Il caso della Convergenza

Di Martin Smith, MBE, Presidente e fondatore di The Security Company (International) Ltd e di The Security Awareness Special Interest Group. Membro dell’ASIS International European Security Convergence Committee

Sul fronte della sicurezza, le imprese devono oggi affrontare molteplici rischi fra loro interconnessi e interdipendenti. Tali rischi possono convergere o sovrapporsi, creando veri e propri vicoli ciechi, perché considerare ogni rischio in modo isolato aumenta la probabilità che il rischio si concretizzi. La nostra risposta deve essere quella di far lavorare insieme tutti coloro che si occupano di sicurezza all’interno delle organizzazioni. Per proteggere le nostre persone, il nostro business ed i nostri beni aziendali abbiamo necessità di tenere testa di fronte a coloro che ci attaccano e necessitiamo di lavorare con i leader delle linee di business per individuare ed identificare quei rischi che sono in grado di causare loro i danni più gravi. Tuttavia il comparto sicurezza si compone da sempre di mondi diversi che ragionano a compartimenti stagni: l’IT da un lato e la security fisica dall’altro. Permane così una frattura tra il lavoro del Chief Security Officer e quello del Chief Information Security Officer: i due specialisti si focalizzano sulle tecnologie disponibili nei rispettivi campi d’azione e sviluppano soluzioni sempre più complesse per casi oscuri, discutibilmente in crescita. Con una metafora medica, mentre il paziente-azienda sta morendo di un banale raffreddore, gli specialisti della sicurezza fifi sica e IT perdono tempo con la neurochirurgia. Lavorando a compartimenti stagni si duplicano infatti gli sforzi, si generano inefficienze e si trascurano minacce e soluzioni che starebbero proprio sotto gli occhi di tutti. Niente di tutto questo costituisce un vantaggio per il business.

Il fatto di aver trascurato sino a oggi la convergenza si presenta, tuttavia, come un’enorme opportunità per il futuro. Tante organizzazioni hanno ora la possibilità di ridurre i rischi attraverso iniziative semplici e poco costose che possono generare molto più valore di qualsiasi altro investimento. Il pezzo mancante del puzzle è piccolo, ma essenziale. Il settore della security necessita di un focus e di una leadership che ancora non esistono. Dobbiamo lavorare in team, perché il nostro livello di frammentazione è eccessivo.

Abbiamo bisogno di sviluppare una varietà di approcci in grado di supervisionare e formare in modo più efficace i nostri specialisti della security, incoraggiandoli a comportarsi nel modo in cui noi vogliamo si comportino e facendo del nostro meglio per sostenere questi “nuovi” comportamenti. La cosa forse più importante è che dobbiamo capire in che modo possiamo convincere le persone a interessarsi veramente di ciò che facciamo. Tutte queste opportunità possono essere sintetizzate in un’unica parola: convergenza.

Che cosa dobbiamo fare

Come settore, abbiamo il dovere di:

• comunicare più efficacemente tra di noi. I compartimenti stagni devono essere rimossi, i budget condivisi, gli sforzi coordinati e le dispute “territoriali” eliminate;
• comunicare più efficacemente con tutti i nostri business e con tutte le altre discipline interne all’organizzazione il cui supporto è essenziale per il nostro successo. Dobbiamo essere guidati dalle esigenze operative e dal profitto ed è importante che ogni persona coinvolta riconosca il contributo individuale al successo dell’organizzazione;
• spiegare alla nostra forza lavoro quali sono i risultati che ci attendiamo con un linguaggio pertinente e comprensibile. Dobbiamo farci promotori di una cultura nella quale i nostri collaboratori siano attenti ai rischi e alle minacce e abbiano l’inclinazione e la fiducia necessarie per rispondere in modo adeguato ai problemi da risolvere. A quel punto, le nostre difese – per loro natura tutt’altro che perfette – saranno sempre supportate da una squadra consapevolmente pronta ad agire e “combattere”.

I vantaggi della convergenze

Comunicando la security convergence in modo semplice e diretto si possono abbattere le prime barriere di diffidenza e di campanili da proteggere. Del resto unificare tutti gli aspetti della security genera un immenso valore che si traduce in diversi vantaggi:

• visione strategica del rischio organizzativo in tutti i reparti (meno burocrazia, meno spazio agli errori, processi più snelli ed efficienti);
• operazioni di sicurezza migliorate (budget ridotti, miglior reperimento delle risorse, risposte più tempestive alle crisi, cambiamenti culturali e comportamentali); mitigazione del rischio (grazie all’integrazione delle tecniche di intelligence, indagine e disaster recovery e all’accresciuta flessibilità rispetto alle condizioni del mercato);
• allineamento dei processi e incremento dell’efficienza (comunicazione migliorata e minor sovrapposizione di processi e politiche);
• processi semplificati e miglioramento della posizione legale;
• valutazione più efficace delle procedure di audit aziendale (economie di scala che riducono l’esposizione ai rischi, minori frodi).

Facciamo qualcosa di diverso

Un approccio convergente riconosce e indirizza in modo adeguato l’interdipendenza tra funzioni di business e rischi, permettendo di integrare processi e asset. Valuta il profilo di sicurezza in termini di rischi effettivi e potenziali combinati, piuttosto che fare riferimento al singolo processo. E dovrebbe essere guidato dal consiglio di amministrazione e dal senior management per garantire che la strategia di messa in sicurezza sia allineata a quella corporate come agli obiettivi di business.

Per implementare la convergenza e beneficiare di un approccio trasversale al security risk management, tutti i leader coinvolti devono considerare le implicazioni di ciò che stanno facendo e il modo in cui le loro azioni potrebbero interessare altri ambiti della sicurezza o generare ulteriori rischi. Questi leader dovrebbero infine mettere continuamente alla prova il loro tradizionale modo di pensare impegnandosi in quattro aree chiave:

• sviluppare un’approfondita comprensione delle altre funzioni della security;
• accrescere la professionalità e le capacità di ogni funzione – con processi chiari e replicabili invece di soluzioni ad hoc per problemi specifici;
• mostrare la volontà di condividere informazioni, integrare processi e diffondere report;
• accettare il fatto che possano emergere priorità legate a rischi che interessano ambiti della sicurezza diversi dal loro.

Come recita un celebre aforisma di Albert Einstein, “follia è continuare a fare la stessa cosa nella convinzione che ciò possa produrre risultati diversi”… E’ giunto il momento di abbandonare i modelli di comportamento che risultano inadeguati al processo in atto: è ora di fare qualcosa di diverso.