Skip to content


Organizational Resilience - Understanding the Concept behind the Buzz Word

Dr. Marc H. Siegel

Commissioner, Global Standards Initiative

ASIS International, European Bureau

“Organizational resilience” is a term that is so over used that at times it seems to have become meaningless. From government programs, to standards bodies, to the private sector it seems to be the term "du jour" everyone wants to use to market their program and services. Ironically, one of the key factors related to the concept of building a resilience organization has been lost in all the noise. As businesses realize that a proactive and multidisciplinary integrated approach to managing an array of risks provides efficiencies, proponents of various risk disciplines seem to want to claim the term to promote their discipline and specialized services. It is time to move past the buzz word and focus on the concept of building a cohesive resilient organization. This means focusing on fundamental principles of a good integrated business and risk management system.

All activities involve a certain amount of risk and uncertainty. Uncertainty is the state where outcomes are unknown, undetermined, or undefined; or where there is a lack of sufficient information. Outcomes may be positive or negative. Individuals, organizations, and communities must decide how much risk and uncertainty they are willing to accept or take in order to achieve their objectives and desired outcomes. Objectives may include short and long term strategic goals related to the whole or parts of the organization and its value chain, as well as operational and tactical issues at all levels of the organization. Therefore, the management of strategic, operational, and tactical risks will depend on the organization’s objectives, appetite for risk, and its desire to exploit an opportunity or minimize a potential negative consequence. Clearly, there is no simple formula or standardized approach to managing risk and building resilience.

Resilience becomes an important concept to integrate into the risk management process because it promotes a perspective of enterprise-wide agility and adaptability. Resilience emphasizes that managing risk is both multi-dimensional and time dependent. Resilience focuses the management of risk on enhancing the adaptive capacity in an ever changing environment. Therefore, resilience considers how to fully integrate a holistic and proactive risk management perspective into good business management practice, particularly long and short term decision making. Not only is it the convergence of various risk disciplines, but this is done within the context of strategic, operational, and tactical objectives of the organization across the enterprise. Resilience emphasizes that organizations assume they are always operating in a dynamic and uncertain environment. Resilience requires both the convergence of risk disciplines as well as eliminating organizational siloes to have a coordinated plan for managing risk throughout the enterprise.

Resilience is not something that is inherent to an organization. An adaptive capacity develops as organizations mature, learn from successes and mistakes, improve their management and decision making skills, and gain better insights and more knowledge about the internal and external factors that may impact performance. Resilience also comes from supportive relationships, cultural perspectives, and individuals’ ability to cope with stress and adversity. Therefore, resilience is a function of a variety of behaviors, thoughts, and actions that can be learned and developed over time.

Resilience in organizations is like resilience in people in that it is not a trait but rather a perspective of living with risk. Resilient organizations integrate risk management into all their decision making processes. By assuming that risk and uncertainty exists in all endeavors means that decision makers can adapt, absorb, and recover from negative consequences while also positioning the organization to identify and exploit opportunities. Organizations that cultivate problem-solving skills throughout the organization will increase their resilience capacity. This capacity is enhanced by recognizing that coping with adversity is not simply about bouncing back but learning and adapting expeditiously. Resilience emphasizes a process of managing adversity, learning, and persevering using a systems approach to management. Business and risk management are not just about having all the elements in place for good management practice but also understanding the relationships between all the elements that make up the whole. Problems are solved by considering future outcomes and where the organization wants or needs to go. The thought process is proactive and preemptive emphasizing that adaption before a potential event may occur provides efficiencies. Planning to manage risks is integrated into all aspects of business management rather than just reacting to events when they may occur. However, business and risk management strategies recognize that not all uncertainties and their outcomes can be identified or quantified, so the criticality of assets, activities and services are determined for sustainable operations. Recovery is not about going back to “normal” but considering the context of the changed environment, determining where the organization is best positioned.

Being a resilient organization means efficiently tapping into its human, tangible, and intangible resources. All organizations have resource limitations. Understanding risk management within the context of these resource limitations enables an organization of better identify its strengths and leverage them. The problem solving approach needs to consider the organizations dependencies and interdependencies. Resilient organizations develop strong networks and relationships with stakeholders, other organizations, and the community. The organization understands its position in the bigger picture and both learns from observing others, sharing appropriate information, and knowing where to seek help when needed. Resilient organizations are resourceful and recognize that relationships with stakeholders are among their most important resources. A resilient organization will foster meaning and purpose for their stakeholders to work for the common benefit of all.

Improving communication and consultation skills is essential to building resilience. Risk is best managed with ongoing consultation and two-way communication with stakeholders. A resilient organization will build the mechanisms needed to support both a top-down and bottom-up flow of information. Empowering people at all levels of the organization to be heard will foster the sense of inclusiveness that encourages the sharing of their ideas. This helps to promote a risk culture where risk makers and risk takers understand that they are also risk owners and risk managers. A better flow of information based on a sense of inclusion promotes informed decision making. By communicating that continual innovation, creativity, and information/knowledge acquisition are core values of the organization, persons working on behalf of the organization will be empowered to proactively identify and address concerns thereby enhancing agility and an adaptive capacity. It also promotes a sense of ownership and control throughout the organization. People will sense that they are part of the solution and not the problem.

Change is one of the few constants in the world. Therefore, resilience and an adaptive capacity shifts the perspective of risk treatment from recovering from adverse events to a hierarchy of anticipate, avoid, prevent, protect, mitigate, respond, and recover. This requires ongoing situational awareness and monitoring with an emphasis on identifying indicators of change, before an event occurs, and developing risk treatment strategies that allows the organization to preemptively adapt, be better prepared to absorb a blow, learn from its experiences and that of others, and evolve into a stronger organization.

Being resilient does not mean an organization will not suffer the consequences of change and adversity, rather the organization is better positioned to quickly identify, learn, and adapt to change and adversity. It is an evolutionary process. Recognizing new opportunities and possibilities does not require abrupt or impulsive change, it requires a measured approached based on best available information.

In conclusion, organizational resilience takes a forward looking view of risk. Building resilience in an organization means viewing risk as inevitable and having the potential for positive outcomes. People in a resilient organization ask themselves: “what are the positive changes we can make to strengthen the organization?” It means better understanding where you are to know where you are going. It also means acknowledging weaknesses and threats in order to build strengths and opportunities.

