Security manager Così cambiano le competenze

Security in azienda
Security manager
Così cambiano
le competenze
di Valerio Salvi
Informazioni, dati e sistemi delle aziende costituiscono un patrimonio che
è necessario presidiare con nuove dinamiche operative. Intervista con
Giuseppe Femia, Security Manager Vodafone Italia e Presidente A.I.P.S.A.
L
a complessità della security oggi, richiede un approccio nuovo e competenze più ampie.
Su questo tema molto attuale AIPSA
ha recentemente organizzato un interessante convegno a Roma dal titolo “Security 2.0: la tutel@ del patrimonio e del
business nell’economi@ digitale”.
Con questo convegno AIPSA ha voluto affrontare le diverse tematiche relative a rischi, minacce ma anche alle opportunità che i security manager aziendali devono fronteggiare e
presidiare nell’ambito delle nuove complesse
dinamiche aziendali legate all’economia digitale. Ancora, il processo di globalizzazione prima e la crisi economica oggi, ha comportato
che da un lato il cliente sia diventato sempre
più esigente e dall’altro che le aziende siano
sempre più focalizzate al “core business”, trasferendo al di fuori del perimetro aziendale
tradizionali componenti importanti della “values chain” (es. outsourcing, offshoring).
Informazioni, dati, conoscenze, processi e sistemi presenti nelle aziende oggi concorrono
a configurare un patrimonio intangibile criti-
a&s febbraio 2010
36
Security in azienda
co e vitale che è necessario presidiare attentamente con nuove sensibilità e dinamiche operative. Questi nuovi scenari tecnici, economici e di mercato, che configurano un mondo
in crescita esponenziale, condizionato dagli
incessanti sviluppi tecnologici e dalla globalizzazione, sempre più interconnesso e interdipendente, influenzano fortemente la professione del Security Manager e richiedono un
modo nuovo di presidiare rischi e minacce a
360 gradi. Ai rischi tradizionali di sicurezza fisica e logica si intrecciano nuove e forti esigenze di sicurezza, privacy e governance che modificano il perimetro delle attività della security ed ampliano significatamente le responsabilità del security manager.
In questo contesto è necessario che il Security Manager abbia una buona conoscenza del
business e rappresenti una funzione che è parte integrante del business, che opera in modo trasversale nei processi aziendali e che è
percepita come funzione a supporto del busi-
ness e della sua continuità, piuttosto che come rallentatore di processi.
Come sta cambiando l’approccio alla security?
Negli ultimi venti anni abbiamo assistito ad
una evoluzione graduale del modello organizzativo ed operativo di security nelle aziende che nel tempo ha visto mutare strategie di
riferimento, mission e perimetro di attività e
responsabilità della funzione security .
Da un modello di security definibile “Castle
based” (con un focus basato sul patrimonio
tangibile/fisico e sulla sicurezza perimetrale fisica e logica), si è passati ad un modello “Business oriented” (con forte focus sugli intangible assets e sulla continuità del business) per
approdare ad modello definibile “Total Risk
Governance”.
Questo nuovo modello di governance (che
possiamo provocatoriamente definire Security 2.0), deve prevedere un nuovo bilanciamento tra attività di prevention e reaction, un giusto mix di competenze e capabilities tra sicurezza fisica, logica e politiche anti-frodi (interne ed esterne) e governance dei rischi a
360 gradi.
Le strategie di security devono sempre più essere integrate con i macro-progetti aziendali
garantendo il ritorno degli investimenti e instaurando un completo allineamento con gli
obiettivi di business sia nel breve/medio che
nel lungo periodo.
In uno scenario di veloce cambiamento come
quello che caratterizza l’economia digitale, la
figura del Security Manager deve evolvere per
essere capace di individuare, valutare e mitigare i nuovi rischi. Deve comprendere quanto è fondamentale proteggere una mole crescente di asset intangibili (in primis il brand
aziendale), in un contesto dove velocità, comunicazione informale tra pari, dialogo tra
azienda ed utenti (sul web ma non solo) sono determinanti per il successo del business.
