Security manager: il pilastro della continuità aziendale

Intervista a Alessandro Manfredini - Presidente di AIPSA

In un mondo caratterizzato da minacce sempre più complesse e interconnesse, il security manager diventa un pilastro della continuità aziendale, configurandosi sempre più come crisis manager. Ce lo spiega Alessandro Manfredini, riconfermato Presidente di AIPSA – Associazione Italiana Professionisti Security Aziendale. 

Di nuovo Presidente AIPSA. Oltre ai suoi obiettivi per il triennio, le chiedo come è possibile conciliare un’attività associativa tanto impegnativa con il lavoro di security manager in una delle principali infrastrutture critiche del paese e in tempi in cui la stessa professione sta attraversando una profonda trasformazione strutturale e identitaria.

Innanzitutto devo ringraziare il mio team aziendale per il prezioso supporto, che è stato fondamentale affinché io potessi dedicarmi all’attività associativa nel pregresso mandato. Ancor prima devo ringraziare i vertici aziendali, che mi hanno sostenuto nello scorso triennio e mi sostengono anche in questa Presidenza. I prossimi obiettivi del lungo periodo si presentano sul solco di quelli fissati tre anni fa, ossia posizionare AIPSA come punto di riferimento per il professionista della security, ottenere un riconoscimento forte della professionalità e proporre occasioni di confronto e crescita mettendo a disposizione dati, best practise e modelli organizzativi (penso solo all’Osservatorio Security Risk, che riproporremo). Il direttivo ha poi visto l’innesto di nuove professionalità: ogni consigliere vanta oggi un’accountability tale da poter raggiungere in autonomia degli obiettivi individuali che si incasellano però nel mosaico di una strategia collegiale. 

Insomma, è finita la stagione del one man show ;-) A proposito di boutade: in vari contesti ci siamo detti che, anche sulla scrivania del security manager dell’azienda più blasonata, tende a piovere qualunque tipo di imprevisto. Cosa dovrebbe fare davvero il security manager? 

Se per aziende blasonate si intendono le grosse corporate o infrastrutture critiche, è vero che ormai ricade sul security manager qualunque problema che derivi da minacce di tipo antropico sia del dominio fisico che cibernetico, alle quali negli ultimi anni si sono aggiunte anche le emergenze provenienti da settori esogeni, come i disastri naturali. E’ però il riflesso di un processo di trasformazione identitaria che vede ormai il security management più come crisis management, secondo una versione olistica volta a prevenire e minimizzare gli effetti di tutti gli eventi avversi che potrebbe compromettere la continuità operativa dell’azienda. 

Parlando di identità, la norma definisce security manager anche chi si occupa di vigilanza privata: ha senso suddividere in modo netto queste figure dai security manager corporate o alla fine, più che il titolo o il percorso formativo, è il contratto di assunzione a dire chi fa cosa e perché?

E’ un tema di semantica legata ad una particolare compliance per gli istituti di vigilanza: queste realtà con specifici requisiti dimensionali devono esprimere un professionista della security aziendale certificato UNI 10459 denominato security manager. Si tratta però di una professionalità molto diversa da quella corporate, che si occupa di sicurezza delle informazioni, intelligence, verifiche di secondo livello sui processi aziendali, fraud management e gestione delle emergenze. Al di là della semantica, parliamo di categorie professionali con compiti e responsabilità diverse in funzione del tipo di organizzazione in cui si trovano ad operare, dove certamente rilevano la procura, la delega e la mission più che il job title in sé. 

Momento Fagnani. A Febbraio ha dichiarato:“La norma attuativa della direttiva CER impone la presenza di un soggetto incaricato dell’attuazione della norma, che altri non può essere se non il security manager. Essendoci oggi una legge che lo prevede, chiediamo che vengano definite anche le sue competenze (basterebbe fare riferimento alle norme tecniche) in modo che la professione sia istituzionalizzata con percorsi formativi e aggiornamenti continui”. In quel contesto mi è parso più possibilista sull’aprire la certificazione obbligatoria anche al mondo della corporate security, ma sempre molto critico sull’attuale percorso formativo proposto dalla norma UNI. Ho colto correttamente questo doppio registro?

La certificazione professionale è un tema dibattuto e va valutato, a mio avviso, disaccoppiandolo dal più ampio concetto di riconoscimento della figura del security manager. AIPSA chiede che - in alcune situazioni e realtà – la presenza di un security manager divenga obbligatoria. E in un percorso graduale di riconoscimento cogente della figura, i primi a doversi dotare di security manager devono essere i soggetti critici o chi eroga servizi essenziali e importanti secondo la NI2. Si tenga presente che in alcuni mondi già ora si prescrive la presenza in organico di un security manager. Ebbene, in quei casi l’HR può fare riferimento ai requisiti dettagliati nella norma UNI pensata per la famiglia professionale della security. Non riteniamo però che la certificazione professionale debba essere obbligatoria: se un’organizzazione desidera chiederla (anche solo per dimostrare a terzi che quel soggetto è adeguato al ruolo) ben venga, ma renderla cogente sarebbe limitante. 

Quindi cogenza della figura in alcune situazioni ma non anche della certificazione. E sul riconoscimento professionale?

Come nessuno metterebbe in discussione la managerialità di figure aziendali chiave anche se non core (CFO, HR etc), auspico che le organizzazioni arrivino a riconoscere il professionista della security come una figura chiave, dotandolo di un’accountability tale da poter aggiungere vero valore. E come nessuno metterebbe in discussione la competenza di un CFO assunto in un’organizzazione, parimenti auspico che le organizzazioni ricerchino persone qualificate e con competenze adeguate. Lato professionisti, questo ovviamente impone formazione e aggiornamento continui per affrontare minacce sempre più sofisticate e dinamiche. Non c’è più spazio per l’improvvisazione.

La leadership richiesta ai security manager esige un elevato livello di consapevolezza del proprio ruolo: l’empowerment umana è infatti la prima forma di resilienza aziendale e di mitigazione del rischio. E considerato che per il 69% dei lavoratori la figura del capo impatta sulla salute mentale più del terapeuta e quanto il partner, i security manager devono essere anche campioni di coach and care. Cosa può fare AIPSA per accrescere queste soft skill e in ultima sede attrarre nuovi talenti?

Se il tema dei soft skill e della leadership del professionista della security è comune a tutte le figure manageriali, è però vero che i security manager devono disporre di soft skill particolarmente evolute, considerato che non di rado si trovano ad operare in situazioni emergenziali e di overstress. Anche rispetto a questi temi AIPSA troverà dei momenti formativi, nei quali i soci senior potranno condividere il loro expertise con le giovani leve.

Ma davvero c’è posto in Italia per queste figure? Sono adeguatamente retribuite? Cosa direbbe a un giovane che volesse affacciarsi al settore? (“Run” non è una risposta ammessa ;-)

A un giovane direi che è la professione ideale per chi rifugge la routine e non teme le sfide e le incertezze, ma è capace di trasformarle in opportunità. Non c’è giornata uguale all’altra per il security manager. Quanto ai livelli retributivi, seppur lievemente migliorati, siamo purtroppo ancora indietro rispetto ad altri paesi e ad altre funzioni. Anche su questo dovremo lavorare.