La Resilienza delle organizzazioni, puntata # 1

L'argomento “Resilienza” potrebbe essere visto sotto diversi punti di vista. Nella tecnologia dei materiali, la Resilienza è
intesa come “la resistenza a rottura per sollecitazione dinamica, determinata con apposita prova d’urto”. Al valore di Resilienza viene contrapposto l’indice di fragilità. Qualcosa di simile nella tecnologia dei filati e dei tessuti, dove Resilienza viene associato a “l’attitudine di questi a riprendere, dopo una deformazione, l’aspetto originale”. Più genericamente la Resilienza è defi nita come la “capacità di un materiale di assorbire energia elasticamente quando sottoposto a un carico, o a un urto, prima di giungere a rottura”. Fin qui, un concetto dunque squisitamente fi sico, riferibile ai materiali e alle loro caratteristiche di “resistenza”. La Resilienza di un’organizzazione è, per similitudine: “la velocità con cui un’organizzazione (o un sistema) ritorna al suo stato iniziale, dopo essere stata sottoposta a una perturbazione che l’ha allontanata da quello stato; le alterazioni possono essere causate sia da eventi naturali, sia da attività antropiche”. Le citazioni virgolettate provengono tutte dall’enciclopedia Treccani online.


In questo articolo, e nei successivi, vorrei parlare della Resilienza delle Organizzazioni e degli stretti legami con le diverse discipline organizzative, fra cui la Security, da cui ha dirette dipendenze, ma che non è la sola disciplina che concorre a sostenerla. Un punto va subito messo in evidenza: a differenza di discipline specialistiche, quali il Risk Management, la Security, la Business Continuity, il Crisis Management, il Disaster Recovery, la ICT Security, il Loss Prevention e tutte le discipline che necessitano la presenza di un leader capace di far funzionare il singolo processo, quando parleremo di Resilienza Organizzativa dovremo immaginare che si tratta di una caratteristica strutturale della organizzazione; di un risultato ottenuto tramite l’integrazione di tanti altri fattori. Quindi non è un processo da governare ma il risultato di tanti processi che insieme contribuiscono a raggiungere un livello più o meno alto di Resilienza Organizzativa, o come preferiscono chiamarla gli anglosassoni: Organizational Resilience (OR). Di conseguenza l’attività di management della Resilienza Organizzativa si esplica attraverso la gestione di tutti i processi che sostengono il raggiungimento del più alto livello di Resilienza, da non intendersi una situazione statica, bensì soggetta a continui cambiamenti derivanti da contesti interni e da quelli esterni. Qualcuno potrebbe subito porre la domanda: allora per la Resilienza Organizzativa non occorre un leader? Siamo abituati a vedere soluzioni organizzative che sono basate sulla responsabilità affi data ad un leader. Abbiamo il leader della Total Quality, quello della Compliance, quello dell’Audit, quello della Security. Com’è possibile che possa esistere un qualcosa di organizzativo senza un leader dedicato a gestirlo? In effetti un leader esiste anche per la Resilienza Organizzativa, anzi ne esistono anche più di uno! Tutti i soggetti che interagiscono in una struttura organizzativa hanno un ruolo gestionale agli effetti della Resilienza Organizzativa.


Ma facciamo un piccolo passo indietro e vediamo di costruire delle solide fondamenta prima di andare troppo in avanti. Il concetto di Resilienza Organizzativa è fortemente dipendente dalla capacità di gestire il rischio. Solo attraverso un solido processo di Risk Management è possibile individuare, classifi care, verifi care, mitigare le insidie che possono minare la Resilienza di un’organizzazione. Questo aspetto dovrebbe immediatamente richiamare alla mente che il modello organizzativo del Risk Management si basa su un processo ben consolidato e ben inquadrato da uno standard internazionale ben conosciuto agli addetti ai lavori: la ISO 31000. Anche dal punto di vista della defi nizione ci può venire ancora in aiuto uno standard ISO. La ISO CD Guide 73 - Vocabulary, al punto defi nisce la Resilience come “adaptive capacity of an organization in a complex and changing environment”. Locuzione che mette in evidenza tre cose (in grassetto):la Capacità di un’organizzazione in grado di Adattarsi in un ambiente Complesso e Evolutivo. Di conseguenza, questa Capacità (competenza) di Resistere (ai rischi) in Ambiente Complesso e Evolutivo, può riferirsi a qualsiasi tipo di organizzazione (grande, piccola, pubblica, privata, governativa, ecc).


Come sopra descritta, la Resilienza Organizzativa si deve confrontare con diverse “sfi de”. Sfi de tipiche di un ambiente complesso e in evoluzione, che partendo dal Risk Management, passa agli aspetti Finanziari, a quelli di Security, di Comunicazione, della Ricerca, del Disaster Recovery, della Business Continuity, della Reputazione, della Gestione Operativa, dell’Opinione Pubblica, del Crisis Management, dei Rapporti Sindacali e forse la più insidiosa, che è rappresentata da una falsa sicurezza del tipo: “a noi non è mai accaduto….”, come spesso si sente ripetere nelle organizzazioni. Un contesto così complesso e in costante evoluzione non può quindi essere affrontato con modalità mono-disciplinari e, ancor peggio, mono-culturali. Ecco perché l’espressione anglosassone “silod” (da silos, contenitore verticale) riferito ad una organizzazione è considerata il modello organizzativo meno adatto per gestire la Resilienza Organizzativa. Come già messo in evidenza in passato a proposito di considerazioni sull’Enterprise Risk Management (ERM), piuttosto che sull’Enterprise Security Risk Management (ESRM), e su Security Convergence, un approccio olistico è la risposta più adeguata per garantire un risultato adeguato, piuttosto che un approccio verticale e settoriale.


