Qualche giorno fa, nel cercare un documento di diversi anni fa, mi sono imbattuto in qualcosa che avevo scritto sedici anni fa, nel 2005. Il tutto si trova in un disco di archivio, nel quale mantengo ciò che ho scritto dall’inizio del secolo. Mi ha fatto piacere rileggerlo e mi sono trovato a fare qualche considerazione riguardo l’evoluzione che c’è stata in Italia, riguardo il Security Management.
Non si può dire che non siano stati fatti dei progressi negli ultimi quindici anni. Lo si può vedere, in particolare nelle grandi organizzazioni dove progressivamente si sta realizzando un modello organizzativo improntato alla Enterprise Security Risk Management (ESRM).
L’Italia ha, però, una configurazione imprenditoriale caratterizzata da piccole-medie imprese che misurate in termini di fatturato rappresentano circa il 60% del PIL italiano. Se invece le misuriamo in termini di organizzazioni rappresentano oltre l’80% del totale delle imprese italiane. Ed è qui che c’è ancora molto da fare.
Rileggendo l’articolo scritto sedici anni fa e riflettendo su cosa potrà avvenire con il Piano Nazionale di Ripresa e Resilienza (PNRR) che a breve sarà operativo, mi è venuta la voglia di condividere il vecchio documento, così come lo avevo scritto qualche anno fa e di proporlo come strumento di miglioramento per il settore della Sicurezza Aziendale.
La grande massa di capitali che si riverseranno nell’asfittica economia italiana, dopo diciotto mesi di pandemia, potrà avere l’effetto di un additivo chimico immesso nel carburante di un motore “sfiatato” di una F1. Sicuramente il numero di giri del motore è destinato a salire e ad avere migliori performances, ma per quanto tempo? Quanti giri potrà fare sotto l’effetto di un booster così potente, prima che il motore si distrugga.
La metafora motoristica può aiutare a pensare come nel prossimo futuro, il mondo imprenditoriale italiano potrebbe trovarsi nel rischio di doversi difendere dall’effetto doping di una massiccia immissione di capitali freschi. Se poi aggiungiamo la minaccia di una Criminalità Organizzata, pronta a cogliere tutte le opportunità derivanti dall’immissione di una grossa quantità di capitali in un clima di ridotta capacità di controllo e di semplificazioni amministrative, ecco che si trovano le ragioni per dover contare sull’integrità dell’intero sistema produttivo italiano, non solo di quello del 20% delle grandi aziende.
Credo che questo scenario caratterizzerà il lavoro dei Security Manager e dei CSO del prossimo futuro e che servirà lo sforzo di tutto il comparto della Sicurezza Aziendale per reggere allo shock di una crescita mai vista negli ultimi cinquant’anni e passa.
Ecco perché ritengo che un tiepido tentativo di analisi retrospettiva, anche se abbastanza ravvicinata, possa essere di aiuto in particolare alle giovani generazioni che si stanno affacciando al mestiere del Security Management.
Buona lettura,
Alessandro Lega, CPP
Senior Corporate Security & Resilience Advisor
___________________________________________________________________________________
Coloro che all’indomani dell’11 settembre avevano previsto un’immediata crescita dei fatturati per servizi alle aziende Italiane, nel comparto della Sicurezza Aziendale, dimostrarono forse troppa fretta. Nacque l’illusione di riuscire a rinvigorire un mercato che da anni si è attestato ad un livello accettabile e che non dimostra di avere la capacità di fare passi da gigante.
Gli stessi operatori inizialmente fiduciosi, poi gradualmente rassegnati, che si affannavano a misurare una crescita dei loro fatturati han dovuto prendere atto che gli incrementi si dovevano comunque misurare con il bilancino del farmacista; un aumento di qualche unità percentuale rispetto all’anno precedente.
Poi ci sono stati i fatti di Madrid dell’11 marzo 2004, seguiti da quelli di Londra in luglio di ques’anno, solo per rimanere in Europa. L’aspettativa di una crescita del mercato della sicurezza si è fatta di nuovo sentire.
Tutto questo potrebbe portare a concludere che non ci sarebbero stati cambiamenti significativi se negli ultimi quattro anni non fossero accaduti fatti così drammatici. Certamente non è così!
Qualche cambiamento si stava già delineando all’orizzonte, prima dell’11 settembre. Un cambiamento nella qualità della domanda, per esempio, invocato da parte delle aziende più esposte, in particolar modo da quelle con dimensioni più significative.
Perché l’attacco alle Torri, poi ai treni Madrid e quelli alla Metropolitana di Londra hanno accelerato questo processo? Possiamo pensare che è accaduto ciò che accade dopo un brutto sogno: al risveglio la realtà ci può suggerire di adottare paradigmi diversi. Forse possiamo aggiungere che le motivazioni c’erano già ma che una certa inerzia nel resistere al cambiamento (non solo da parte delle imprese utilizzatrici ma anche da parte degli operatori del settore) è spesso più forte della effettiva spinta nel cambiare?
Potremmo continuare l’analisi e trovare tanti altri perché ai quali possono essere contrapposte logiche e valide risposte.
Soffermiamoci sul punto messo in evidenza, quello di una richiesta di qualità, che non è cosa di poco conto.
