Condividere idee: l'asset associativo che si moltiplica per divisione

“Pensare collettivo è la filosofia sottesa a qualunque pensiero associativo, che è libera condivisione di idee tra persone senza scopo di lucro. Meglio: è libera associazione di persone 'a scopo di scambio di idee'. Perché la condivisione non impoverisce l'idea: al contrario, la condivisione è un asset associativo che si moltiplica per divisione”.
Finalità, obiettivi e temi portanti di ASIS Italy Chapter nelle parole del Presidente Genseric Cantournet.

Parliamo di etica professionale, ossia quella correttezza che dovrebbe arrivare là dove non arrivano le regole. Un'associazione può porsi come garante della deontologia professionale dei soci?

Premesso che dobbiamo limitare il perimetro di questa conversazione alla deontologia, ossia all'etica applicata alla professione, ritengo che il punto di partenza per promuovere comportamenti deontologicamente corretti sia parlarne, fare awareness.
Per modificare i comportamenti umani – perché di questo si tratta - il divieto e la costrizione non funzionano (peraltro avrebbero un costo insostenibile, dal momento che ogni controllato richiederebbe un controllore, che a sua volta dovrebbe essere ricontrollato).
Ritengo quindi che l'unico canale utile sia la comunicazione. Se si mette in atto un'efficace politica di awareness, si crea una massa critica che "pensa deontologico" capace di originare un fenomeno di controllo reciproco tale da generare una forma di autocontrollo.
E in questo processo l'associazione gioca un ruolo fondamentale.

...Anche in Italia, dove lo scenario associativo riferito alle professionalità di security è estremamente parcellizzato e quindi è molto complesso fare massa critica?

Soprattutto in Italia. Perché sotto questo aspetto il frazionamento associativo rappresenta un'opportunità: più associazioni parlano di deontologia, più si fa volume, quindi più massa critica, quindi più deontologia. Il tutto su più livelli.

ASIS crede nella certificazione professionale al punto da disporre di tre programmi di certificazione volontaria. Ma presupposto di una certificazione volontaria è il riconoscimento della stessa: ritiene che in Italia venga tenuta in adeguata considerazione, ad esempio da un potenziale datore di lavoro alla ricerca di professionisti?

ASIS è un'organizzazione internazionale che presenta al contempo una forte vocazione locale (i Chapter servono a cogliere le peculiarità territoriali). Questa "localizzazione" impatta sul riconoscimento del valore associativo, che dipende dai paesi di appartenenza. Ma il valore di un'associazione - su qualunque paese essa insista - dipende dalle persone che ne fanno parte, perché l'associazione è essenzialmente “ciò che i soci agiscono”.
In particolare nella security, che è attività prettamente fiduciaria, ossia legata alle persone più che a formule, strutture o regole astratte. E questo è il valore.

E come si genera valore associativo, e quindi riconoscimento e autorevolezza?

Garantendo questo rapporto fiduciario. Quindi facendo aggiornamento e formazione, partecipando alle attività associative e dandosi visibilità nel tempo - ciò che implica un'esposizione della propria professionalità. Se l'associazione è attiva e pone i temi giusti, chi vi partecipa acquisisce per forza ulteriore professionalità.

E chi pone i "temi giusti" in ASIS?

Le idee nascono da tutti e devono partire dalle necessità dei soci. Il presidente non è che un facilitatore di idee: partecipa alle stesse ma non le promuove necessariamente: sono i soci; è il board che pensa, elabora e propone.
Il "pensare collettivo" è del resto la filosofia sottesa a qualunque pensiero associativo, che è libera condivisione di idee tra persone senza scopo di lucro. Meglio: è libera associazione di persone a scopo di scambio di idee. Perché la condivisione non impoverisce l'idea: al contrario, la condivisione è un asset associativo che si moltiplica per divisione.

Qual è dunque il fine ideale, l'obiettivo di condivisione durante il suo mandato in ASIS Italy?

Parlerei di obiettivi del board che sono stati condivisi per questo mio mandato presidenziale. Il primo obiettivo è naturalmente rappresentare i soci, ossia coglierne le necessità e saper adeguatamente rispondere alle stesse. Il secondo obiettivo è rappresentare all'esterno le professionalità dei soci e dell'intera categoria.
In questo senso gli ultimi eventi ASIS sono stati pensati all'insegna della condivisione di idee anche con altre associazioni, a beneficio dell'intera categoria e abbandonando ogni autoreferenzialità. Il terzo - e concatenato - obiettivo è collocarci in modo assolutamente complementare nel panorama associativo, quindi saper portare valore aggiunto in uno scenario già densamente popolato di associazioni.

Un valore aggiunto, tra i temi portanti di ASIS, è quello della security a supporto del business. Sebbene per gli addetti ai lavori sia piuttosto chiaro che security e sviluppo economico sono concetti che vanno a braccetto, forse non è scontato chiedersi quanto sia realmente percepito il tema della security dai vertici aziendali. Viene accolta come l'ennesimo balzello o come valore aziendale imprescindibile per la salvaguardia degli assett?

Premesso che a livello apicale non ravviso una peculiarità della security rispetto ad altre funzioni (ogni board può essere più o meno sensibile a qualsiasi funzione  - dalla direzione del personale al marketing), rilevo però che sempre più aziende considerano la security una funzione essenziale e sono ben consapevoli del valore aggiunto che essa può portare.

Il fatto che la security non sia mandatory, come ad esempio l'antincendio, non penalizza la funzione in termini di budget e operatività?

Questo potrebbe cambiare in futuro. Al momento però, non direi proprio: al contrario, se la security venisse percepita come obbligo, la funzione verrebbe inserita solo in quanto necessaria, e a poco varrebbe a quel punto avere un manager di livello, dal momento che verrebbe meno quel vincolo fiduciario che sta alla base del rapporto.
La funzione di security, non essendo mandatory, esige peraltro che l'azienda conosca molto bene il proprio core business - e questo, per quanto paradossale possa apparire, non si può dare sempre per scontato.

La definizione del core business è quindi il primo step per avvicinarsi correttamente al tema della security?

Il processo consta di varie fasi: definire correttamente il core business aziendale, individuare quali assett devono essere protetti, elaborare la modalità più adeguate di protezione degli stessi, e infine coinvolgere e attivare le altre funzioni con le quali cooperare.
Se la security è integrata sin dai processi di progettazione di un assett e non in modo sequenziale ex post, si evitano molte potenziali problematiche di sicurezza.

...Una sorta di “security by design”?

Mi spiego con un esempio concreto: un'azienda che produce beni a rischio contraffazione. Se si è progettato il prodotto assieme alla funzione di security e se si sono integrati ex ante dei processi di anticontraffazione, il rischio si riduce non poco. E però essenziale prima comprendere che il core business è la creatività, quindi occorre capire cosa si deve proteggere, e quindi realizzare che la contraffazione è una minaccia che intacca la creatività.

Ha parlato di altre funzioni coinvolte nei processi di sicurezza: sta sposando una concezione olistica di sicurezza?

Mi passi questa provocazione: la security non è depositaria della sicurezza. Ne è senza dubbio un elemento cardinale, ma soprattutto è funzione di coordinamento e di leva di una galassia di altre funzioni che devono lavorare assieme perché il core business è interesse trasversale di tutte le funzioni: dal legale all'audit, dalla compliance all'HR, fino al marketing.
Tutti devono concorrere alla sicurezza aziendale.
E anche in questo campo l'awareness è elemento essenziale: un'efficace campagna di comunicazione rende infatti tutti gli operatori consapevoli della propria responsabilità e del proprio ruolo.