E chi è in grado, in un’ organizzazione, di far sì che siano eliminati i “silos” organizzativi? A far sì che le varie funzioni aziendali siano motivate e interessate a comunicare fra di loro, collaborando tutte insieme a rendere più robusta l’organizzazione? L’unico in grado di farlo è il c.d. “Vertice Aziendale”. Colui, o coloro, che hanno diretta responsabilità nel raggiungere tutti gli obiettivi che l’organizzazione si è posta. Concretamente, solo chi si trova nella posizione di dirigere tutta “l’orchestra” è in grado di farla lavorare all’unisono, indicando le giuste priorità e assegnando le appropriate risorse.Quale risulta essere la principale motivazione di colui/coloro interessati a raggiungere tutti gli obiettivi che l’organizzazione si è posta? Per prima, la riduzione dei possibili impatti che possono derivare dai rischi che circondano l’organizzazione. Ma quali sono i rischi di cui il vertice dell’organizzazione deve tener conto? La risposta è semplice: di tutti i rischi che possono ridurre la possibilità, a breve, medio e lungo termine, di raggiungere i risultati che un’organizzazione ha fissato. Credo si cominci a delineare in modo più completo, e con immediato rifl esso sul business, quale sia l’importanza della Resilienza Organizzativa per chi debba governare il presente ed il futuro di un’organizzazione. Non si tratta di un qualcosa che si limita ad una best practice, che può essere opportuno adottare. Non è un accessorio bello ma poco utile. E’ una necessità essenziale che richiede tutta l’attenzione del vertice organizzativo e che, in caso di ambienti complessi, esige un leader di riferimento in grado, tramite i legami ai vari standard che sono stati predisposti, di divulgare le opportune informazioni e provvedere a diffondere la necessaria awareness per ottenere i comportamenti richiesti. Interrompiamo qui questa puntata, ribadendo che a sostegno di tutto ciò che riguarda la Resilienza Organizzativa c’è il processo di Risk Management, di cui parleremo nella prossima puntata.

ASItaly n° 31-Febbraio 2015

La Resilienza delle organizzazioni, puntata # 2

Da oltre cinque anni in Nord America è stato adottato uno standard che ha come obiettivo proprio questo aspetto. Con il titolo Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirement with Guidance for Use, l’American National Standards Institute (ANSI) ha rilasciato l’ANSI/ASIS SPC.1- 2009, uno standard per fettamente allineato con ISO 9001:2000, ISO 14001:2004, ISO/IEC 27001:2005, ISO 28000:2007 e ISO31000, ovviamente. Dal 2010 il Depar tment of Homeland Security Americano (DHS) l’ha adottata come Voluntary Standard in materia di Resilienza Organizzativa. Di recente, a fine novembre 2014, anche il British Standard Institute (BSI) ha rilasciato un nuovo standard, il BS 65000:2014, che rappresenta il primo vero riferimento alla Resilienza Organizzativa rilasciato in Europa. Anch’esso fa riferimento all’ISO 31000 e all’ISO Guide 73:2009, oltre a molti altri British Standard. Questo fa capire come stia crescendo l’attenzione sull’argomento, cosa confermata anche dai lavori messi in cantiere da ISO con il gruppo TC 223.(1) Come si può ben capire, da questa caleidoscopica visione di standard e norme volontarie, la Resilienza Organizzativa gode di un’ampia letteratura per quanto riguarda le soluzioni organizzative che possono essere adottate per raggiungerla. Fin quando uno standard e le relative certificazioni cui fanno capo rimarranno volontarie, e così variegate, si potrà correre il rischio di seguire percorsi diversi per raggiungere risultati che dovrebbero essere comunque coincidenti. Un aspetto, in effetti, accumuna tutto quanto sia stato rilasciato fi nora in materia di standard riferibili alla Resilienza Organizzativa: riguarda la convinzione comune che sia richiesto un approccio multi disciplinare e multi funzionale. In particolare si può dire che, guardata da tutti i punti di vista possibili, la resilienza viene considerata non come il risultato di una singola disciplina, bensì come una mescolanza di approcci nel guardare ai rischi che possono ridurre la possibilità di raggiungere gli obiettivi che l’organizzazione si è prefi ssa. In attesa di avere, in un futuro non lontano (qualcuno indica entro il 2017 e noi ce lo auguriamo), un unico standard internazionale di riferimento in materia di Resilienza Organizzativa, ci dobbiamo convincere che il principale sforzo che il top management può fare è quello di far dialogare fra di loro le varie funzioni interne, rimuovendo i separatori che dividono le esperienze e le competenze dei vari settori che compongono l’organizzazione. I c.d. “contenitori” verticali (silos) che tanto danneggiano le organizzazioni perché impediscono che si possa allargare la base di conoscenza dei possibili rischi e delle migliori modalità per poterli mitigare. Quindi quelle organizzazioni che hanno a cuore la loro crescita con una costante attenzione alla riduzione dei rischi, fanno bene a responsabilizzare tutti coloro che devono condividere un obiettivo comune: come sostenere la resilienza dell’organizzazione.