L’evoluzione del ruolo del Security Manager
deve essere rafforzata mediante un nuovo e
più efficace framework di governance della
sicurezza, condiviso ed approvato a livello di
top management.
Il Security Manager
deve presidiare rischi
e minacce a 360 gradi
a&s febbraio 2010
37
Security in azienda
nomiche-finanziarie per bilanciare efficacemente i costi-benefici degli investimenti di sicurezza, evidenziando costi della non sicurezza e ritorni degli investimenti.
Che approccio ritiene sia giusto seguire, per
proteggere le infrastrutture critiche?
Se l’11 settembre ha dato una svolta per il ruolo del security manager, la Direttiva Europea
sulle Infrastrutture vedrà le aziende gestori di
infrastrutture critiche, e quindi il Security Manager, come risorse fondamentali per il Sistema di Sicurezza del Sistema Paese. Con la Direttiva Europea COM 2006 sulle Infrastrutture Critiche, il focus della protezione di queste
infrastrutture vedrà gli “asset strategici” come
elementi vitali e spina dorsale del Sistema Paese. La direttiva regolerà quindi future e specifiche dinamiche di cooperazione fra aziende
considerate “infrastrutture critiche” ed il Sistema Paese, inquadrando rapporti e ralazioni in
logiche diverse rispetto a quanto è avvenuto
sino ad oggi.
L’approccio più giusto da seguire penso sia di
garantire la corretta implementazione di
quanto previsto dalla normativa europea che
si aggiunge ai Piani di Business Continuity Management che le aziende hanno implementato al loro interno (Business Continuity Plan,
Crisis Management Plan, Piani di Disaster Recovery Plan, Contingency Plan, ecc.).
Giuseppe Femia,
Security Manager Vodafone Italia
e Presidente A.I.P.S.A.
Quale ritiene siano le principali competenze
che deve sviluppare oggi il security manager?
In questo nuovo contesto cambiano molti paradigmi della strategia, operatività, responsabilità e ruolo del responsabile della security
ma cambiano anche i modelli organizzazativi
di sicurezza.
Le competenze da sviluppare sono quelle che
consentono il più efficace presidio e gestione
a 360 gradi di rischi e minacce, proteggere
un patrimonio sempre più intangibile, critico
e vitale e contrastare nuove forme di cybercrime (Risk management, Crisis Management,
Business Continuity, Intelligence, Fraud management, Business Security, ecc.).
È fondamentale la capacità di conoscere le
strategie di business da declinare in strategie
di security, capacità di gestire il cambiamento
veloce, di leggere indicatori prima di altri.
È importante sviluppare competenze specifiche che aiutino a pianificare all’interno dell’organizzazione aziendale attività di marketing e comunicazione della security, mediante utilizzo delle nuove tecnologie e strumenti disponibili.
È vitale, infine, sviluppare competenze eco-
Quali iniziative di AIPSA nel corso del 2010,
per promuovere la cultura di una sicurezza
sempre più integrata?
Per promuovere una cultura di sicurezza sempre più efficace ed integrata, affermare il successo della funzione security all’interno dell’organizzazione aziendale e per valorizzare il
ruolo professionale dei security manager, AIPSA ha definito 10 priorità strategiche del Security Manager, che abbiamo riassunto in un
box. Innanzitutto per noi il 2010 sarà un anno davvero significativo. Venti anni di storia a
maggio 2010 è una tappa importante. Vogliamo dedicare tutto l’anno ad eventi e convegni
volti a diffondere la cultura della sicurezza e
a consolidare la funzione di securiy nelle
aziende. Investiremo su Comunicazione e
a&s febbraio 2010
38
Security in azienda
Cultura. Possiamo già anticipare che a gennaio abbiamo pianificato con la collaborazione
di Federmanagement una ricerca volta a mappare la percezione della security nelle altre
funzioni aziendali. Il nostro impegno poi sarà dedicato fortemente alla Formazione.
