo motivo al convegno si è affrontato il tema di come comunicare sia con le altre funzioni aziendali sia con l'esterno, attraverso l'esposizione dei risultati di una ricerca di mercato, condotta da un gruppo di lavoro presso alcune aziende, e di alcune esperienze aziendali realizzate con successo. Nel suo intervento iniziale il Presidente Giuseppe Femia ha ricordato, con un breve excursus, perché nel passato la funzione Security non sentiva in modo così forte l'esigenza di comunicare. Inizialmente infatti le esigenze prioritarie della funzione erano la tutela delle persone e degli asset fisici e fare sicurezza significava essenzialmente operare in riservatezza e portare a casa i risultati senza essere visibili, anzi restare nell'ombra, era considerato una necessità, un valore.

In uno scenario come quello descritto, il risultato finale era che all'interno dell'organizzazione aziendale la Direzione Sicurezza veniva percepita come poco trasparente, la sua reputazione considerata come autoritaria, poliziesca, oppressiva; lontana dal business, nel migliore dei casi, spesso rallentatrice del business. L'evoluzione del modo di fare security all'interno delle aziende è mutato nel tempo, inglobando sempre di più nel proprio perimetro di responsabilità il presidio di sempre maggiori, nuovi e diversificati rischi. Attraverso varie fasi, si è passati dalla sicurezza fisica, alla sicurezza logica, alla business security per approdare al modello odierno che definiamo "Total risk governance", ormai presente in molte grandi aziende e in via di affermazione in altre meno grandi, dove tutelare il patrimonio significa presidiare i rischi a 360 gradi. E' evidente che questo modello si può realizzare solo in stretta collaborazione con le altre funzioni aziendali e che fra le sfide che ogni Security manager ha davanti a sé, ce n'è una nuova, fondamentale e strategica da vincere, quella della comunicazione.

La ricerca di mercato

Paola Guerra Anfossi della Scuola di Alta Formazione di Etica&Sicurezza dell'Aquila e Massimo Cottafavi di Reply, hanno presentato la ricerca sulla percezione, da parte degli stakeholder interni alle aziende, dei rischi più significativi e sul ruolo e sulle attività della funzione di security. I risultati possono senz'altro essere giudicati positivi, i manager intervistati infatti hanno una percezione, relativamente all'attività della funzione security, molto vicina alla realtà. Alla domanda: "Quali tra le categorie di rischio, cui è esposta la sua azienda, la preoccupano maggiormente?" oltre il 60% degli intervistati ha risposto che i rischi tecnologici sono quelli che preoccupano di più, seguiti da quelli relativi agli asset intangibili, e poi dai rischi legali e finanziari; alla domanda: "Di quali delle categorie di rischio sopracitate si occupa la funzione di security nella sua azienda?" la risposta è stata che si occupa in primo luogo di quelli tecnologici, poi degli asset tangibili e di quelli intangibili. La security è quindi effettivamente percepita correttamente come valida risposta ai rischi più sentiti da parte dei colleghi.

Ed alla domanda: "Quale metafora/immagine meglio identifica l'attività di security nella sua azienda?" la maggioranza ha risposto "supporter del business" e a quella: "Percepisce le relazioni positive della funzione security nella sua attività?" la risposta è stata SI nel 85% dei casi. Le attività di comunicazione che nel frattempo avevano promosso i colleghi nelle diverse realtà aziendali avevano dato i loro frutti!

Le esperienze aziendali di comunicazione

L'esperienza ATM (Azienda Trasporti Milanese) presentata da Claudio Pantaleo, è stata rivolta soprattutto verso gli utenti e modellata sulle loro molteplici esigenze. Un esempio all'interno delle molte iniziative è quello relativo alle pensiline: la loro installazione, informando sui tempi di attesa e su eventuali problemi di mobilità, è stata in grado di diminuire l'ansia dei passeggeri contribuendo a dar loro la sensazione di avere la situazione sotto controllo, così come gli annunci diffusi dagli schermi installati nella metropolitana. Oggi lo scambio di informazione con gli utenti è diventato abituale grazie alla conoscenza ormai generalizzata del portale ATM che è il terzo portale di trasporto più visitato in Italia, con una media di 33.000 visitatori unici giornalieri. Tutta rivolta verso l'interno dell'azienda è stata invece l'esperienza di comunicazione presentata da Giovanni Saja di Telecom e costituita da una serie di attività veicolate, con un coinvolgimento in prima persona, dalle risorse della funzione Security.