Senza voler privilegiare uno piuttosto che un altro degli standard, considerando che l’ANSI/ASIS.SPC.1-2009 ha cominciato per primo a parlare in modo specifico di Resilienza Organizzativa, propongo di partire da questo per analizzare i legami che esistono con la ISO 31000. Un’analisi condotta in termini di capacità delle organizzazioni di adeguarsi al cambiamento del contesto di riferimento. Nella prossima puntata faremo poi lo stesso con la BS 65000:2014. La ISO 31000 è considerata la principale innovazione nel mondo del Risk Management. Defi nendo i principi, il quadro di riferimento e il processo del Risk Management, la ISO 31000 sposta la visione da un singolo episodio avverso la più ampia incer tezza di poter raggiungere nel tempo gli obiettivi che l’organizzazione intende porsi. Quindi il rischio non più visto come singolo episodio su cui concentrarsi ma come percorso per garantire il raggiungimento degli obiettivi, attraverso la gestione dei rischi. Questo vuol dire un’organizzazione meno reattiva ma più proattiva, capace di attivare un processo che vede tutti i possessori di rischi, di una stessa organizzazione, diventare dei Risk Manager. Questo concetto di corresponsabilità nell’identifi cazione dei rischi è stata fatta più volte nel corso di questa e della precedente puntata. Sarà forse il caso di approfondire questo aspetto per non correre il rischio, tanto per rimanere in materia, che possa apparire un modo di dire senza che dietro ci siano solide basi suppor tate da una lungimiranza manageriale. Prendiamo per esempio l’individuazione dei rischi, delle vulnerabilità, delle minacce, delle probabilità, delle criticità, che sono gli elementi che devono essere analizzati per effettuare un’effi cace Risk Analysis da cui deriveranno decisioni su come trattare i rischi a cui l’organizzazione può trovarsi soggetta. E’ abbastanza intuitivo comprendere che un’attività congiunta da par te di tutti coloro che si trovano nelle migliori condizioni per individuare e valutare un singolo rischio sarà in grado di dare il miglior contributo per ridurne gli effetti, attraverso la valutazione di tutto ciò che a quel rischio è riconducibile, comprese le modalità per mitigarlo. Se questo processo riesce a coinvolgere tutti coloro che sono a contatto con i rischi, in ogni istante, ne deriva che una condivisione del metodo e delle modalità di trattamento della gestione del rischio potrà garantire una maggiore capacità di individuare, in anticipo, le possibili condizioni avverse all’ottenimento degli obiettivi dell’organizzazione. Allargando questo concetto all’intera sfera del Risk Management e ribadendo l’impor tanza di adottare una modalità proattiva, anziché solo reattiva, si potrà meglio comprendere come questo sia un processo di tipo consultivo e collaborativo, che vede tutti gli attori “proprietari” di rischi essere pienamente coinvolti nella gestione del rischio stesso. Ecco perché coloro che adottano modelli organizzativi capaci di garantire una robusta Resilienza Organizzativa preferiscono modelli manageriali in grado di facilitare comunicazioni top-down, bottom-up e peer-to-peer, attivando un processo capace di coinvolgere il maggior numero possibile di soggetti appar tenenti all’organizzazione. Lo standard ANSI/ASIS.SPC.1-2009 adotta in pieno questi principi, introdotti per la prima volta da ISO 31000. Lo fa mettendo in evidenza il fatto che, per essere resiliente, un’organizzazione deve avere la capacità di adattarsi, nel tempo, alle variazioni che intervengono nei contesti interni e esterni. Per essere in grado di cogliere il massimo delle opportunità e minimizzare le probabilità e le conseguenze di possibili vulnerabilità e minacce, un’organizzazione deve essere preparata e in grado di adattarsi ai cambiamenti che sono richiesti prima, durante e dopo ogni avversità. Inoltre, se l’evento dovesse provocare impatti negativi, dovrebbe tentare di prevenirlo o di imparare dall’evento come riallinearsi o addirittura reinventarsi totalmente, per meglio adattarsi al nuovo contesto. Ciò che è stato trattato fi nora potrà apparire ancor più chiaramente a chi avrà voglia di leggere l’intero ANSI/ASIS SPC.1-2009. Lo troverà esaustivo per affrontare e rispondere ad ogni tipo di evento distruttivo, sia intenzionale che non intenzionale o di tipo naturale.(2) Giunti a questo punto mi preme precisare che uno standard da solo, qualunque esso sia, non può garantire il risultato che lo stesso si prefi gge. Sono necessarie doti manageriali e capacità organizzative adeguate al risultato che si vuole raggiungere. Una volta ancora, quindi, la componente umana prevale su quella procedurale. Non è possibile, per nessuna organizzazione, riuscire ad ottenere dei risultati senza la capacità manageriale di chi la conduce. Questo vale anche per la Resilienza Organizzativa. Ciò che uno standard può aiutare a realizzare è quello di adottare un modello organizzativo già sperimentato e un management system collaudato. Tutto il resto dipende dalla componente umana, sia del management che dei soggetti attivi. Più avanti cercheremo anche di esplorare questi aspetti umani. Alla prossima puntata.

(1) In effetti nel corso degli ultimi anni ci sono stati altri tentativi per affrontare l’argomento, anche se in ambito molto specifi co. Per esempio la ISO 22301 che si occupa di Gestione della Continuità Operativa, così come l’Australian Standard AS/293-2006. Più di recente, nel gennaio 2014, UNI ha pubblicato, riferita alla resilienza delle infrastrutture critiche, la Prassi di Riferimento UNI/PdR 6:2014 che si riferisce anche alla ANSI/ASIS APC.1-2009.
(2) Solo per dare un’idea, già a pagina 2 dello standard è precisato: “questo Standard consente ad un’organizzazione di: a) sviluppare una policy di prevenzione, preparazione e risposta/continuità/recovery; b) stabilire gli obiettivi, procedure e processi per raggiungere gli impegni fi ssati per policy;c) assicurare competenza, consapevolezza e formazione (necessaria per); d) impostare parametri per misurare le prestazioni e dimostrare la validità delle scelte; e) adottare azioni necessarie per migliorare le prestazioni; f) dimostrare la conformità del sistema ai requisiti di questo standard; g) stabilire e applicare un processo per un costante miglioramento. L’allegato A alle pp- 18-40 , che di fatto è la Guida per l’utilizzo dello standard, copre maggiori dettagli: ne parleremo in un numero successivo.

ASItaly n° 32-Aprile 2015

La Resilienza delle organizzazioni, puntata # 3

L’ANSI/ASIS SPC.4-2012 propone sei fasi da completarsi in sequenza, suggerendo di verificare il corretto passaggio per gradi da una fase all’altra. Vediamo brevemente come si susseguono le sei fasi proposte. Lafase uno corrisponde ad uno stato di pre-consapevolezza, in cui l’organizzazione si trova prima di valutare come intraprendere il cammino graduale. Nella fase due, con approccio al Progetto, l’organizzazione inizia ad avere consapevolezza ed il management comincia a definire gli obiettivi. Oltre agli obiettivi, nella fase due verranno definiti i ruoli, le responsabilità, il budget, il metodo di misurazione dei progressi. Già in questa fase è essenziale che il top management fornisca il pieno supporto al Project Leader individuando, dove necessario, il training e l’expertise necessari per sostenere il progetto. Nella fase tre, con approccio alProgramma, l’attenzione si concentra su aspetti specifici in grado di creare le condizioni di successo e di aumentata consapevolezza. Questa fase fornisce al Program Manager l’opportunità di estendere il progettocoinvolgendo un numero maggiore di soggetti. Allo stesso tempo i vari soggetti contribuiscono all’individuazione di potenziali rischi che potrebbero ridurre la Resilienza Organizzativa e le relative probabilità che ciò avvenga. La fase quattro, con approccio al Sistema, vede l’inizio della messa insieme dei vari pezzi. Il top management è attivamente coinvolto nell’impostazione del management system. I diversi attori coinvolti iniziano a testare le principali parti dello standard e le evidenze emerse nel corso degli audit vengono utilizzati per rinforzare i punti deboli del processo. La fase cinque, con approccio al Management System, coincide con la completa adozione di un sistema di gestione. Gradualmente viene introdotta una cultura di resilienza organizzativa.

