Perché costruire un Security Management System
- Ottobre 27, 2021
- Posted by: Federico Olivo
- Categoria: Sicurezza, Strumenti per la sicurezza
Al fine di garantire la maggior sicurezza possibile dei processi aziendali, diviene estremamente importante sviluppare uno specifico sistema di gestione definito Security Management System.
Tale sistema si compone di misure tecniche e organizzative messe in atto al fine di incrementare, nel complesso, la capacità di prevenire e mitigare gli effetti negativi generati da atti di interferenza illecita e di proteggere e tutelare le persone e il patrimonio aziendale.
L’attività è caratterizzata dalla gestione dell’intero ciclo di vita della security e si fonda su un processo analitico di gestione del rischio, basato sullo standard ISO 31000 che copre i tre domini della sicurezza fisica, del personale e delle informazioni con un processo ispirato al miglioramento continuo.
La gestione del rischio viene sviluppata attraverso i principi di “security by design” e “security through lifecycle” e condotta sulla base di procedure in continuo aggiornamento, che considerano l’emissione di requisiti tecnico-operativi, metriche e indicatori finalizzati al rafforzamento della cultura e della consapevolezza della security, sia con programmi di training sia con esercitazioni svolte verso tutto il personale, a livelli differenziati.
Security Management System
Un Sistema di Gestione della Security ha l’obiettivo di identificare, valutare e gestire, attraverso adeguate azioni di prevenzione e mitigazione da parte del Datore di Lavoro, i rischi per la security, di tutelare la protezione delle persone da qualsiasi minaccia di security e/o safety, derivante anche da comportamenti criminosi di terzi che potrebbero provocare danni diretti o indiretti alla Società e, infine, minimizzare eventuali responsabilità del Datore di Lavoro derivanti dal verificarsi dei rischi di security e/o safety.
Sulla base di quanto citato, diviene quindi di fondamentale importanza un approccio metodologico per la definizione, l’implementazione e il monitoraggio di un Sistema atto alla gestione della Security.
Il Sistema di Gestione della Security si compone essenzialmente di tre fasi:
- la prima di analisi e verifica,
- la seconda di implementazione,
- infine la terza di monitoraggio.
La prima fase, sicuramente la più delicata, si pone l’obiettivo d’identificazione dei rischi tenendo presente vari aspetti, quali la natura dell’attività da svolgere (magari all’estero), la sede in cui svolgere l’attività lavorativa. Successivamente, viene effettuato un risk assessment e gap analysis, volto a individuare le misure di mitigazione del rischio, alla verifica dell’idoneità del sistema procedurale (policies and procedures) a prevenire i rischi e infine l’individuazione delle azioni di miglioramento volte al superamento dei gaps rilevati.
La prima fase si conclude con un Action Plan che consiste nella definizione di un piano di implementazione riportante, per ciascun gap rilevato, l’azione di miglioramento da implementare, la funzione aziendale competente e le tempistiche di realizzazione.
La seconda fase riguarda essenzialmente l’implementazione delle attività di security, mediante la revisione e l’aggiornamento del Sistema procedurale di Security, del sistema procedurale di Salute e sicurezza, del Modello di Organizzazione, Gestione e Controllo (D. Lgs. 231/01) e mediante l’applicazione di un efficace piano per la Formazione e l’informazione del Personale.
Il Sistema di Gestione si conclude con l’ultima fase, la terza, riguardante espressamente il monitoraggio: viene attuata un’attività di verifica e controllo della solidità del Sistema di Gestione con una fase di reporting al management competente delle non conformità.
Per riassumere quanto sopra, ci può venire in aiuto la ben più nota risk-based thinking dei Sistemi di Qualità, che perseguono controllo e miglioramento dei processi mediante il ciclo “Plan – do, – check, – act.”: una volta preso in considerazione il rischio, si pianificano gli interventi, si attuano, li si controllano ed eventualmente si aggiornano.
Diviene di fondamentale importanza, nella costituzione di un Sistema di Gestione, che lo stesso sia integrato completamente nella compliance aziendale, ma soprattutto che favorisca un approccio di tipo olistico, che tenga quindi presente della globalità dei rischi cui l’azienda è esposta oppure potrebbe esserlo, come ad esempio catastrofi naturali o situazioni emergenziali e proprio per questo non prevedibili e difficilmente controllabili.
Possiamo dunque asserire che la security costituisca un elemento portante di un sistema organizzativo aziendale integrato ed efficiente, ma è bene ricordare che, al centro di questo complicato meccanismo, c’è pur sempre l’essere umano.
Per maggiori informazioni, guarda il video
Un saluto