Innovativo è stato il modo di raccontare le attività della funzione stessa, utilizzando una suggestiva intervista fotografica, pubblicata sul periodico interno "Sincronizzando", in cui le persone erano colte da "scatti" simpatici e rassicuranti completate da didascalie esplicative. E' stata anche organizzata una mostra di tesori d'arte, di proprietà dell'azienda, accompagnata da un coinvolgente laboratorio artistico per i bambini dei dipendenti, bambini che vengono normalmente ospitati nell'asilo aziendale definito risorsa di sicurezza. Della Travel Security ha invece parlato Salvatore Rapiti di Ansaldo, società di Finmeccanica, i cui addetti sono impegnati in paesi anche molto lontani e a volte "difficili", per questo motivo la comunicazione della sicurezza è stata particolarmente diretta a loro.

La Security ha concentrato la sua attività sulla formazione del personale a partire dall'analisi e dalla valutazione globale del rischio nel paese oggetto della missione e dalla mappatura delle minacce attuali e potenziali, istituendo informazioni day by day, follow-up e procedure specifiche. Il personale è comunque sempre seguito mediante un sistema di tracciamento in grado di fornire un servizio automatico di segnalazione di Allerts. L'esperienza Pirelli, sintetizzata da Francesco D'Auria, è stata articolata su una serie di obiettivi successivi, volti a identificare esattamente i rischi, ad esempio perdita economica, perdita di know how (intellectual property), perdita o danno d'immagine, non conformità a norme nazionali e internazionali (privacy) e a contestualizzarli nelle aree di specifico interesse. Al management, in particolare, sono state presentare anche le attività di gestione e di intervento in caso di incidenti, senza trascurare le attività di prevenzione. Con tutti si è cercato di condividere il processo di informazione e di diffusione delle policies e l'apertura di un canale di comunicazione attivo non solo nei momenti di crisi ma anche in altre occasioni per presentare novità o cambiamenti.

In Fiat Group Automobiles, ha detto Filippo Ricciarelli il primo passo è stato quello di far entrare la Security in relazione "attiva" con il business parlando la "stessa lingua". Questo per poter superare le resistenze dei colleghi, spesso inconsce, dovute all'immaginario sul tipo di attività svolta, alla "provenienza", al fatto che non ne conoscevano le potenzialità, e che quindi a volte si chiedevano a cosa servissero o quanto costassero. Si è quindi operato comunicando e condividendo quotidianamente problemi e soluzioni e dimostrando rapidità decisionale e assunzione responsabilità.

Niente di più facile niente di più difficile!

Anche in Vodafone, la Security ha progettato la propria "campagna di comunicazione" con un approccio multiplo, ha ricordato Fabio Ortolani, utilizzando numerosi, differenti ed innovativi strumenti di comunicazione disponibili e differenziando messaggi e contenuti a secondo i destinatari, puntando sul Security Operations Center, sulle attività di training, sulla community e, per quanto riguarda gli utenti, sul Contact Point. Insomma un modello di comunicazione che aiuta la funzione Security ad essere percepita come di supporto al business ad essere presente in tutte le attività che contribuiscono alla brand excellence. Insomma, un'approccio che configura la Security come " enabler" del business.

Il parere dell'esperto

La comunicazione è senza dubbio una risorsa strategica, ha ricordato Paolo Dominici, docente all'Università di Perugia, in quanto per governatore la complessità occorre condividere la conoscenza. Per ragionare intorno a questo tema si deve innanzi tutto avere la consapevolezza della frattura che si è creata tra la formazione e le strutture complesse, la formazione non intesa come un corso in più ma come "forma mentis" che deve formare di sé ogni decisione, quando questa è presente si parla di società della conoscenza. Un altro aspetto da tenere in considerazione è quello della forte relazione che esiste tra comunicazione, potere e conoscenza e, particolarmente importante, della qualità di questa relazione. Dobbiamo poi chiederci perché è cresciuto il territorio della vulnerabilità e la risposta è che gli asset intangibili sono diventati più importanti di quelli tangibili, perché la fedeltà dei clienti, ad esempio, è parte essenziale del patrimonio aziendale. E poi perché quando si parla di sicurezza si pensa solo all'emergenza? La comunicazione come processo sociale si basa sulla conoscenza delle aspettative delle esigenze e forma cultura capace di creare modelli interpretativi che consentono di prevedere. Prevedere il rischio diventa centrale, la percezione che si ha della "rischiosità del rischio" cioè della conoscenza al servizio della prevenzione è basilare per cambiare i comportamenti.