L'incremento delle relazioni esterne dell'impresa - non più confinate alla catena fornitore-acquirente/utente, ma estese ai rapporti con le istituzioni, la collettività e l'ambiente - ha reso la security aziendale uno strumento fondamentale per la tutela degli interessi dei soggetti, primi fra tutti i clienti, con cui l'impresa stessa interagisce. Nel contempo la sempre più capillare diffusione delle tecnologie dell'informazione, la progressiva dematerializzazione delle risorse critiche dell'azienda (informazioni, conoscenze specialistiche, know how, immagine, fiducia negli stakeholders, clima interno), associata alla tendenza del mercato ad attribuire maggior valore agli aspetti intangibili del patrimonio, nonché la definizione di strutture organizzative sempre più snelle e flessibili, da un lato hanno modificato, e in parte ampliato, il terreno di vulnerabilità delle imprese alle minacce di natura accidentale e/o dolosa, dall'altro hanno connotato in maniera crescente la security aziendale come un'attività firm-specific e product-specific.

Pertanto, la fornitura del servizio, rivolta sia ai clienti esterni che interni, richiede la rispondenza non solo ad un principio generale di efficienza ed efficacia, quanto piuttosto a requisiti di qualità del sistema di security che siano ben definiti e caratteristici dell'azienda stessa. Tali considerazioni aprono un vasto ed interessante terreno di discussione e di sviluppo in tema di sistemi di gestione aziendale: quello della valutazione e della certificazione della qualità del sistema di security.


LA RICERCA

Con l'intento di facilitare l'avvio di linee di azione operative, l'Iri Management ha promosso e realizzato una ricerca finalizzata ad approfondire tale tematica e a delineare un quadro aggiornato delle iniziative in corso. Obiettivo principale è stato quello di creare un momento di analisi e approfondimento finalizzato a derivare, dalla più vasta normativa di riferimento in materia di qualità dei servizi, i requisiti, le figureprofessionali e le tecniche di valutazione per lo sviluppo di uno specifico processo di definizione e certificazione della qualità del sistema di security.

Lo sviluppo di tale processo implica un ripensamento del sistema di security aziendale in funzione di una successione di passi sequenziali che coinvolgono la progettazione del sistema, la definizione dell'offerta del servizio e la costruzione e la gestione del sistema.La ricerca ha avuto come oggetto, pertanto, la definizione, l'analisi e l'approfondimento di tali passi con riferimento alle specifiche norme Iso in materia ed ha costituito un momento di avvio per la traduzione e l'applicazione di tale sequenza al sistema di security.

La progettazione del sistema in un'ottica di qualità è stata analizzata, dopo un opportuno approfondimento delle differenze esistenti tra l'assicurazione della qualità e la gestione per la qualità (Iso 9001, Iso 9004), individuando quelli che possono essere visti come i presupposti della progettazione, ovvero: la definizione degli stakeholders, dei loro bisogni edel loro peso (Iso 9000.1) e l'adozione dei criteri del processo a valore aggiunto (Iso/Dis 10014).

Quest'ultimo presupposto implica da una parte l'individuazione di una metodologia di gestione e di miglioramento degli effetti economici della qualità, dall'altra la strutturazione e l'organizzazione del servizio di security in termini di processo.

La definizione dell'offerta del servizio in un'ottica di qualità (Iso 9004.2) non può prescindere, nel rapporto fornitore/acquirente, dalla enucleazione e comunicazione di due elementi fondamentali: i requisiti dei servizi richiesti e le caratteristiche sia dei servizi offerti che dei processi utilizzati per realizzare i servizi stessi. I requisiti rappresentano ciò che viene richiesto e possono essere segmentati in requisiti del cliente (aspettativeimplicite o esplicite, prevenzioni, servizi complementari, affidabilità attesa), competitivi (enunciazione dei punti di forza dei concorrenti diretti), aziendali (posizionamento nel mercato, redditività, economie di scala), tecnologici (software, hardware, sub-fornitori qualificati) e ambientali (legislativi, normativi, naturali).Le caratteristiche rappresentano i fattori di qualità del servizio e possono essere individuate in caratteristiche di servizio (prezzi, tempi di attesa, consegna e processo, igiene, sicurezza, affidabilità, cortesia, aggiornamento tecnico, vigilanza) e caratteristiche di processo (età, qualifica, esperienza del personale, quantità, qualità, costi, sub-fornitori delle materie prime, tipologia e consumi dei macchinari e delleattrezzature). La costruzione e la gestione del sistema di security in un'ottica di qualità si inserisce nel contesto di leggi, vincoli e riferimenti che costituiscono il "diamante dell'integrazione secondo il quality management".

Nell'ambito della ricerca sono stati esaminati i processi direzionali e quelli operativi (Iso 9004.2) e i codici di buone prassi con riferimento all'information security management (Bs 7799). Unapprofondimento specifico è stato indirizzato alla certificazione dei sistemi (En 45012) e delle professionalità - security managers, security auditors, professionals - (En 45013).