I programmi di formazione e di awareness diventano argomenti di routine per le risorse umane. Nella fase sei , approccio al Management Olistico, si va oltre la compliance e allo standard, raggiungendo un livello totalmente integrato di management della Resilienza Organizzativa. La gestione della Resilienza e i principi di Management System si estendono a tutte le aree di business e a tutte le attività aziendali. A questo punto, in sei mosse, un’organizzazione di tipo “giovane” può raggiungere uno stato di ”maturità” attraverso un percorso in grado di far realisticamente raggiungere il risultato desiderato. Lo standard indica questi passaggi come fosse un percorso simbolicamente sportivo: Fase uno, di pre-consapevolezza; Fase due, del Bronzo; Fase tre, dell’Argento; Fase quattro, dell’Oro; Fase cinque, del Platino; Fase sei, del Diamante. Abbiamo visto come uno standard disegnato per raggiungere un alto livello di Resilienza Organizzativa possa essere adottato in modo progressivo tramite un altro standard attuativo. I due standard ANSI/ASIS che abbiamo commentato sono infatti complementari e devono essere visti come un tutt’uno: il primo indica cosa fare, mentre il secondo propone come fare ciò che il primo indica necessario per raggiungere un adeguato livello di Resilienza Organizzativa (R.O.). Fin qui abbiamo parlato della vision Nord Americana circa la R.O., che si è sviluppata fra il 2009 e il 2012. Vediamo adesso cosa è avvenuto in Europa e più precisamente in Gran Bretagna, con la pubblicazione a novembre dell’anno passato del BS 65000:2014 da parte del British Standard Institute.

Si deve dare atto che nelle 23 righe dell’introduzione di questo BS viene immediatamente dichiarata la finalità che si prefigge, anticipando che: la Resilienza Organizzativa è un obiettivo strategico per aiutare le organizzazioni a sopravvivere e a prosperare; un’organizzazione resiliente è in grado di adattarsi meglio, essere più competitiva, snella e robusta di quanto lo siano quelle meno resilienti; la Resilienza Organizzativa è la base per garantire la capacità di un’organizzazione di anticipare, prepararsi per rispondere e adattarsi a qualsiasi condizione, dagli eventi quotidiani ai cambiamenti più intensi, sia temporanei che permanenti; la Resilienza è un concetto relativo e dinamico e come tale un’organizzazione può solo essere più o meno resiliente. Come risultato da raggiungere, la Resilienza è un obiettivo e non un’attività permanente o una condizione di stato. Un’organizzazione opera già in una potenziale e complessa rete di interazioni con altre organizzazioni, per cui è essenziale che la Resilienza non venga “costruita” solo all’interno di un’organizzazione ma che sia estesa anche a tutta la rete e sia presente nelle interazioni con le altre organizzazioni. Sono ancora più succinti i tre punti che descrivono lo scopo della BS 65000:2014: 1) rendere chiaro al Top Management la natura e lo scopo della Resilienza Organizzativa; 2) identificare i principali componenti della Resilienza Organizzativa per rendere possibile ad un’organizzazione di rivedere la propria resilienza nell’adottare e misurare i propri miglioramenti; 3) identificare e raccomandare buone pratiche già definite in altri standard esistenti e in alcune discipline. Tutto ciò viene rafforzato ulteriormente nella parte che parla dei principi che caratterizzano la Resilienza Organizzativa, aggiungendo che essa ha che fare con “disruption”, “uncertainty and change” con un chiaro proposito, con una precisa coerenza e con un riferimento alle opportune risorse necessarie. Prosegue poi elencando i benefici che derivano dall’avere un’organizzazione resiliente, mettendo in evidenza: la competitività, la coerenza, l’efficienza e l’efficacia, la reputazione e la resilienza dell’intera società civile.

A questi benefici abbina la necessità di considerare un certo numero di opportunità e di punti di domanda, fra i quali: a) comprendere quando il management deve entrare in azione; b) trovare il giusto compromesso fra costi e livello di resilienza; c) determinare un appropriato trade-off fra il controllo dei costi e il raggiungimento di un più alto livello di resilienza; d) identificare quando adottare nuovi valori piuttosto che continuare con i comportamenti esistenti; e) risolvere i conflitti fra la necessità di mantenere riservate le informazioni fra competitor e la necessità di condividere informazioni per la resilienza quando si è in collaborazione con altri; f) identificare le limitazioni di tipo legale e normativo, così come per i codici volontari di comportamento adottati dai diversi settori, che possono limitare specifiche azioni a supporto della resilienza; g) concludendo che ciascuna organizzazione deve prendere le proprie decisioni riguardo questi punti in base alle tipologie di rischi e del loro relativo livello che si intenda raggiungere, oltre a decidere in base alla dichiarata volontà di quanto si voglia investire in resilienza. Una particolare attenzione viene posta nel descrivere i requisiti fondamentali richiesti per costruire una organizzazione resiliente. Fra questi emergono: aspetti generali relativi alle attitudini dell’organizzazione; Governance e Accountability, intesa quest’ultima come attitudine del management di farsi carico dei risultati (positivi o negativi); Leadership e Cultura, intesa come diffusione delle due dimensioni; visione comune e progettuale. Un punto importante è rappresentato da come la BS 65000:2014 inquadra le condizioni necessarie per costruire un’organizzazione resiliente: la Resilienza Organizzativa richiede l’abilità di prendere valide decisioni basate sulla comprensione di dove l’organizzazione sia posizionata, dove intende arrivare, il contesto in cui agisce, quale sia l’interesse dell’organizzazione e quali siano le risorse disponibili.


