Security management
Con Security management si indicano tutte quelle attività gestionali di individuazione, valorizzazione e analisi di un rischio che può provocare danni patrimoniali e non (furti, frodi, divulgazione di informazioni,...) in un'azienda, ente o raggruppamento di beni e persone. La persona che si occupa di tale lavoro normalmente viene chiamato security manager o responsabile della sicurezza.
Tipologie
modificaNella normalità, essendo il termine "sicurezza" capace di racchiudere molteplici eventi gestionali, si possono distinguere tre diverse tipologie di Security Management con il relativo responsabile:
- Sicurezza patrimoniale: il loss prevention & security manager è il responsabile aziendale per la sicurezza patrimoniale. Si occupa di tutte le attivita di vigilanza ed investigazione per far fronte alle continue perdite di un'azienda legata a furti, frodi o truffe.
- Sicurezza informatica: il IT Security Manager è colui che deve garantire la sicurezza dei sistemi informatici in modo da non subire attacchi da esterni con la relativa protezione delle informazioni e dei dati aziendali o da virus.
- Sicurezza sul lavoro ed ambiente: l'RSA è colui che deve garantire la vivibilità dei posti di lavoro, individuare eventuali pericolosità e trovarne rimedio (legge 626).
Attività
modificaL'attività viene svolta in punti ben definiti che non vadano ad incidere negativamente sulla produzione e/o il commercio dell'azienda; sono attività che devono essere condivise da tutte le divisioni dell'azienda. Tali punti si possono riassumere come segue:
- Valori Aziendali: individuazione del campo di attività dell'azienda e riconoscimento dei responsabili delle varie strutture.
- Definizione degli obiettivi:
- Obiettivi strategici: non devono intralciare le strategie e le politiche aziendali.
- Obiettivi operativi: devono essere efficaci ed efficienti sul piano attuativo delle primarie attività aziendali.
- Obiettivi di conformità: devono rispettare pienamente le leggi civili e penali dello Stato e/o i regolamenti aziendali.
- Obiettivi di reporting: deve essere assicurata una piena distribuzione e un'attività di informazione delle politiche da emanare.
- Identificazione del problema: identificazione dei rischi.
- Risk Assestment: analisi dei rischi individuati precedentemente e valutazione del loro impatto tenendo conto dei rischi potenziali e dei rischi effettivi.
- Risk Response: individuazione delle attività di contenimento e/o di contrasto da svolgere per la riduzione dei rischi analizzati.
- Control Activities: stabilire e rendere pubbliche le politiche, le attività e le procedure attuative.
- Information & Communication: attività di audit interno, divulgazione e spiegazione delle procedure emanate facendole comprendere e sentire necessarie anche a chi le deve applicare.
- Monitoring: attività di controllo continuo nell'applicazione delle procedure.
L'attività di Security Management in generale è ancora poco utilizzata all'interno delle aziende che la considerano un costo e non un investimento, ma il trend sta cambiando.