L’evoluzione del ruolo del Security Manager

di Maria Carla De Maggio e Marzia Mastrapasqua, Complex Systems and Security Lab - Università Campus Bio-Medico di Roma

I dati emersi dallo studio effettuato nell’ambito del progetto europeo “Security Liaison Officer (SLO)”, conclusosi lo scorso 31 luglio, consentono di tracciare un profilo, per certi versi sorprendente, del comparto della security aziendale e della figura professionale del Security Manager. Questa indagine ha coinvolto circa 500 esperti provenienti da oltre 50 nazioni, europee e non, che hanno fornito i rispettivi punti di vista rispondendo ad uno specifico questionario, partecipando a sessioni di brain-storming o rilasciando interviste. L’elevato numero di risposte pervenute è un segno importante, che dimostra la forte necessità all’interno del comparto di una migliore qualificazione al fine di comprendere come il proprio ruolo stia cambiando e, parallelamente, per meglio orientarsi verso l’acquisizione di nuove competenze.
 
Un ulteriore aspetto di interesse è che, a dispetto della crisi economica imperante e delle riconosciute difficoltà lamentate dagli addetti ai lavori, statisticamente negli ultimi cinque anni i budget per la security sono rimasti pressoché invariati, registrando in alcune circostanze persino un lieve incremento. Questo aspetto pone la security in netta controtendenza rispetto alle altre strutture aziendali che invece hanno subito, nel medesimo, profonde riduzioni. Ciò è la dimostrazione sia della maggiore rilevanza che le direzioni security hanno acquisito all’interno delle aziende, sia di maggiori responsabilità ed oneri ad esse attribuiti. D’altra parte, nel medesimo periodo, le autorità pubbliche hanno visto generalmente una riduzione dei propri budget, con conseguente ricerca di forme e soluzioni di sicurezza partecipata che valorizzassero la componente privata, chiamata in qualche misura a supplire alle ridotte capacità di azione del pubblico.

Il nuovo manager della sicurezza
 
Un altro risultato interessante dell’indagine è legato alle competenze della security che sono cresciute, estendendosi ben oltre la tradizionale dimensione della sicurezza perimetrale/fisica e di quella del personale, per inglobare in modo strutturale anche la sicurezza cyber e delle informazioni, e in alcuni casi, anche una parte più prettamente di safety. Incrociando i dati sull’allocazione del budget, emerge che la quota parte attribuita alle diverse dimensioni è sostanzialmente uniforme: la sicurezza aziendale non ha aspetti preponderanti, ma sono tutti elementi egualmente importanti che necessitano di una adeguata sorveglianza, essendo le aziende sempre più dei sistemi cyber-fisici. In questo contesto va affermandosi la ricerca di approcci all-hazard che, superando la storica dicotomia fra safety e security, pongono l’accento sulle iniziative e sulle soluzioni che consentano e facilitino la continuità operativa delle aziende.

Queste considerazioni impongono una profonda modificazione nel background del Security Manager che, accanto alla già riconosciuta importanza di un’esperienza nel campo delle forze dell’ordine, evidenzia la necessità di una formazione tecnica specialistica, che spazi dalle competenze manageriali a quelle di comunicazione, senza trascurare le conoscenze metodologiche relative all’analisi del rischio, alla gestione delle crisi, alle tecnologie per la sicurezza, ecc. Questa eterogeneità è già evidente nella composizione dei team di security che vede in genere la presenza di persone con competenze nell’ambito della computer science, dell’ingegneria, del diritto, dell’economia e della sociologia. Occorre rilevare che, anche per ragioni storiche, le figure apicali del comparto della security provengono per la stragrande maggioranza dalle forze dell’ordine.

L’impressione che è emersa, soprattutto durante le attività di brain-storming, è che nel prossimo futuro la provenienza dalle forze dell’ordine sarà un elemento sempre meno rilevante, mentre acquisteranno una crescente importanza la formazione tecnico-accademica e le competenze specifiche (in questa direzione sembra muoversi anche la rivisitazione della UNI 10459:1995 in fase di approvazione). In questo contesto la figura femminile sembra ricoprire sempre più spesso posizioni di interfaccia e di comunicazione, mentre la presenza nei vertici aziendali è ancora praticamente inesistente.

Una visione unitaria

“I risultati del progetto – ha affermato il Dott. Alessandro Lega, membro di ASIS Chapter Italy – evidenziano l’attuazione di quel fenomeno di convergence sul cui tema da anni evidenzio la rilevanza, e che consiste nel riportare i diversi aspetti della security sotto una vision unitaria”. Questa convergenza ha come primo effetto il fatto che la sicurezza ICT sta rapidamente migrando dalla divisione IT per essere posta sotto la diretta responsabilità del Security Manager. D’altro canto, la posizione del Security Manager è sempre meno alle dipendenze del direttore del personale e/o di quello dell’area legale, per assumere ruoli direttamente legati allo staff dell’amministratore delegato.
“Altro aspetto che emerge – come espresso dal Prof. Roberto Setola, coordinatore della ricerca – è il crescente bisogno di sinergie fra le diverse aziende che sempre meno possono operare come monadi e sempre più devono fare sistema; da qui la necessità di individuare figure in grado di operare come interfacce fra le aziende e le altre realtà pubbliche e private”. Questa è la figura che la normativa europea sulla protezione delle Infrastrutture Critiche ha indicato con il termine SLO – Security Liaison Officer – e che, peraltro, si sta diffondendo (con diversi nomi e sigle) anche in molti altri contesti della sicurezza. Infatti è ormai evidente che la crescente complessità aziendale e sociale richieda un maggiore scambio di informazioni, soprattutto in fase emergenziale. Operazione che non può che estrinsecarsi nell’individuazione, di norma all’interno del dipartimento stesso della security, di figure professionali con le opportune competenze e altamente specializzate per perseguire questo tipo di obiettivi.