Rimangono due aspetti da valutare per completare l’analisi della BS 65000. La prima è la mappatura delle sei fasi che ruotano intorno al nucleo centrale rappresentato da Governance e Accontability, Leadership e Cultura, Visione comune e progettuale. Tutto deve ruotare intorno ad un fulcro ben determinato. A conferma che la Resilienza Organizzativa richiede un approccio multi-culturale e multi-disciplinare, la BS 65000:2014 richiama oltre venti discipline che devono essere attivate con modalità coerenti. Fra queste richiama: asset management, risk management, reputation management, environment management, health&safety, fraud control, business continuity, ICT security, cyber security, change management, physical security, facility management, emergency management, crisis management, supply management, human resources management, financial control e quality management. Il secondo aspetto riguarda le modalità per misurare la maturità e la resilienza di un’organizzazione che la BS 6500:2014 individua nei seguenti sei punti, che devono essere decisi dall’organizzazione: 1) cosa è necessario monitorare e misurare; 2) il metodo di monitoraggio, misurazione, analisi e valutazione per assicurare risultati validi; 3) come effettuare un assessment costante della resilienza; 4) individuare il limite entro il quale l’output delle misurazioni possa essere considerato accettabile; 5) con quali modalità le misurazioni e il monitoraggio potranno lavorare insieme a ciò che è già in essere per i processi già esistenti; 6) come devono essere analizzati e valutati i monitoraggi e le misurazioni dei risultati. Per quanto riguarda la classificazione del livello di maturità raggiunta da un’organizzazione, la BS 65000:2014, a differenza della ANSI/ASIS SPC.4-2012, non propone una classifica sportiva bensì un ranking di performance stabilendo che il livello 0 corrisponde ad un’organizzazione Immatura (Immature); il livello 1 ad un’organizzazione di Base (Basic); il livello 2 a quello di Gestita (Managed); il livello 4 a quello di Affermata (Established); il livello 5 a quello di Lanciata (Predictable); il livello 6 a quello di Ottimale (Optimazing). Pur non entrando in dettaglio su come arrivare ad ottenere i risultati attesi e con quali modalità poter procedere per step successivi, come invece fanno le due ANSI/ASIS SPC.1-2009 e SPC.4 2012, la BS 65000:2014 propone una serie di 24 domande divise in sei gruppi che corrispondono a ciascun settore della fi gura prima riportata, le cui risposte corrispondono ai punti rilevanti che vengono trattati nello standard. Non quindi una guida ma una sorta di “lista della spesa”, con le indicazioni su come trovare le risposte alle 24 domande. Si potrebbe quindi dire che i tre standard finora commentati (ANSI/ASIS SPC.1-2009, ANSI/ASIS SPC.4-2012 e BS 65000:2014) si integrano perfettamente, senza particolari conflitti fra di loro, aggiungendo che per ottenere un’organizzazione allineata con i più attuali criteri di Resilienza Organizzativa è forse necessario attingere dai tre standard indicati. Questa fra l’altro è una conclusione a cui sono arrivati, oltre a me, anche i guru Nord Americani ed Europei della Resilienza Organizzativa, di cui vorrei accennare nelle prossime puntate. Per il momento ci salutiamo qui; alla prossima puntata.

ASItaly n° 33-Giugno 2015

Organizational Resilience: oltre il solito blablabla

“Organizational resilience” è un’espressione talmente abusata da essersi ormai svuotata di contenuti. Dai programmi governativi agli enti di standardizzazione, fino al settore privato: resilienza organizzativa è la parola più in voga per promuovere progetti o ser vizi. Ironia del destino, in questo straparlare di organizational resilience si è perso uno dei fattori chiave per costruire la vera resilienza aziendale. Proprio quando infatti le aziende cominciano a realizzare che un approccio integrato, proattivo e multidisciplinare alla gestione dei rischi può generare efficienze, chi si occupa di specifiche discipline afferenti al rischio reclama la paternità di tale espressione per promuovere i propri ser vizi. Ebbene, è ora di uscire dal solito blablabla e di concentrarsi sulla costruzione di un’organizzazione che sia coesiva e resiliente. Questo significa focalizzarsi sui principi fondamentali di un buon sistema integrato di gestione aziendale e del rischio.


Qualunque attività è soggetta ad una serie di rischi ed incertezze. L’incertezza è uno stato le cui conseguenze sono ignote, indeterminate o indefinite, o laddove vi sia una carenza di informazione. Le conseguenze possono insomma essere sia positive che negative. Soggetti singoli, strutture aziendali e comunità devono decidere quale livello di rischio e incertezza intendono accettare e prendersi in carico per raggiungere i propri scopi ed obiettivi. Tali scopi possono includere obiettivi strategici a lungo o breve termine, obiettivi legati all’intera o a una sola parte dell’organizzazione e della sua catena del valore, ma anche questioni tattiche o operative a tutti i livelli aziendali. La gestione di tali rischi, pertanto, dipende dagli obiettivi della struttura, dalla sua voglia di rischiare o di cogliere un’opportunità o di minimizzare una possibile conseguenza negativa. E’ quindi di tutta evidenza che non possa esistere formula univoca o approccio standardizzato in materia.


La resilienza diventa importante da integrare nel processo di gestione del rischio perché promuove e al contempo richiede una logica di estrema adattabilità e snellezza organizzativa. La resilienza enfatizza infatti la gestione del rischio, sia nella sua multi-dimensionalità che nella sua durata temporale. La resilienza si basa sul principio che la gestione del rischio debba accrescere la capacità di adattamento in un ecosistema in costante cambiamento. Pertanto, la resilienza valuta in che modo integrare pienamente una gestione del rischio olistica e proattiva all’interno di buone pratiche di gestione aziendale, particolarmente nei processi decisionali a lungo e breve termine. Non si tratta solo di far convergere varie discipline afferenti al rischio, ma di farlo nel contesto degli obiettivi strategici, operativi e tattici dell’organizzazione d’impresa. La resilienza enfatizza il fatto che le organizzazioni diano per assunto di operare costantemente in un contesto dinamico e incerto. La resilienza esige sia di far convergere le discipline afferenti al rischio, sia di eliminare i “silos” organizzativi, e quindi di raggiungere un piano coordinato di gestione del rischio per l’intera attività d’impresa.