Al fine di delineare un quadro upto-date del livello di qualità implicito nei correnti sistemi gestionali della fornitura del servizio di security aziendale, la ricerca è stata completatacon una indagine mirata condotta presso primarie aziende di produzione e di servizi e presso l'Associazione italiana degli organismi di certificazione Indipendenti (Aioici).

I principali obiettivi sono stati quelli di rilevare ed evidenziare, dunque, il ruolo della funzione security all'interno delle aziende, il contesto aziendale all'interno del quale opera (v. clientie fornitori, servizi offerti e richiesti sia all'interno che all'esterno dell'azienda), il marketing della security e la conoscenza e l'applicazione delle normative Iso 9000 (con particolare riferimento alla Iso 9004.2) al servizio di security.

Per quanto concerne il ruolo e la strutturazione della funzione, è emerso - soprattutto per aziende di grandi dimensioni che offrono un'ampia gamma di prodotti e/o servizi e si rivolgonodi conseguenza ad un mercato cliente molto variegato, in un'ottica comunque di commercializzazione globale - che la collocazione organizzativa della security, nonché la sua denominazione formale, assumono una varietà di specificazioni che rispecchiala missione aziendale, la diversa tipologia e valutazione dei rischi, le differenti esigenze di protezione aziendale, la dimensione territoriale dell'ambito di operatività e lo specificoambiente competitivo in cui tale azienda opera.

Non sembra emergere un modello prevalente di organizzazione della funzione security e ciò in ragione del fatto che il tipo di organizzazione dipende da fattori specifici e differenti di impresa, quali ad esempio il livello di consapevolezza, da parte del top management, del ruolo strategico della funzione, la natura delle attività, la missione e gli obiettivi dell'impresa,la struttura dell'organizzazione complessiva dell'azienda, la normativa in materia di sicurezza che vincola le specifiche attività aziendali, il profilo dei rischi specifico, il sistema di valorie di cultura aziendale.


PIU' PESO ALLA SICUREZZA

Al di là del tipo di organizzazione formale della security(centralizzata/strutturata o informale/diffusa), ciò che sembra realmente determinare il peso sostanziale della funzione all'interno dell'azienda e il livello di sensibilità e attenzione alle tematiche della tutela aziendale in maniera diffusa e pervasiva, risulta essere costituito dal grado di interrelazioni funzionali, ovvero l'interazione, la collaborazione e la comunicazione tra la security e le altre funzioni aziendali nell'affrontare e gestire le diverse problematiche in materia di sicurezza.

E' emerso inoltre che, sul fronte interno all'azienda, l'attività di security appare sempre meno orientata verso un modello di controllo ispettivo, a favore, invece, di un modello di relazionecliente/fornitore; la diffusione di tale modello rappresenta in molti casi il primo passo verso una strutturazione dei servizi di security in un'ottica di qualità, finalizzata a favorirenon solo la diffusione di un linguaggio comune, ovvero quello della qualità del servizio - rendendo così più immediata la comunicazione interfunzionale -ma soprattutto unametodologia comune e uniforme di espressione dei requisiti dei servizi richiesti, delle caratteristiche dei servizi offerti, delle modalità di valutazione (sia da parte del clienteche del fornitore), della rispondenza e dell'efficacia dei servizi.Concordemente alla diffusione dell'approccio della qualità al sistema di security, la gamma di servizi offerti dalla funzione appare fortemente ampliata, in connessione al mutare delle areedi vulnerabilità e alla specificità delle problematiche del singolo cliente: i servizi storici di semplice sorveglianza e gestione delle aree protette sono stati affiancati, in proporzione rilevante nella maggior parte delle aziende osservate, ad attivitàdi rilevazione di eventi anomali (v. sistemi di incident report finalizzati alla raccolta di segnali premonitori di micro e macro situazioni di crisi) e di quantificazione dei danni, a servizidi risk management, ad attività di counter intelligence, di benchmarking e all'attivazione di servizi legati al computer crime e alla fornitura di consulenze di security.

Per quanto riguarda la comunicazione con il cliente, prevista dalle norme Iso sulla qualità del servizio erogato, è risultato che la funzione security nella maggior parte dei casi ha introdotto sia un sistema di raccolta delle informazioni riguardanti i bisogni specifici del cliente (customer needs), sia il livello di gradimento dei servizi offerti (v. rilevazionedella customer satisfaction, finalizzata alla valutazione delle performance del servizio e quindi al miglioramento dello stesso), mediante l'impiego di questionari e schede di valutazione somministrate periodicamente ai clienti.

E' evidente che le trasformazioni in corso nell'organizzazione e nella gestione del sistema di security, si traducono in un ampliamento della cultura d'impresa in un'ottica di qualità, in una modificazione dei comportamenti organizzativi diffusi e condivisi all'interno dell'azienda, in un arricchimento delle competenze e delle capacità non solo degli operatori di security, ma anche di tutti i responsabili dell'organizzazione.

(Ndr: questo articolo è stato ripreso dellarivista bimestrale Bancaforte di marzo-aprile 1998)