Abbiamo accolto con piacere l’iniziativa di numerosi Security Manager, dirigenti aziendali,
imprenditori e docenti universitari di contribuire all’apertura all’Aquila dal 19 aprile 2010
una Scuola Internazionale di Etica e Sicurezza tripla A (Alimentare, Ambientale e Aziendale). Il 12 dicembre 2009 in Piazza Fontana
è stato dato il via formalmente a questo importante cantiere già attivo da oltre 5 mesi per costruire percorsi formativi utili alla gestione dei
rischi e delle crisi e alla sicurezza di tutto il Pianeta. Ho rappresentato AIPSA insieme a 12
soci che si sono già attivati per costruire il pro-
getto definitivo che verrà presentato anche a
Verona il 12 marzo 2010. Il nostro obiettivo è
quello di poter continuare a garantire occupazione e la nascita di nuovi professionisti oltre che l’aggiornamento continuo della nostra
famiglia professionali con percorsi a loro specificatamente dedicati soprattutto alla luce del
progetto di aggiornamento della Norma in
sede UNI.
Siamo davvero soddisfatti di nuovi percorsi di
crescita proprio nell’anno in cui andremo a
festeggiare il nostro ventennale.
È ancora possibile dare il proprio contributo
per idee e proposte ma soprattutto per coinvolgere gli iscritti a questi corsi che certamente entreranno nella storia della formazione
manageriale mondiale.
www.aipsa.eu
Manager
giche del Security
te
ra
st
tà
ri
io
pr
Le 10
ione azienputazione di funz
re
la
re
ida
ol
ns
co
à.
1. Confermare e
tica e dell’integrit
lla legalità, dell’e
adi cogliengr
0
36
a
dale a presidio de
y”
rit
cu
ienda una “Total Se
ent, com2. Maturare in az
nti (risk managem
ge
er
em
tà
ni
rtu
e, fraud managedo nuove oppo
rastrutture critich
inf
t,
en
em
ag
an
inpliance m
mpre più e meglio
etica/integrità).
ibile, innovativa, se
ss
fle
ment, legge 231/
e
ion
nz
fu
e
confermarsi com
3. Svilupparsi e
s
e della security”
pporto al busines
e a “creare il valor
su
di
lor
va
il
ene”
er
tegrata e
gg
te
“pro
ne degli investim
curity e valore: da
te la razionalizzazio
ian
ed
m
ria
4. Coniugare se
zia
an
dali.
patti della crisi fin
e nei bilanci azien
ra5. Presidiare im
cimento dai vertici
os
mplessità e sburoc
on
co
ric
lla
o
de
lor
e
e
ion
za
uz
rid
n
co
e
ti di sicurez
ion
az
ov
acia, efficienza e inn
l respon6. Coniugare effic
processi).
e
e
ur
ed
oc
pr
,
contributi alla socia
e
es
m
ici
ol
co
(p
le
ne
cia
so
zio
za
cio
tiz
ili nel bilan
tività consuntivab
n
7. Sviluppare at
coerentemente co
e con le istituzioni,
e
es
Pa
sibility.
a
m
ste
Si
le sinergie con il
e.
8. Massimizzare
rastrutture critich
e e la conosceneuropee sulle inf
e
ando la percezion
tiv
ior
igl
m
,
da
nuove diret
ien
az
y in
zione” interne.
lorizzare la securit
keting e comunica
ar
“m
di
formahe
9. municare e va
ific
ec
in sicurezza, piani
con attività sp
rity per chi opera
cu
lla forza della sicurezza
se
de
di
to
e
ial
en
m
er
re
ag
ofessionali, inc
rmazione man
fo
pr
ie
re
igl
iva
m
nt
fa
ce
In
se
.
er
10
ersificati per le div
tivi strutturati e div
rsità.
con e nelle Unive
y
mazione di securit
a&s febbraio 2010
39