La resilienza non è qualcosa di nativo, di insito nell’organizzazione: la capacità di adattamento si sviluppa infatti con la maturazione dell’organizzazione stessa, si apprende da successi e insuccessi, cresce assieme alle capacità di prendere decisioni e alla conoscenza e all’approfondimento dei fattori, interni ed esterni, che possono influire sulle performance aziendali. La resilienza nasce anche da relazioni di contorno, prospettive culturali e in genere dalla capacità dei singoli di affrontare stress e avversità. Pertanto, la resilienza è in funzione di una varietà di comportamenti, pensieri e azioni che possono essere appresi e sviluppati in qualunque momento. All’interno delle organizzazioni aziendali, la resilienza somiglia alla resilienza umana nel fatto di non rappresentare tanto una caratteristica, quanto piuttosto una prospettiva del vivere in costanza di rischio: le organizzazioni resilienti integrano infatti la gestione del rischio in tutti i loro processi decisionali. Dare per assunto che rischi ed incertezze esistano in ogni circostanza significa che i decisori possano adeguarsi alle negatività, attutire i colpi e rimettersi in sesto ma al contempo identificare e cogliere delle opportunità di business. Le strutture che coltivano una cultura di problem-solving accresceranno questa loro resilienza (abilità che si sviluppa maggiormente allorquando si riconosce che fronteggiare un’avversità non significa necessariamente o soltanto fare un passo indietro, bensì rappresenta una possibilità di conoscenza e quindi di adattabilità). La resilienza promuove un processo di gestione degli eventi avversi, di conoscenza e di perseveranza utilizzando un approccio sistemico. Gestire un’azienda e i rischi cui essa è esposta non significa solo disporre di tutti gli elementi per una buona gestione, ma anche comprendere le molte relazioni che insistono tra tutti questi elementi. I problemi vanno infatti affrontati pensando anche agli scenari che si potrebbero profilare in futuro, anche in considerazione della direzione che l’azienda vuole prendere. E’ quindi un processo proattivo e preventivo/predittivo, che mette in luce il fatto che adattarsi a livello organizzativo prima che un evento si manifesti può generare nuove efficienze. Pianificare una gestione del rischio in maniera integrata rispetto a tutti gli aspetti della gestione aziendale è del resto diverso dal semplice reagire ad eventi che si dovessero presentare. Tuttavia, le strategie di business e risk management riconoscono che non tutti i fattori di incertezza, e soprattutto i loro possibili risultati, possano essere identificati o quantificati, perciò le criticità degli assett, delle attività e dei ser vizi sono determinate per delle operazioni sostenibili. “Recuperare” (la famosa recovery) non significa solo rientrare alla normalità, ma considerare il nuovo contesto derivante dal diverso ambiente operativo e (ri)determinare i punti dove la struttura è meglio posizionata. Essere un’organizzazione resiliente significa saper sfruttare in maniera efficiente tutte le sue risorse: umane, tangibili e intangibili. E poiché qualsiasi realtà dispone di risorse limitate, comprendere il risk management nel contesto di queste limitazioni permette all’azienda di individuare prima i propri punti di forza e di fare meglio leva sugli stessi. L’approccio al “problem solving” deve poi considerare le dipendenze e le interdipendenze aziendali: le organizzazioni resilienti sviluppano una rete forte di relazioni con gli stakeholder, le altre realtà aziendali e la comunità. Attraverso queste relazioni l’azienda è in grado di individuare la propria collocazione in un quadro più ampio, può imparare osservando e condividendo informazioni e sa dove cercare quando ser ve aiuto. Le organizzazioni resilienti hanno tante risorse, e sanno bene che le relazioni con gli stakeholder sono quelle di gran lunga più importanti. Un’organizzazione resiliente deve quindi saper incoraggiare e motivare gli stakeholder a lavorare per il bene comune. Promuovere le abilità comunicative e le consultazioni è quindi essenziale per accrescere la resilienza perché il rischio è meglio gestito con continue consultazioni e comunicazioni bidirezionali con gli stakeholder. Un’organizzazione resiliente crea quindi meccanismi tali da supportare sia un flusso di informazioni top-down che bottom-up: abilitare tutti, a tutti i livelli organizzativi, ad essere ascoltati rafforza il senso di inclusione che porta poi alla condivisione di pensieri e di idee. Ciò alimenta la diffusione di quella cultura del rischio per la quale sia chi lo può generare, sia chi lo corre comprende di essere egli stesso portatore e manager del rischio stesso. Un migliore flusso di informazioni basato sul senso di inclusione a sua volta promuove un’assunzione di decisioni più informata. Sostenendo che l’innovazione continua, la creatività e l’acquisizione di informazioni e competenze sono valori “core” per l’azienda, le persone che in essa lavorano avranno un approccio proattivo alle problematiche, contribuendo esse stesse ad incrementare la capacità di adattamento dell’organizzazione. Nel contempo si costruirà un senso di governo della situazione capace di ingenerare negli operatori la sensazione di essere parte attiva della soluzione e non del problema.


Il cambiamento è una delle poche costanti del mondo. Ecco perché la resilienza e la capacità di adattamento spostano la prospettiva della gestione del rischio intesa come mera disaster recover y ad una gerarchia diversa, composta da parole ed azioni come anticipare, impedire, prevenire, proteggere, mitigare, rispondere e ricostruire. Questo implica una continua ed accurata situational awareness, con un particolare focus sul monitoraggio degli indicatori di cambiamento prima che l’evento si manifesti. Ma significa anche sviluppare strategie di gestione del rischio che permettano all’azienda di adattarsi preventivamente, quindi di essere preparata ad attutire i colpi, ad imparare dalle esperienze proprie ed altrui e ad evolvere in un’organizzazione sempre più forte. Essere resiliente non significa naturalmente che una realtà aziendale non possa mai subire le conseguenze di un evento avverso: significa però che possa essere meglio preparata per identificare, comprendere ed adattarsi al cambiamento richiesto. Perché la resilienza è un processo evolutivo. Riconoscere nuove possibilità ed opportunità non significa operare cambiamenti bruschi ed impulsivi: al contrario significa approcciare il problema con quell’equilibrio e quella misura che solo un’informazione accurata può offrire. In conclusione, la resilienza organizzativa deve saper guardare oltre l’analisi del rischio. Costruire resilienza significa quindi vedere l’inevitabilità di alcuni rischi ma creare il potenziale per aver comunque dei risultati positivi. Chi lavora in un’organizzazione resiliente deve chiedersi sempre quali cambiamenti può fare per rafforzare lui stesso l’azienda. Perché resilienza significa anche conoscere esattamente dove ci si trova per sapere poi quale direzione prendere, quindi significa comprendere le proprie debolezze e le minacce cui si è soggetti per poi costruire nuovi punti di forza e nuove opportunità.

Dai commenti di Marc Siegel pare avere la conferma che creare organizzazioni senza “silos” ed in grado di mettere tutti i soggetti interessati alla gestione dei rischi in contatto fra di loro sia la mossa vincente. “You’re right” - conferma Siegel. Alla prossima puntata con nuovi guru e opinionisti!

ASItaly n° 34-Agosto 2015

Cari Soci,

Ho il piacere di richiamare la Vostra attenzione sull’evento, Festival ICT 2015 dell’11 novembre 2015 presso Fiera Milano Congressi, che rappresenta un’importante occasione fuori dagli schemi, di socializzazione proattiva e di sviluppo delle relazioni di business nell’ambito dell’information communication tecnology e della security.