Le aziende Italiane (come nel mondo Anglosassone era avvenuto da qualche tempo) cominciano a percepire la necessità di dover disporre di capacità organizzative e di competenze professionali per proteggere le proprie iniziative imprenditoriali. Proteggerle sul fronte dei valori patrimoniali, delle risorse umane e delle informazioni aziendali. È un cambiamento di estrema importanza, specialmente se viene rilevato in un momento in cui assistiamo ad una contrazione degli investimenti. Se determiniamo il delta fra i due diversi fenomeni, una minore crescita tendenziale degli affari in generale da una parte, ed una maggiore attenzione nel ridurre al minimo il livello di rischio dall’altra, potremmo concludere che siamo di fronte ad un reale apprezzamento del valore attribuito al contributo che la Sicurezza Aziendale può portare alle performance delle imprese.
È pur vero che questa percepibile tendenza delle aziende si dovrebbe trasformare in reali opportunità di business per gli operatori che si propongono come fornitori di Sicurezza. Ma è anche pur vero che in un mercato che per anni ha limitato l’offerta ad una presenza fisica di personale in uniforme, oppure di pura tecnologia, gestendo la sicurezza solo tramite pratiche di tipo reattivo, questo cambiamento deve essere considerato abbastanza significativo. Anche se tutto ciò potrebbe non essere sufficiente per costituire un’effettiva opportunità, specialmente per quegli operatori del settore che si ostinano a mantenersi a riverente distanza da una disciplina che si chiama Security Management.
Dove sta quindi la chiave di volta che può dare un effettivo impulso al business della Sicurezza Aziendale: risiede nella capacità di saper diversificare l’offerta abbinandola a spunti propositivi capaci di far crescere la scala del valore trasferibile sulle aziende utenti. Fin quando l’offerta si limiterà ad un presidio di tipo tradizionale, più o meno visibile, le valutazioni per le scelte si soffermeranno unicamente su considerazioni del costo orario e durata del servizio.
Un mero confronto fra un budget disponibile, ma in costante contrazione, verso una scontata convinzione che questa, da sola, potrebbe essere una risposta veramente limitata.
Dove sono allora le vere opportunità di crescita per il settore della Sicurezza Aziendale?
Esistono almeno due comparti nei quali è urgente mettere ordine e per i quali non è necessaria nessuna iniziativa del legislatore, cosa peraltro che sta molto a cuore ad alcune categorie della sicurezza, ma che non prescinde dalla necessità di un processo di qualificazione.
Il primo deve avvenire principalmente per convinzione delle aziende, sia per quelle che decidono di crearsi competenze interne, che per quelle che si propongono come fornitrici di servizi di sicurezza. Questo passo richiede la nascita di capacità organizzative in grado di assicurare alla professione del manager che si occupa di sicurezza (proprietaria od esterna) la piena dignità del ruolo di gestore di risorse (umane, finanziarie e tecnologiche), accettato e ritenuto capace come altre figure di contribuire al sostegno della scala del valore aziendale. Non sono necessarie alchimie organizzative ma solo la semplice applicazione di una regola che in economia è ben conosciuta: le perdite vanno sempre a decremento del profitto, quindi meno sono le perdite (di qualsiasi tipo) migliore è la performance aziendale. Esistono possibili forme organizzative, tecnologiche ed operative per poter realizzare questa condizione. Facciamolo subito, perché ogni giorno perso può corrispondere ad una costante perdita di competitività.
L’altro aspetto è in capo a coloro che si propongono come esperti del settore, sia come Security Manager interno alle aziende, che come Operation Manager di aziende fornitrici di sicurezza. Si può in questo caso dire: impara l’Arte e mettila da parte. L’Arte di saper anticipare le situazioni che devono essere prevenute, non tramite la lettura di una sfera magica, ma con modalità più sistemiche, tipiche della valutazione del rischio. Quella disciplina che parte dalla ricognizione delle vulnerabilità e che passa attraverso la loro valutazione, sotto il profilo della criticità e della probabilità di accadimento. Un ruolo quindi non passivo, di attesa che avvenga un evento per poi doverlo affrontare. Un atteggiamento invece di tipo propositivo nel cercare di prevenire le situazioni meno favorevoli. Assieme a questo atteggiamento, che è anche una specifica competenza, si deve affiancare anche la capacità di contrastare chi si renda responsabile delle iniziative a danno delle organizzazioni che intendono proteggersi, oltre alla predisposizione di buone capacità di ripristino delle operazioni vitali in caso di evento capace di ridurre o bloccare la capacità operativa.
Un cambiamento non del tutto banale che richiede sia capacità professionali ma anche attitudini manageriali per poter governare un processo che tocca trasversalmente tutti gli altri processi aziendali. E poiché alcuni di questi processi hanno in comune una buona dose di necessità di sicurezza, meglio se nel prepararsi ad affrontare queste problematiche si riesce anche a cogliere l’opportunità di capirne meglio le implicazioni nell’ambito dell’intero processo aziendale. In altri termini approccio interdisciplinare e non monoculturale. Un esempio tipico sono le interrelazioni fra la Sicurezza Aziendale e la Sicurezza Informatica. Perché tenerle così distinte e separate? Non è forse vero che le informazioni sono un bene importante che l’azienda deve proteggere, indipendentemente dal fatto che siano scritte su carta oppure contenute in un computer?
Se tutto questo è vero e condivisibile, affrettiamoci a metterlo in atto!
Articolo scritto il 12 dicembre 2005 da Alessandro Lega, CPP