Un momento di incontro tra i professionisti del mondo delle tecnologie ICT, con le più importanti aziende nazionali ed internazionali, associazioni, enti, istituzioni, testate giornalistiche ed esperti indipendenti.
Intervenite numerosi all’evento, visitando il sito dedicato e registrandovi gratuitamente al link

Maurizio Tondi - Eventi e Comunicazione



Marco Bavazzano, neopresidente ASIS Italy: ecco i futuri obiettivi dell'Associazione

S News incontra Marco Bavazzano, Presidente ASIS International, Italy Chapter.

Da qualche settimana lei è il nuovo Presidente ASIS e si appresta ad iniziare il suo mandato, con una squadra che abbiamo constatato estremamente motivata, in parte nuova, ma che assicura al contempo continuità rispetto al passato, grazie alla presenza del precedente Presidente.
Quali i suoi obiettivi prioritari?

Il nuovo Consiglio Direttivo raggruppa professionisti che, seppur in contesti industriali differenti, condividono da sempre una profonda cultura della sicurezza; su questa base stiamo lavorando per definire il nuovo piano triennale operativo, che assicuri continuità di indirizzo ma che introduca anche elementi di innovazione.
In particolare vogliamo concentrare le attività del Chapter Italiano di ASIS sulla diffusione, a livello industriale nazionale sia pubblico che privato, di una crescente consapevolezza della sicurezza come "practice integrata e multidisciplinare", in grado cioè di coniugare sia requisiti dell'ambito fisico, che quelli emergenti legati alla sicurezza logica ed alla cyber security, alla gestione del rischio, alla continuità operativa, privilegiando un'impostazione per processi critici.
In questo contesto è evidente il contributo di ASIS Italia anche in termini di formazione, certificazione e specializzazione, come leve gestionali per aumentare e migliorare l’efficacia e la produttività dei professionisti della sicurezza.

Il mondo della Sicurezza è cambiato moltissimo negli ultimi anni e molto sta cambiando ancora. In particolare nella Vigilanza, sempre più anche sicurezza sussidiaria, i cambiamenti non sono solo dettati dal mercato e dalla tecnologia, ma anche dalle nuove normative.
Quale, dal suo privilegiato osservatorio, il suo punto di vista sul ruolo e sugli sviluppi futuri del settore?

L'evoluzione è iniziata già da qualche tempo, ma ancor oggi la rigorosa osservanza dell'impianto normativo del TULPS, rappresenta l'elemento irrinunciabile per assicurare un'adeguata qualità del servizio, in un contesto cruciale in cui si intersecano e si influenzano le asincrone istanze di garanzia della concorrenza e di tutela della sicurezza pubblica. Un settore più consolidato e qualificato, con professionisti in grado di far evolvere il servizio non solo in termini di gestione del territorio, degli allarmi e degli interventi ma anche dal punto di vista della capacità di correlazione ed analisi delle informazioni.

Molte sono le Associazioni del settore della Sicurezza, nel panorama italiano.
Quali le sinergie che potrebbe essere valido sviluppare, con quali focus e con quali obiettivi?

Considerata la valenza sempre più strategica della Sicurezza per il mercato, e la forte accelerazione a cui questo settore è sottoposto – trascinato da un lato dalla emergente domanda, da un aumentato e sempre più articolato profilo del rischio e della minaccia complessiva, e dall'altro dalla disponibilità di tecnologie e servizi innovativi – le Associazioni devono assolutamente considerare la messa in comune di esperienze, competenze, know-how e specificità, per esempio legate ad un mercato verticale, non solo per creare efficienza e formule di autofinanziamento, ma per cogliere quelle convergenze tecnologiche ed adiacenze di settore che sono già in atto nel mercato della Sicurezza.
La creazione, ad esempio, di un "Security Lab" in cui far convergere e documentare le esperienze, i casi di successo, le best practice più rilevanti per favorire la diffusione della cultura della sicurezza, potrebbe essere un obiettivo condivisibile da differenti selezionate Associazioni.

Asis è un'Associazione molto forte a livello Worldwide.
Quali le dinamiche che intende sviluppare sul fronte internazionale?

L'Associazione è una delle più grandi al mondo; il nostro obiettivo è quello di far evolvere e sviluppare il Chapter Italiano e farlo diventare una best practice per una disciplina specifica del portafoglio professionale della Sicurezza.
Ciò consentirebbe di esportare questa eccellenza in altri Chapters e di favorire un sistema collaborativo più integrato e, perciò, fruibile dal mercato.

a cura di Monica Bertolo


ASIS: Eletto il nuovo direttivo

Milano. È stato di recente eletto il nuovo Consiglio Direttivo del Chapter italiano di ASIS International, la più grande organizzazione di professionisti della sicurezza a livello mondiale, con più di 36.000 iscritti nel mondo e presente in oltre 200 Paesi.

Presidente è Marco Bavazzano, CEO di Axitea, mentre la carica di Vicepresidente è stata attribuita a Leonardo Maria Rosa, Security Manager di Intesa San Paolo.

Il nuovo Consiglio Direttivo, che sarà alla guida dell'associazione per il prossimo triennio, comprende: Fabio Mulazzani, Laura Panigada di Hospira, Angela Pietrantoni di Scienze per la Sicurezza Consulting, Michele Pontrelli di Coesia, Maurizio Tondi di Axitea. Oltre ai sette membri del Consiglio Direttivo, sono stati anche nominati come Membri Permanenti: Genséric Cantournet di Telecom Italia, Alessandro Lega e Roger Warwick.

Il Chapter italiano conta 80 iscritti, che rappresentano sia primarie aziende nazionali o multinazionali in Italia e alcuni rappresentanti di enti governativi.

Obiettivi e linee guida dell’Associazione insistono sulla diffusa consapevolezza e aumentata necessità di sicurezza da parte delle aziende, sulla convergenza tecnologica, sulla formazione e sulla specializzazione come leve gestionali per aumentare e migliorare l’efficacia e la produttività dei professionisti della sicurezza.

L'Associazione gestisce e implementa tre certificazioni riconosciute a livello mondiale: CPP (Certificazione per Security Manager), PCI (Certificazione per Investigatori Privati), PSP (Certificazione per Esperti in Sicurezza Fisica).

la Redazione